La fraude à l'identité fictive : le problème des victimes invisibles et comment y remédier

Pensez aux milliards d'utilisateurs qui s'inscrivent chaque jour en ligne pour accéder à de nouveaux services numériques : s'abonner à une plateforme de streaming, souscrire une assurance, consulter son dossier médical, ouvrir un compte bancaire. Les entreprises accordent une importance capitale à l'intégration du plus grand nombre de clients possible, et ce, le plus rapidement possible. Plus il y a de clients, plus le chiffre d'affaires est élevé. Dans le secteur public, l'adoption massive des services numériques est essentielle à la rentabilité.

Mais que se passe-t-il si vous enregistrez un utilisateur qui n'est pas une personne réelle ?

Il ne s'agit pas de quelqu'un qui se fait passer pour vous – c'est ce qu'on appelle l'usurpation d'identité classique. Ici, c'est différent. Il s'agit d'une personne qui n'existe tout simplement pas. Un personnage fictif, assemblé à partir de fragments de données volées, conçu pour paraître suffisamment réel afin de passer vos contrôles, de se constituer un historique de crédit, puis de disparaître avec votre argent.

Il s'agit de la fraude à l'identité synthétique. Elle coûte aux entreprisesentre 20 et 40 milliards de dollars par an à l'échelle mondiale. Les prêteurs américains ont été exposés à un risque de 3,3 milliards de dollars lié aux identités synthétiques associées à de nouveaux comptes jusqu'en 2024. Et 44 % des organisations la classent désormais comme le type de fraude qu'elles surveillent le plus étroitement.

Ce qui rend ce phénomène particulièrement dangereux, ce n'est pas seulement son ampleur. C'est le fait qu'il n'y a aucune victime pour le signaler.

Qu'est-ce que la fraude à l'identité synthétique ?

La fraude à l'identité synthétique consiste à créer une nouvelle identité fictive en combinant des informations réelles, volées et inventées, puis à utiliser cette identité pour ouvrir des comptes, accéder à des services ou commettre des délits financiers.

Contrairement à l'usurpation d'identité classique, où un criminel vole l'identité d'une personne réelle et se fait passer pour elle, la fraude synthétique consiste à créer une « personne » qui n'a jamais existé. Cette distinction revêt une importance capitale pour la détection, comme nous l'expliquerons ci-dessous.

Cela prend généralement l'une des trois formes suivantes :

Fabrication d'identité : entièrement constituée de données fictives. Aucune information personnelle réelle n'est utilisée.

Falsification d'identité : des données d'identité réelles sont légèrement modifiées – un chiffre changé dans un numéro de sécurité sociale, une date de naissance modifiée – afin de créer une nouvelle identité capable de passer les contrôles de validation.

Compilation d'identité (fraude de type « Frankenstein ») : éléments de données réels provenant de plusieurs sources, combinés pour former une nouvelle identité. Un numéro de sécurité sociale valide associé à un faux nom et à une adresse volée. Il s'agit de la forme la plus courante et la plus dangereuse, car chaque élément de données pris isolément semble légitime.

Le problème des victimes invisibles : pourquoi la fraude synthétique déjoue les méthodes de détection traditionnelles

Voici ce qui distingue fondamentalement la fraude à l'identité synthétique de tous les autres types de fraude : aucune personne réelle ne surveille ces activités frauduleuses.

Dans les cas classiques d'usurpation d'identité ou de piratage de compte, il y a une véritable victime. Celle-ci remarque des transactions inhabituelles. Elle appelle sa banque. Elle porte plainte. La fraude est signalée. La détection commence par la victime.

Dans le cas de l'usurpation d'identité fictive, personne n'appelle. Personne ne signale quoi que ce soit. L'identité ayant été inventée de toutes pièces, aucune personne réelle ne vérifie les relevés bancaires ni ne surveille le crédit. La fraude se déroule en silence – souvent pendant des mois, voire des années – jusqu'à ce que le criminel décide qu'il est temps d'encaisser ses gains.

Cela engendre toute une série de problèmes pour les organisations :

• Les systèmes de détection de fraude qui s'appuient sur des anomalies comportementales ne se déclenchent pas, car l'identité synthétique sert de référence. Il n'y a donc pas de « norme » par rapport à laquelle s'écarter.
• Les vérifications auprès des agences d'évaluation du crédit ne permettent pas de détecter ces cas, car chaque élément d'information pris isolément – un numéro de sécurité sociale valide, un nom inventé, une adresse plausible – peut paraître légitime.
• La vérification fondée sur les données échoue, car toute information pouvant être saisie au clavier peut être volée ou inventée. C'est pourquoi la vérification d'identité doit aller au-delà de la simple comparaison de données.
• Il est pratiquement impossible de récupérer ces sommes, car lorsque la faillite survient, la « personne » débitrice n'existe plus. Les pertes sont alors passées en perte et profit.

C'est pourquoi la fraude d'identité synthétique est, par nature, plus difficile à endiguer que tout autre type de fraude. L'absence de victime n'est pas un effet secondaire : c'est précisément ce qui permet à tout le système de fonctionner.

Qui en fait les frais : les victimes invisibles de la fraude liée aux produits synthétiques

Il n'y a peut-être pas de victime « visible », mais des personnes réelles en pâtissent. Les fragments de données légitimes utilisés pour créer des identités synthétiques doivent bien provenir de quelque part – et ils proviennent généralement des populations les plus vulnérables :

• Enfants : le numéro de sécurité sociale d'un enfant n'est associé à aucun antécédent de crédit et ne sera pas vérifié par son titulaire avant des années, voire des décennies. C'est la base idéale pour créer une identité synthétique.
• Personnes décédées : les données relatives aux personnes décédées sont exploitées car elles ne suscitent aucune réaction de la part du véritable propriétaire.
• Les personnes âgées : elles ont souvent un dossier de crédit peu fourni ou inactif et ne surveillent pas toujours activement leur solvabilité.
• Les immigrants et les personnes qui découvrent le système de crédit : en raison de leur dossier de crédit limité et de leur méconnaissance des systèmes locaux, ils constituent des cibles de choix pour le vol de numéro de sécurité sociale.

Lorsqu'un enfant atteint l'âge de 18 ans et demande sa première carte de crédit, il peut découvrir que son numéro de sécurité sociale a servi pendant des années à établir la cote de crédit d'une autre personne. Les conséquences sont bien réelles, même si cette identité n'était que fictive.

Le cycle de vie d'une attaque par identité synthétique

Comprendre comment la fraude synthétique évolue au fil du temps permet d'identifier les points où les mesures de protection peuvent intervenir – et les angles morts dont souffrent actuellement la plupart des organisations.

Phase 1 : Définition de l'identité

Le fraudeur se forge une identité synthétique en associant un identifiant légitime (généralement un numéro de sécurité sociale réel obtenu à la suite de fuites de données ou sur le dark web) à des informations personnelles inventées. Le rapport iProov Threat Intelligence Report 2025 montre comment les réseaux de « Crime-as-a-Service » commercialisent désormais des kits d’assemblage d’identités qui automatisent ce processus à grande échelle. Certains fraudeurs vont encore plus loin en créant des antécédents pour ces identités synthétiques – profils sur les réseaux sociaux, parcours professionnels, voire de petits sites web – afin de leur conférer davantage de crédibilité.

Où la protection doit-elle intervenir ? Au moment de l'intégration, avant même que l'identité n'entre dans votre système. C'est là que la vérification biométrique du visage, associée à une détection de présence réelle, s'avère décisive : une identité fictive n'est pas associée à une personne réelle, et personne ne peut donc fournir la correspondance biométrique.

Phase 2 : Développement de la solvabilité

L'identité fictive est introduite dans les systèmes financiers et « cultivée » avec patience. Des comptes modestes sont ouverts, des paiements réguliers sont effectués, les limites de crédit augmentent. Au fil des mois ou des années, cette identité se construit un profil de crédit d'apparence légitime. Certains fraudeurs s'ajoutent en tant qu'utilisateurs autorisés sur des comptes réels afin d'accélérer le processus.

Les domaines à surveiller : surveillance continue des schémas comportementaux associés aux identités synthétiques – nouveaux comptes présentant une constitution de crédit anormalement rapide, ajouts d'utilisateurs autorisés sans lien apparent, demandeurs disposant d'un dossier de crédit limité et dont l'historique est étrangement vierge.

Phase 3 : La sortie

Une fois que les limites de crédit sont suffisamment élevées, le fraudeur épuise tous les comptes, contracte tous les prêts disponibles, puis disparaît. L'identité synthétique s'évanouit. Il n'y a aucune personne réelle à poursuivre. Les identités synthétiques étaient impliquées dans 21 % des cas de fraude interne détectés en 2025, et les stratagèmes de « bust-out » restent l'une des méthodes les plus courantes pour tirer profit de ces profils fictifs.

Où la défense devrait-elle intervenir ? Elle ne devrait pas être nécessaire. Si une vérification authentique de la présence permet de détecter une fausse identité dès l'inscription, cette étape n'a jamais lieu. Chaque dollar dépensé pour la détection des fraudes est un dollar qui aurait dû être investi dans la vérification lors de l'inscription.

Pourquoi les données biométriques de base ne suffisent pas

Tous les systèmes biométriques n'offrent pas le même niveau de protection contre la fraude à l'identité synthétique. Un système de reconnaissance faciale basique, qui se contente de comparer un selfie à la photo d'un document, peut être contourné si le fraudeur fournit une image deepfake correspondante ou fait appel à une personne réelle (une « mule d'identité ») pour valider la vérification avant de céder le compte.

C'est pourquoi le type de vérification biométrique a son importance. Pour se prémunir contre la fraude à l'identité synthétique lors de la procédure d'intégration, trois éléments doivent être réunis simultanément :

1. Vérification de la concordance entre la personne et le document d'identité – comparaison faciale standard.
2. La confirmation qu'un être humain réel et vivant est physiquement présent – et non une photo, un masque, un deepfake ou une vidéo incrustée.
3. Confirmation que la vérification est en cours en ce moment même – il ne s'agit pas d'une rediffusion d'une session précédente ni d'un flux préenregistré.

Ce premier contrôle ne suffit pas à lui seul. Ce n’est que la combinaison des trois qui fait de la vérification de la présence physique la solution structurelle à la fraude d’identité synthétique – car même l’identité synthétique la plus convaincante s’effondre lorsqu’un être humain réel doit être physiquement présent pour l’activer.

Comment iProov lutte contre la fraude à l'identité synthétique

La technologie Dynamic Liveness d'iProov vérifie ces trois conditions en une seule interaction passive. Voici ce que cela signifie concrètement dans la lutte contre la fraude synthétique :

• Flashmark met fin aux doublures issues du deepfake. La technologie Flashmark brevetée par iProov éclaire le visage de l'utilisateur avec une séquence de couleurs unique et imprévisible à chaque session. Le reflet est analysé pour confirmer la présence réelle de l'utilisateur en temps réel. Chaque session génère des données biométriques uniques qui expirent immédiatement : elles ne peuvent être ni rejouées, ni interceptées, ni synthétisées. Cela signifie qu'un fraudeur ne peut pas utiliser un deepfake, une vidéo préenregistrée ou un visage généré par IA pour activer une identité synthétique. iProov est le premier et le seul fournisseur certifié NIST SP 800-63-4 et le premier à avoir atteint le niveau « High » de la norme CEN/TS 18099 pour la détection des attaques par injection. Au cours de plus de 40 jours de tests accrédités, aucune attaque n'a abouti.
• iSOC détecte ce que les systèmes statiques ne parviennent pas à repérer. Le Centre des opérations de sécurité iProov (iSOC) surveille en temps réel les schémas d'attaque chez tous les clients, sur toutes les zones géographiques et toutes les plateformes. Lorsque de nouvelles techniques d'activation d'identités synthétiques apparaissent – nouveaux outils de deepfake, nouvelles méthodes d'injection, nouveaux schémas de recrutement de mules –, iSOC les détecte et déploie des mises à jour défensives à l'échelle mondiale, sans attendre la prochaine version logicielle.
• L'architecture cloud garantit la confidentialité des mécanismes de défense. Toutes les vérifications s'effectuent dans le cloud, et non sur l'appareil. Cela signifie que le processus de vérification ne peut pas être rétro-conçu en analysant l'appareil, et cela permet la visibilité en temps réel qui est au cœur de l'iSOC.
• La vérification passive ne pénalise pas les véritables utilisateurs. Le processus ne nécessite ni mouvement de tête, ni signe de tête, ni instruction verbale. iProov est conforme aux normes WCAG 2.2 AA et à la Section 508, et ses algorithmes ont été testés pour garantir une performance équitable, quels que soient l'âge, le sexe et la couleur de peau. Les taux de réussite dépassent généralement les 98 %. Une prévention efficace de la fraude lors de l'inscription ne doit pas nécessairement vous faire perdre de véritables clients.
• Au-delà de l'intégration des consommateurs : les identités synthétiques dans le monde du travail

Les identités fictives ne visent pas uniquement les banques et les sociétés émettrices de cartes de crédit. Des agents issus de pays soumis à des sanctions de l’OFAC ont infiltré plus de 300 entreprises en utilisant des identités fictives et des filtres « deepfake » pour passer avec succès les processus de recrutement à distance. Un employé fictif obtient ainsi accès aux systèmes, aux données et aux fonds – et l’entreprise risque de ne jamais se rendre compte que la personne qu’elle a embauchée n’existe pas.

La suite de solutions iProov Workforce étend la vérification de la présence humaine réelle à l'ensemble du cycle de vie de l'identité des employés – recrutement à distance, accès aux appareils partagés, authentification renforcée et récupération de compte – comblant ainsi la même faille dans le processus d'intégration que celle exploitée par les identités synthétiques dans les services grand public.

Le rapport 2025 d'iProov sur les renseignements relatifs aux menaces recense les outils et les techniques utilisés aujourd'hui pour commettre des fraudes à l'identité synthétique. Téléchargez le rapport complet ici.

Pour découvrir comment iProov empêche l'utilisation d'identités fictives dès la phase d'intégration, réservez une démonstration.

---

FAQ sur la fraude à l'identité synthétique

Pourquoi l'usurpation d'identité synthétique est-elle si difficile à détecter ?

Car il n'y a pas de véritable victime pour signaler le problème. L'identité a été fabriquée de toutes pièces, donc personne ne surveille le compte pour détecter d'éventuelles activités suspectes. Chaque élément d'information pris isolément (un numéro de sécurité sociale valide, un faux nom) peut paraître légitime. Les fraudeurs entretiennent souvent ces identités synthétiques pendant des mois, voire des années, afin de se constituer un historique de crédit avant de passer à l'action. La détection traditionnelle de la fraude repose sur le signalement d'anomalies par les victimes ; la fraude synthétique élimine complètement cette victime.

Qui est le plus exposé au risque de voir ses données utilisées dans le cadre d'une fraude à l'identité synthétique ?

Les enfants, les personnes décédées, les personnes âgées et les immigrés sont particulièrement visés, car leurs numéros de sécurité sociale sont souvent associés à des dossiers de crédit peu fournis ou inactifs. Le numéro de sécurité sociale d’un enfant peut être utilisé à des fins frauduleuses pendant des années avant qu’il ne soit en âge de se rendre compte du préjudice subi.

Comment la vérification biométrique permet-elle de prévenir la fraude à l'identité synthétique ?

La vérification biométrique du visage avec détection de présence réelle exige qu'un être humain bien vivant soit physiquement présent lors de la procédure d'enregistrement. Une identité synthétique ne correspond à aucune personne réelle ; par conséquent, personne ne peut fournir la correspondance biométrique requise. Des solutions avancées telles que la technologie « Dynamic Liveness » d'iProov permettent également de contrer les deepfakes et les attaques par injection qui tentent d'usurper l'identité d'une personne fictive à l'aide d'images générées par l'IA.

Quelle est la différence entre la fraude d'identité synthétique et l'usurpation d'identité ?

L'usurpation d'identité consiste à s'approprier l'identité complète d'une personne réelle. La fraude à l'identité synthétique consiste à créer une nouvelle identité en mélangeant des données réelles et des données inventées. La principale différence réside dans le fait que l'usurpation d'identité a une victime qui peut la signaler, ce qui n'est souvent pas le cas de la fraude à l'identité synthétique ; c'est pourquoi cette dernière peut passer inaperçue pendant bien plus longtemps.

Quelle est la différence entre l'usurpation d'identité synthétique et la fraude à l'ouverture de compte?

La fraude liée à l'ouverture de nouveaux comptes constitue une catégorie plus large : elle englobe tous les cas où un fraudeur ouvre un compte sous de faux prétextes, qu'il utilise une identité réelle volée ou une identité synthétique inventée de toutes pièces. La fraude à l'identité synthétique est une forme spécifique et de plus en plus répandue de fraude liée à l'ouverture de nouveaux comptes, qui se distingue par le fait que l'identité elle-même a été inventée plutôt que volée. Ces deux types de fraude exploitent les failles du processus d'onboarding, c'est pourquoi la vérification au moment de la création du compte est essentielle.

En quoi l'IA générative aggrave-t-elle la fraude à l'identité synthétique ?

Les outils d'IA générative ont considérablement réduit les obstacles à la création d'identités synthétiques convaincantes. Les fraudeurs sont désormais capables de produire à grande échelle des selfies « deepfake » réalistes, des documents d'identité générés par l'IA et même des empreintes numériques fabriquées de toutes pièces. Les plateformes de « Crime-as-a-Service » commercialisent ces capacités sous forme de kits prêts à l'emploi. Cela signifie que les identités synthétiques sont plus convaincantes et plus nombreuses que jamais, faisant de la vérification de la présence physique lors de l'inscription une mesure de défense indispensable plutôt que facultative.