Deepfake et vérification d'identité : l'IA générative contourne la preuve de vie
Synacktiv vient de démontrer qu'il suffit d'une webcam virtuelle et d'un modèle d'IA générative accessible au grand public pour tromper les systèmes de « preuve de vie » utilisés dans la vérification d'identité en ligne. Une faille qui ne concerne pas que les sites pour adultes : elle touche aussi l'identité numérique, l'ouverture de comptes bancaires et la signature électronique — des usages directement encadrés par le RGPD et le référentiel PVID de l'Anssi.
Ce qui s'est passé
Dans une étude publiée le 16 juillet 2026, les chercheurs Kevin Tellier et Léo Desmonts, du cabinet de cybersécurité offensive Synacktiv, ont réussi à contourner un dispositif de vérification d'âge reposant sur la détection de « liveness » (vivacité) — la technique standard qui demande à l'utilisateur de bouger la tête devant sa webcam pour prouver qu'il s'agit bien d'une personne réelle.
Le site testé s'appuyait sur le service britannique AgeGo, qui délègue l'analyse biométrique à AWS Rekognition. Les chercheurs ont créé une fausse webcam virtuelle (via le pilote Linux v4l2loopback) et y ont injecté une vidéo générée par IA à partir d'une simple photo d'identité « vieillie » artificiellement. Des modèles open source comme Wan2.2 Animate ou des solutions cloud comme Kling ont suffi à animer cette image de référence et à reproduire les mouvements demandés par le challenge. Résultat : la vérification algorithmique a été validée.
Pourquoi c'est important
Contrairement aux deepfakes « classiques » par échange de visage, qui nécessitent un entraînement long et laissent des artefacts visibles, ces nouveaux modèles génératifs vidéo animent directement une image de référence, sans étape d'entraînement préalable. Le rendu est nettement plus convaincant — et accessible avec un simple serveur équipé d'une carte graphique grand public.
En France, ces dispositifs de vérification biométrique par vidéo relèvent du principe de sécurité du traitement posé par l'article 32 du RGPD, et pour les usages les plus sensibles, du référentiel PVID de l'Anssi, articulé avec le règlement européen eIDAS. Ce cadre distingue un niveau « substantiel », déjà appliqué par quatre opérateurs certifiés (Docaposte IOT, IDnow, NjF Vision, Namirial), et un niveau « élevé » réservé aux actes les plus engageants comme la signature électronique qualifiée. La Commission européenne planche d'ailleurs sur d'autres approches de vérification d'âge fondées sur le zero-knowledge proof, qui évitent justement de s'appuyer sur une preuve vidéo.
Les chercheurs de Synacktiv rappellent aussi que la vérification humaine, censée constituer le dernier rempart en cas de doute, n'est pas infaillible : fatigue des opérateurs, biais cognitifs, cadence de traitement élevée dans les centres de vérification — autant de facteurs qui peuvent laisser passer une vidéo truquée, surtout quand la qualité de l'image se dégrade.
Ce que ça change pour les organisations
Pour les DPO et RSSI, cette étude est un signal d'alerte sur la fiabilité des mesures de sécurité fondées sur la biométrie vidéo, un sujet déjà identifié comme risque montant dans les stratégies de sécurité des données des organisations qui traitent des données sensibles. Trois réflexes concrets s'imposent.
Réévaluer les prestataires de vérification d'identité à distance utilisés dans les parcours clients — bancaires, KYC, signature électronique — au regard de leur résistance aux deepfakes vidéo de dernière génération, pas seulement au face-swapping classique.
Documenter ce risque émergent dans les analyses d'impact des traitements concernés : une AIPD à jour doit désormais intégrer la contournabilité de la preuve de vie par IA générative comme scénario de risque, au même titre que le vol d'identité classique.
Suivre les mises à jour du référentiel PVID de l'Anssi, qui intègre régulièrement les nouvelles menaces identifiées lors des audits, et envisager le recours à des services d'identité numérique tiers ou à des couches de détection complémentaires fondées elles-mêmes sur des modèles génératifs, capables de repérer les artefacts invisibles à l'œil humain.
Le sujet dépasse d'ailleurs la seule biométrie vidéo : l'IA générative élargit plus largement la surface d'attaque des systèmes d'identification biométrique, un terrain déjà scruté de près par le régulateur européen dans le cadre de l'AI Act.
Ce que Leto pense de cette décision
Cette démonstration confirme une tendance de fond : la confiance accordée à une vidéo, longtemps pierre angulaire des dispositifs de sécurité, devient elle-même une vulnérabilité à mesure que l'IA générative progresse. Ce n'est pas un problème que la réglementation seule peut résoudre à coup de mise à jour de référentiel — c'est un problème d'architecture de vérification. Les organisations qui délèguent aveuglément leur conformité KYC ou leur signature électronique à un unique fournisseur biométrique prennent un risque qu'elles ne mesurent pas toujours. Mieux vaut l'anticiper maintenant, dans une AIPD, que le découvrir après un contournement réel.
Sources : Silicon.fr, Étude Synacktiv

