Ces chiffres illustrent une mutation majeure : la fraude à l’identité devient un phénomène industrialisé, alimenté par l’IA et organisé à grande échelle.

Dans ce contexte, la question centrale pour les institutions financières et les plateformes numériques n’est plus seulement de savoir comment renforcer les contrôles, mais comment détecter des comportements frauduleux dans un environnement où les artefacts d’identité deviennent de plus en plus crédibles.

Le piège des contrôles visibles

Historiquement, la lutte contre la fraude s’est structurée autour de points de contrôle visibles :

• - vérification de documents d’identité
• - reconnaissance faciale
• - procédures KYC lors de l’onboarding

Ces mécanismes restent indispensables. Mais ils possèdent une caractéristique fondamentale : ils sont observables par ceux qui les subissent. Autrement dit, les fraudeurs peuvent les analyser, les tester et apprendre progressivement à les contourner. Un fraudeur confronté régulièrement à un système de face-match cherchera rapidement à comprendre son fonctionnement. Il pourra alors expérimenter différentes méthodes : deepfake, face swap, injection vidéo ou reproduction biométrique.

Ce phénomène n’est pas nouveau. Dans de nombreux domaines de sécurité, les mécanismes visibles finissent toujours par être étudiés et contournés. C’est précisément pour cette raison que la lutte contre la fraude ne peut pas reposer uniquement sur ce que l’on pourrait appeler la « main droite » : le contrôle visible.

La « main gauche » : la détection invisible

Une stratégie antifraude efficace repose en réalité sur deux dimensions complémentaires :

• - La main droite : le contrôle.Ce sont les vérifications visibles qui permettent de confirmer une information ou une identité.
• - La main gauche : la détection.C’est l’analyse de signaux invisibles ou difficilement interprétables par les fraudeurs.

La différence est essentielle. Les contrôles peuvent être observés et contournés. La détection repose sur des patterns de données et des corrélations difficiles à anticiper. Dans ce modèle, les contrôles jouent un rôle important mais secondaire : ils servent à renforcer ou confirmer un signal détecté ailleurs. Cette logique permet d’éviter une escalade technologique permanente entre les fraudeurs et les systèmes de contrôle.

Deepfakes : la nouvelle frontière de la fraude biométrique

L’émergence des deepfakes illustre parfaitement cette évolution. Les systèmes biométriques modernes intègrent désormais des mécanismes de preuve de vie, demandant à l’utilisateur de réaliser une action en temps réel. Ces contrôles rendent la fraude plus complexe, mais ils poussent également les attaquants vers des techniques plus avancées. Selon Entrust, les deepfakes représentent désormais environ 40 % des tentatives de fraude sur les systèmes biométriques vidéo.

Les fraudeurs exploitent notamment :

• - des deepfakes générés par IA
• - des attaques par injection utilisant des caméras virtuelles
• - des flux vidéo manipulés insérés dans les systèmes de capture

Ces techniques permettent d’introduire des données biométriques falsifiées directement dans les systèmes d’identité numérique. La fraude ne consiste donc plus simplement à falsifier un document. Elle consiste à manipuler les flux de données eux-mêmes.

L’essor des identités synthétiques

Parallèlement, l’IA accélère la création d’identités synthétiques. Plutôt que de voler une identité existante, les fraudeurs créent une nouvelle identité en combinant :

• - des données personnelles réelles
• - des informations fabriquées
• - des documents manipulés ou générés

Les outils d’IA permettent de produire ces identités rapidement, à faible coût et à grande échelle. Ce type de fraude est particulièrement dangereux car ces identités peuvent rester longtemps actives dans les systèmes d’une organisation avant d’être exploitées. Les pertes associées à la fraude par identité synthétique devraient atteindre des dizaines de milliards de dollars dans les prochaines années.

L’IA au service de la détection

Face à ces évolutions, la question n’est pas seulement d’utiliser l’IA pour renforcer les contrôles visibles. Une stratégie plus pertinente consiste à déployer l’IA au cœur des mécanismes de détection. La fraude ne se manifeste généralement pas par une anomalie unique. Elle apparaît plutôt à travers une accumulation de signaux faibles :

• - incohérences dans les données
• - comportements atypiques
• - corrélations entre comptes ou identités
• - patterns d’activité similaires

L’analyse de ces signaux nécessite de traiter de grandes quantités de données et de détecter des structures invisibles à l’œil humain. C’est précisément dans ce domaine que l’intelligence artificielle peut apporter le plus de valeur. Cette approche s’inscrit dans le cadre conceptuel DIKW (Data – Information – Knowledge – Wisdom),où l’analyse des données permet progressivement de transformer l’information brute en connaissance exploitable.

Une architecture antifraude multicouche

Pour être efficace, une stratégie antifraude moderne doit combiner plusieurs couches de protection :

• - analyse documentaire
• - biométrie faciale
• - intelligence device et comportementale
• - géolocalisation et analyse de vélocité
• - corrélation entre identités
• - détection de fraude répétée

L’objectif n’est pas de multiplier les contrôles visibles, mais de combiner des signaux multiples qui rendent la fraude détectable sans être facilement observable. Cette approche permet de maintenir un équilibre essentiel : protéger les organisations contre la fraude tout en limitant la friction pour les utilisateurs légitimes.

Renforcer la confiance dans l’identité numérique

Dans un monde de plus en plus digitalisé, la vérification d’identité reste un moment critique du parcours utilisateur. L’onboarding constitue souvent la première opportunité de construire la confiance dans une identité. Les solutions modernes de vérification d’identité numérique combinent aujourd’hui plusieurs sources d’information et plusieurs mécanismes de détection afin d’évaluer le risque global associé à une identité.

Des plateformes telles que D-Risk Commerce et D-Risk ID de Oneytrust s’inscrivent dans cette logique en orchestrant différents signaux de risque afin de renforcer la détection de fraude sans dégrader l’expérience utilisateur.L’objectif n’est pas de remplacer les contrôles, mais de les intégrer dans une stratégie de détection plus large et moins prévisible pour les fraudeurs.

En conclusion

L’essor des deepfakes générés par IA marque une nouvelle étape dans l’évolution de la fraude à l’identité. La fraude n’est plus seulement une question de documents falsifiés ou de données volées. Elle devient un phénomène systémique combinant identités synthétiques, contenus générés par IA et infrastructures automatisées d’attaque. Dans ce contexte, les organisations doivent dépasser une logique centrée uniquement sur les contrôles visibles.

La véritable efficacité repose sur la capacité à détecter les patterns frauduleux à travers l’analyse de données et de signaux faibles.

Autrement dit, la lutte contre la fraude ne se joue pas seulement dans la main droite — celle du contrôle. Elle se joue surtout dans la main gauche — celle de la détection.

The post The Rise of AI-Generated Deepfakes in Identity Theft appeared first on Oneytrust.

A travers l'Europe selon le MRC , les commerçants en ligne européens perdent déjà environ 2,8 % de leurs revenus à cause de la fraude, qui représente environ 3 % de toutes les commandes. Les usurpations d'identité et les piratages de comptes sont en forte augmentation, en partie alimentés par l'IA qui peut générer à grande échelle des identités fictives convaincantes et des scripts d'ingénierie sociale, selon l'agence britannique de lutte contre la fraude CIFAS. L'IA agentique ne fait que renforcer cette tendance des deux côtés de la barrière. 

Pour les commerçants et les sociétés financières, cependant, un dilemme se pose. De plus en plus, les acheteurs et les nouveaux clients utiliseront l'IA pour rechercher et acheter des biens et des services.  

À partir de maintenant, vous disposez essentiellement de deux nouveaux « segments de clientèle » dans vos données : 

• IA agentique légitime – les assistants commerciaux, les agents de paiement et les agrégateurs agissant pour le compte de personnes physiques. 
• IA agentique malveillante – des agents informatiques qui martèlent vos processus d'inscription, vos vérifications d'identité et vos paiements à grande échelle. 

La tâche des commerçants et des prestataires de services financiers consiste à collaborer avec leurs sociétés de détection des fraudes afin de se frayer un chemin à travers ce champ de mines. Chez Oneytrust, nous avons observé cette tendance émerger au cours de l'année 2025 et, comme le reste du monde, nous anticipons une forte augmentation en 2026.  

Donc, ce que vous ne voulez pas bloquer ; l'IA agentique est déjà utilisée comme interface consommateur pour les paiements et les achats : 

• Plusieurs options d'IA agentique font leur apparition en Europe , telles que « Agent Pay » de Mastercard, « Intelligent Commerce » de Visa, « Buy for Me » d'Amazon et « Shop with AI » de Google, où des agents initient des paiements dans le cadre de paramètres définis par le consommateur. 

• Les acteurs du secteur des paiements décrivent le « commerce agentique » comme des agents IA qui détiennent des autorisations conditionnelles pour effectuer des achats et des paiements au nom d'un utilisateur. Selon Visa, leur fonctionnement est similaire à celui des cartes enregistrées ou des paiements récurrents, mais ils offrent une expérience utilisateur conversationnelle et permettent une plus grande prise de décision.  

Les régulateurs sont à la traîne : la directive PSD2 ne mentionne pas l'IA, et même la directive PSD3/PSR ne fait référence à l'IA qu'une seule fois, dans le cadre de la prévention de la fraude. Mais les agents consommateurs font leur apparition malgré tout. 

Pour un commerçant, cela signifie qu'une partie du « trafic bot » est désormais un trafic à forte valeur ajoutée et conforme (l'IA faisant ce qu'un client fidèle lui a demandé de faire). Ces agents proviennent souvent d'adresses IP de centres de données, de navigateurs sans interface graphique ou d'appareils partagés, et réutilisent les identifiants et les moyens de paiement enregistrés, c'est-à-dire qu'ils sont très similaires aux bots que vous avez passé tant de temps à essayer de dissuader.  

Si vous bloquez tout ce qui ressemble à un agent, vous détruirez ce canal émergent et contrarierez les programmes, les PSP et les grands partenaires technologiques qui le soutiennent. 

Comment les fraudeurs utilisent l'IA agentique contre les commerçants et les banques 

Plusieurs tendances se dégagent des rapports européens et mondiaux : 

Remplissage de credentials et ATO avec des agents utilisant des ordinateurs (CUA). 

Selon un rapport de Push Security, les CUA de type « Opérateur » d'OpenAI montrent qu'ils peuvent se connecter à n'importe quelle application web, lire des pages, cliquer sur des boutons et gérer des flux complets comme un humain, mais à l'échelle d'un bot. Cela permet aux pirates de diffuser les identifiants volés sur des milliers de sites, puis d'effectuer des actions dans les applications une fois qu'ils y ont accès. 

Hameçonnage et ingénierie sociale à grande échelle alimentés par l'IA et visant les paiements. 

Le rapport 2025 du Conseil européen des paiements sur les menaces identifie le phishing et les deepfakes générés par l'IA comme des facteurs clés de la fraude APP et des escroqueries par usurpation d'identité, qui font disparaître les barrières linguistiques. 

Ouverture de compte et identité synthétique à l'échelle industrielle. 

Les spécialistes de la criminalité financière préviennent que l'IA agentielle sera utilisée pour inonder les services d'inscription en ligne des banques de demandes d'ouverture de compte très cohérentes et en plusieurs étapes, en réutilisant et en recombinant des éléments d'identité volés ou synthétiques. 

Fraude au paiement « speedruns ». 

Arkose Labs parle des agents qui contournent la navigation normale, accèdent directement aux points de terminaison à forte valeur ajoutée (tests de cartes, cartes-cadeaux, BNPL, articles coûteux) et s'adaptent en temps réel en cas de friction. 

Votre pile d'identification et de fraude va voir des agents IA tenter d'ouvrir des comptes et d'effectuer des achats 24 heures sur 24, 7 jours sur 7, certains de manière bienveillante, d'autres absolument pas. 

Pourquoi les défenses classiques contre les bots ne suffisent pas 

Le problème, bien résumé par un récent blog sur la fraude, est qu'à première vue, l'IA bénéfique et l'IA malveillante sont techniquement impossibles à distinguer. Les deux : 

• Exécutez dans des navigateurs ou des CUA qui déplacent la souris, font défiler et cliquent comme des humains. 
• Peut introduire une instabilité dans les synchronisations et les frappes au clavier. 
• Peut respecter (ou imiter délibérément) vos flux UX. 

Les règles traditionnelles relatives aux bots (« IP du centre de données = blocage », « trop rapide = bot », « pas de souris = bot ») sont ici des outils peu efficaces qui pénalisent les agents de paiement légitimes autant que les attaquants. Il faut cesser de raisonner en termes de « bot contre humain » et commencer à réfléchir en termes d'intention et de comportement au niveau de l'identité, de l'appareil et du parcours. 

Comment distinguer les bons agents des mauvais 

Pour les commerçants et les banques qui utilisent un fournisseur de services d'identification et de lutte contre la fraude tel que Oneytrust, la stratégie de détection pour ce cas d'utilisation se présente globalement comme suit. 

Traiter « l'agent » comme sa propre classe d'identité 

La première étape consiste à modéliser explicitement le trafic des agents : 

Marquez les sessions où l'agent utilisateur, le comportement de l'appareil ou le modèle d'intégration indiquent clairement une couche d'IA ou d'automatisation. 

Maintenir des bases de référence distinctes pour les risques suivants : 

Séances humaines 

Agents propriétaires (automatisation de votre propre application) 

Agents tiers de confiance (moyens de paiement des grandes entreprises technologiques, partenaires officiels et nouveaux agents d'achat IA mentionnés ci-dessus) 

Agents inconnus / suspects 

Les agents légitimes ont tendance à être stables dans le temps : même fournisseur, plages d'adresses IP similaires, même petit ensemble d'identités et calendrier prévisible, tout comme les personnes légitimes. Les agents malveillants se dispersent entre différentes identités, différents commerçants et différentes institutions, imitant ainsi leurs créateurs frauduleux.  

Cohérence au niveau de l'identité et des données 

C'est là que votre couche d'identité numérique prend tout son sens. Le positionnement de Oneytrust est très clair :avec l'essor de l'IA générative, des deepfakes et de la fraude à l'identité synthétique, les contrôles KYC statiques deviennent un risque pour la sécurité. D-Risk ID se concentre sur la cohérence contextuelle des données d'identité (téléphone, e-mail, appareil, adresse, etc.) et peut effectuer une validation croisée avec un consortium d'identités réelles et validées provenant des principaux détaillants et banques européens. 

Contre l'IA agentique 

Les agents légitimes réutiliseront principalement des identités connues et fiables : longue histoire, habitudes de consommation normales, historique cohérent des appareils, correspondances solides dans les données des consortiums. 

Les agents malveillants qui tentent d'ouvrir des comptes en masse ou de tester des identités volées produiront : 

• De nombreuses identités vues pour la première fois dans un court laps de temps. 
• Correspondances faibles ou inexistantes avec les graphes d'identité réels. 
• Modèles synthétiques (combinaisons nom/adresse e-mail inhabituelles, inadéquation entre la localisation géographique et le numéro de téléphone/l'adresse e-mail, infrastructure jetable). 

Votre système de notation doit considérer par défaut les « nouvelles identités + sessions d'agent » comme présentant un risque élevé, sauf si l'identité est clairement ancrée dans votre consortium / vos données historiques. En réalité, les agents légitimes ressemblent en fait aux modèles et aux identités des utilisateurs légitimes. Ouf ! 

De plus, les agents de paiement légitimes proviennent souvent d'un petit parc d'appareils stable, avec des relations contractuelles claires. Vous pouvez progressivement ajouter ces modèles à votre liste blanche une fois que vous êtes certain qu'ils sont fiables. 

Comportement sur place 

C'est là que l'IA malveillante se trahit vraiment. 

Les agents malveillants ont tendance à passer directement de l'entrée à la connexion/inscription/paiement sans aucune navigation ni hésitation ; ils n'explorent pas le contenu, ils se contentent de remplir les formulaires. Ils peuvent sur-indexer les entrées de bons/codes, les paiements BNPL, les cartes-cadeaux, les produits à limite élevée, bref tout ce qui offre un meilleur rendement par seconde. Là encore, leur comportement est très similaire à celui des fraudeurs humains, mais à une vitesse supérieure.  

En revanche, les agents consommateurs légitimes lisent le contenu des produits, comparent les options et respectent les préférences des utilisateurs définies en amont. Ils reviennent souvent vers les mêmes marchands et catégories, avec des taux de litiges/rétrofacturation faibles au fil du temps. Vous pouvez créer un modèle qui reconnaît et autorise les bons comportements et les agents, comme vous le faites pour les bons acheteurs.  

En résumé, votre pile anti-fraude doit être capable de distinguer « un agent qui se comporte comme un proxy de client à long terme » d'un « agent qui se comporte comme un script de credential stuffing avec une interface utilisateur ». 

1. Ne bannissez pas l'automatisation, classez-la. 

Intégrez explicitement la prise en charge du trafic des « agents de confiance » dans vos modèles de risque au lieu de traiter toutes les sessions non humaines comme hostiles. 

2. Reliez tout à une identité réelle. 

Appuyez-vous fortement sur les données relatives à l'identité et au consortium : si un agent agit pour le compte d'identités que vous ne pouvez pas ancrer dans le monde réel, relevez considérablement la barre. Discutez avec Oneytrust de nos réseaux graphiques.  

3. Utilisez une friction adaptative, pas des blocages généraux. 

Pour les cas « nouvelle identité + agent + produit à haut risque », optez par défaut pour une vérification supplémentaire : SCA renforcée, contrôles d'identité supplémentaires ou confirmation hors bande. Les règles européennes PSD3/PSR poussent de toute façon les PSP à renforcer leurs contrôles et leur responsabilité en matière de fraude par usurpation d'identité – les commerçants peuvent surfer sur cette vague. 

4. Se conformer aux directives de l'ABE relatives à l'intégration à distance 

Les directives EBA’s remote relatives à l'intégration à distance exigent des processus robustes et sensibles au risque pour l'ouverture de comptes en ligne, y compris des contrôles visant à détecter l'usurpation d'identité et la falsification de documents d'identité. Vous avez donc pour mission de mettre en place des contrôles comportementaux et d'identité plus approfondis lors de la création de comptes par des agents, sans pour autant pénaliser les clients légitimes. 

5. Instrument et limitation du débit que les agents adorent 

L'inscription, la connexion, la réinitialisation du mot de passe, l'ajout d'un moyen de paiement et les demandes de produits à haut risque doivent être soumis à des limites de fréquence précises et à une détection des anomalies spécialement adaptées à J'ai réorganisé le document en uniformisant les titres et les en-têtes, en supprimant toute numérotation et en nettoyant le contenu conformément à vos instructions.

The post Agentic AI  – what you need to know in 2026  appeared first on Oneytrust.