Un deepfake a contourné le processus de vérification d'identité d'une banque néerlandaise, permettant l'ouverture de 46 comptes. Qu'est-ce qui aurait pu empêcher cela ?

Tout a commencé par une annonce immobilière.

À Amsterdam, quelqu’un a publié une annonce pour un appartement sur Marktplaats, l’une des plateformes de petites annonces les plus populaires des Pays-Bas. Les locataires potentiels ont répondu en fournissant les documents habituels : une copie de leur passeport, une fiche de paie – preuve qu’ils étaient solvables pour payer le loyer. Sauf que l’appartement n’existait pas, et que leurs documents d’identité allaient être détournés à des fins malveillantes.

Un homme de 34 ans a utilisé ces identités volées – ainsi que d'autres obtenues sur les réseaux sociaux – pour ouvrir 46 comptes bancaires frauduleux chez ABN AMRO, l’une des plus grandes banques des Pays-Bas. Il a effectué toutes ces opérations via le processus d’inscription mobile de la banque, qui exigeait des demandeurs qu’ils téléchargent une pièce d’identité avec photo et prennent un selfie pour la vérification faciale.

L'astuce était simple. Il a utilisé la technologie deepfake pour créer des images ressemblant aux photos d'identité figurant sur les pièces d'identité volées. Le système automatisé a comparé les deux images, a constaté une correspondance et a validé le compte.

Pas une seule fois, mais quarante-six fois.

Comment l'affaire du deepfake a été démêlée

Le stratagème a fonctionné pendant des mois avant qu’une seule erreur ne le trahisse. Une demande avait été déposée à l’aide d’une pièce d’identité avec photo d’une femme, mais le selfie montrait un visage masculin. Le deepfake avait superposé ses traits, ses yeux et sa bouche sur le visage de l’homme, mais le résultat n’était pas assez convaincant. L’équipe d’ABN AMRO a repéré cette anomalie, a mené une enquête et a mis au jour toute l’ampleur de la fraude.

Lorsque les douaniers ont interpellé le suspect à un poste de contrôle, les preuves étaient accablantes. Les agents l'ont surpris en train de désinstaller Telegram de son téléphone. Dans sa voiture, ils ont trouvé des enveloppes contenant des cartes de débit et les codes PIN de plusieurs comptes ABN AMRO, des dizaines de fausses pièces d'identité, ainsi que des historiques de conversation avec ChatGPT dans lesquels il avait demandé comment contourner la sécurité de la banque. Des images de vidéosurveillance le montraient en train de déposer d’importantes sommes d’argent sur les comptes frauduleux – des transactions qui, selon les procureurs, étaient liées au blanchiment d’argent.

Le parquet a requis une peine de 30 mois d'emprisonnement et le versement d'une indemnité de 6 240 € à ABN AMRO. En mars 2026, le tribunal de district d'Amsterdam a ordonné la poursuite de l'enquête plutôt que de rendre un verdict.L'accusé reste en détention provisoire, une nouvelle audience étant prévue dans les trois mois.

Pourquoi les vérifications KYC ont-elles échoué ?

Ce cas illustre une tendance plus générale : les outils d'IA traditionnels, de plus en plus accessibles, parviennent systématiquement à déjouer les solutions de vérification d'identité .

Une fois qu'une identité frauduleuse s'est introduite dans le périmètre de la procédure « Know Your Customer » (KYC) , elle peut être utilisée pour le blanchiment d'argent, le financement du terrorisme, le contournement des sanctions, et bien plus encore. L'impact financier ne se limite pas aux pertes directes ; les répercussions réglementaires les éclipsent souvent :

• La TD Bank s'est vu infliger une amende de 3,09 milliards de dollars en 2024 pour des manquements en matière de lutte contre le blanchiment d'argent.
•  Rien qu'au premier semestre 2025, les autorités de régulation ont infligé 1,23 milliard de dollars d'amendes, soit une augmentation de 417 % par rapport à l'année précédente.
  

ABN AMRO a détecté 46 comptes. La question est de savoir combien d'autres n'ont pas été détectés.

Le processus d'inscription suivait un modèle courant dans le secteur bancaire européen : télécharger une pièce d'identité avec photo, prendre un selfie, puis laisser le système comparer les deux. Cela part du principe que si le visage sur le selfie correspond à celui du document, la personne est bien celle qu'elle prétend être. Cette hypothèse s'effondre dès lors qu'un fraudeur parvient à générer un visage synthétique combinant son apparence physique et la photo d'identité d'une autre personne.

Et cela devient de plus en plus facile au fil des mois. L'IA générative a fait tomber la barrière à l'entrée pour les attaques par identité synthétique: ce qui nécessitait autrefois des compétences spécialisées et du matériel haut de gamme peut désormais être réalisé à l’aide d’outils standard peu coûteux. Le rapport 2026 sur les menaces a fait état d’une augmentation de 1 151 % des attaques par injection sur iOS au cours du second semestre 2025 par rapport à l’année précédente. iOS a longtemps été considéré comme la plateforme mobile la plus sécurisée ; cette hypothèse n’est plus valable. Pour les banques qui privilégient l’intégration mobile sur n’importe quel système d’exploitation, l’implication est la même : si le système de vérification ne parvient pas à détecter une vidéo manipulée au moment de la capture, il l’approuvera.

L'affaire ABN AMRO en illustre bien la raison. Le système a vérifié que le visage correspondait à celui figurant sur le document, mais n'a pas vérifié si ce visage était authentique.

La pièce manquante : une détection de présence qui fonctionne

La lacune majeure dans le processus d'intégration d'ABN AMRO résidait dans l'absence d'un système avancé détection de présence. Sans cela, le système n’avait aucun moyen de distinguer un véritable visage humain d’une image retouchée numériquement.

Les systèmes robustes ne se contentent pas de comparer des visages. Ils vérifient si une personne réelle est présente au moment de la capture. Une défi passif, aléatoire et unique au moment de l’authentification, ainsi que des modèles d’apprentissage profond qui s’adaptent progressivement à l’évolution des vecteurs d’attaque. Lorsqu’il est correctement mis en œuvre, ce système confirme simultanément trois éléments : que l’utilisateur est bien la bonne personne, qu’il s’agit d’une personne réelle et que l’authentification s’effectue en temps réel.

Cette approche permet de détecter les trois principaux vecteurs d'attaque :

• Attaques par présentation consistent à présenter une photo, une vidéo ou un masque devant une caméra.
• Attaques par injection numérique introduisent directement un deepfake dans le processus de vérification, en contournant complètement la caméra. Il s'agit du type d'attaque le plus urgent et le plus évolutif.
• Attaques par rejeu consistent à réutiliser des données biométriques précédemment capturées, telles qu'un enregistrement d'une session de vérification légitime, afin de se faire passer pour un utilisateur réel.

Les informations rendues publiques concernant l'affaire ABN AMRO ne précisent pas la méthode technique exacte utilisée. Mais que ces selfies trafiqués aient été téléchargés ou injectés, le résultat est le même : un contrôle par reconnaissance faciale ne permet pas de distinguer un visage synthétique d'un vrai. C'est précisément ce que la détection de présence est censée empêcher.

Il existe désormais des critères de référence indépendants auxquels les acheteurs sont en droit d'attendre que les fournisseurs se conforment, notamment :

• CEN/TS 18099 Niveau « High » et Ingenium : détection des attaques par injection, niveau 4 pour la résistance aux attaques par injection
• et NIST SP 800-63-4, qui, en 2025, a fait de la détection des attaques par injection un objectif de contrôle obligatoire pour les niveaux d'assurance supérieurs. Les affirmations des fournisseurs qui ne s'appuient pas sur des tests indépendants et accrédités par rapport à ces normes ne constituent pas une preuve de résilience. Il s'agit de marketing.

Si la procédure d'inscription d'ABN AMRO avait prévu ce type de vérification, les selfies trafiqués du fraudeur auraient été signalés, non pas parce que le visage ne correspondait pas à la pièce d'identité, mais parce que le visage lui-même n'était ni réel ni véritablement présent.

Voici pas un cas isolé de fraude par deepfake

L'affaire ABN AMRO est le dernier épisode en date d'une série croissante de cas de fraude financière impliquant des deepfakes.

En avril 2025, la police de Hong Kong a arrêté huit personnes appartenant à un réseau de fraude utilisant des deepfakes qui avait utilisé 21 cartes d'identité hongkongaises volées pour ouvrir 44 comptes bancaires, dont une trentaine ont abouti. Le groupe avait superposé ses propres visages sur les photos d'identité volées afin de contourner la reconnaissance faciale, la même technique utilisée contre ABN AMRO, et les comptes étaient liés à des activités de blanchiment d'argent et d'abus de crédit.

Cela marque un changement structurel dans la manière dont la fraude liée à l'ouverture de nouveaux comptes : les outils sont peu coûteux, les compétences requises sont minimes et les systèmes de vérification sur lesquels s’appuient la plupart des banques n’ont pas été conçus pour faire face à cette menace.

Ce que les établissements financiers doivent retenir

1. L'ingénierie sociale et les médias synthétiques vont de pair. Le fraudeur ne s'est pas contenté d'utiliser des deepfakes. Il a utilisé une fausse annonce de location pour obtenir des documents d'identité authentiques appartenant à de vraies personnes. Les systèmes de vérification doivent tenir compte du fait que les documents présentés peuvent être authentiques, même si la personne qui les présente ne l'est pas.
2. Une vérification statique ne suffit pas. Une vérification d'identité par selfie qui utilise aujourd'hui les mêmes règles qu'à son lancement constitue un seuil à franchir, et non un obstacle à l'entrée. Les institutions financières ont besoin d'une vérification qui évolue face aux nouvelles techniques d'attaque, notamment les menaces basées sur l'IA qui connaissent la croissance la plus rapide.

La question n'est plus « si la fraude KYC liée au deepfake affectera-t-elle votre établissement, à quand, et si vous la détecterez avant que 46 – ou des milliers d’autres – comptes ne soient ouverts à grande échelle.

Le processus d'intégration d'ABN AMRO est courant dans le secteur bancaire. Il en va de même, de plus en plus, pour la vulnérabilité qu'il a mise en évidence. Découvrez comment la technologie Dynamic Liveness d'iProov détecte les attaques par injection, les deepfakes et les attaques par relecture que la comparaison traditionnelle entre selfie et pièce d'identité ne parvient pas à repérer. Réservez votre démonstration en direct.