Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 21 mai 2026

Comment les Fraudeurs Ouvrent des Comptes Bancaires – et Comment les Arrêter (FR-1)

Identités volées, synthétiques, attaques de vivacité deepfake, recrutement de mules financières, obfuscation d'appareils — voici le manuel exact des fraudeurs pour ouvrir des comptes bancaires, et les contrôles pour bloquer.

Par DiditMis à jour le
how-fraudsters-open-bank-accounts.png

Chaque compte bancaire frauduleux commence à l'intégration. Au moment où les analystes de fraude constatent les dégâts – les virements non autorisés, les fonds blanchis, la ligne de crédit tirée contre une identité fabriquée – le compte a déjà passé le KYC. L'exploit s'est produit avant même que le client n'existe.

Cet article décompose le manuel que les fraudeurs utilisent, étape par étape, et associe chaque technique au contrôle qui l'arrête.

Points clés à retenir

  • La fraude à l'ouverture de compte se déroule en cinq étapes superposées : acquisition d'identité, production de documents, contournement de la vivacité, obfuscation d'appareil et de réseau, et activation de mule post-ouverture.
  • Chaque étape a une contre-mesure technique spécifique. Corriger l'une sans les autres est ce que les fraudeurs recherchent.
  • Le flux KYC de base — Vérification d'identité + Vivacité passive + Correspondance faciale 1:1 + Analyse d'appareil et d'IP — ferme les vecteurs les plus courants à 0,33 $ par vérification.
  • Le filtrage AML détecte les identités de mules financières qui ont passé les vérifications de documents parce que l'identité était authentique ; la personne a été recrutée, pas fabriquée.
  • L'analyse d'appareil et d'IP met en évidence les réseaux de fraude grâce à DUPLICATED_DEVICE_FINGERPRINT et DEVICE_RECOVERED_HIGH_CONFIDENCE — les signaux qui apparaissent lorsqu'un opérateur exécute de nombreuses sessions d'intégration à partir d'un pool partagé de machines.

Étape 1 : Acquisition d'identité

Avant que tout fraudeur ne touche votre flux d'intégration, il a besoin d'un nom, d'une date de naissance et d'un numéro de document qui passera une vérification de base de données. Il existe trois façons d'en obtenir un.

Les identités volées sont le point de départ le plus courant. Les violations de données, le phishing et les marchés du dark web donnent aux fraudeurs l'accès à de vrais noms, adresses, numéros d'identité, et parfois des scans du document original — la plupart de ce qu'un flux KYC demande.

Les identités synthétiques combinent des éléments réels et inventés — un numéro de sécurité sociale (ou numéro d'identité national) authentique associé à un nom et une date de naissance fabriqués. Comme le numéro d'identité est valide, les vérifications de format et de somme de contrôle passent. La fraude synthétique est particulièrement coûteuse dans les contextes de crédit car elle construit un historique avant d'encaisser.

L'identité en tant que service est la version organisée : des réseaux criminels vendant des kits complets — images de documents vieillis, factures de services publics et instructions pour le flux d'intégration spécifique qu'ils ont déjà testé.

Ce qui l'arrête : La vérification de documents au-delà des vérifications de format — OCR sur plus de 14 000 modèles de documents, analyse MRZ et codes-barres, lecture de puces NFC — combinée à la validation de base de données contre les registres gouvernementaux. Les identités réelles volées et les identités synthétiques fabriquées laissent des signatures différentes à cette couche.

Étape 2 : Falsification et manipulation de documents

Un numéro d'identité volé est inutile sans une image qui correspond. Les fraudeurs produisent des documents de trois manières.

L'édition de modèle est le niveau d'entrée : acheter un scan haute résolution d'un document légitime et substituer la photo et les données dans un outil de fraude. Les contrefaçons bon marché sont évidentes ; les bien produites nécessitent des modèles d'apprentissage automatique entraînés pour être détectées.

Les documents imprimés et re-photographiés contournent certaines défenses de détection d'injection. Le fraudeur imprime le document falsifié, le photographie avec un bon éclairage et soumet le résultat — essayant d'introduire les artefacts physiques (grain, ombre, reflet) que les classificateurs de documents attendent d'une capture authentique.

Les documents générés par IA sont un vecteur émergent : des modèles génératifs produisant des images de documents synthétiques suffisamment réalistes pour tromper les examinateurs humains.

Ce qui l'arrête : Analyse de vivacité de document (détection de surface plate/imprimée), vérifications de cohérence multi-images et classificateurs ML entraînés sur des modèles de fraude. La lecture de puce NFC est la contre-mesure la plus difficile — si la puce valide cryptographiquement, le document est authentique.

Étape 3 : Contournement de la vivacité — déjouer les vérifications biométriques

Un fraudeur avec un document falsifié doit encore faire correspondre le visage. Les attaques prennent deux formes.

Les attaques de présentation : une photo imprimée, une vidéo sur un deuxième téléphone, ou un masque 3D tenu devant la caméra. Les modèles de vivacité modernes sont certifiés iBeta PAD Niveau 1 pour déjouer cela.

Les attaques par injection numérique ignorent complètement la caméra. Le fraudeur injecte un flux vidéo synthétique à l'aide d'un logiciel de caméra virtuelle ou de contournements d'API de navigateur. Un visage deepfake — animé pour cligner des yeux et suivre sur commande — est servi au modèle de vivacité comme s'il provenait d'une vraie caméra. Aucun environnement physique n'est requis, et cela s'adapte de manière programmatique. Les contre-mesures incluent la détection de pilote de caméra virtuelle, les classificateurs deepfake au niveau de l'image et les vérifications d'interception d'API.

Ce qui l'arrête : Vivacité passive (0,10 $) avec inférence de moins de 2 secondes et plus de 200 signaux de fraude, associée à la correspondance faciale 1:1 (0,05 $) qui vérifie le visage en direct par rapport au portrait du document.

Étape 4 : Obfuscation d'appareil et de réseau

Un réseau de fraude gérant des dizaines de comptes ne peut pas le faire à partir d'une seule IP et d'une seule machine. Le modèle opérationnel : faire pivoter les IP via des VPN, des proxys ou Tor ; utiliser des navigateurs anti-détection qui randomisent les signaux d'empreinte digitale ; exécuter des sessions à partir de machines virtuelles ou d'émulateurs. L'objectif est de faire en sorte que chaque session ressemble à une personne différente dans un endroit différent. L'indice est que le matériel et l'infrastructure réseau sous-jacents sont réutilisés.

Ce qui l'arrête : Analyse d'appareil et d'IP (0,03 $), exécutée automatiquement à chaque session. Elle capture une empreinte digitale d'appareil stable à partir des signaux GPU, de la version du navigateur, du rendu du canevas et des attributs matériels, puis la compare à toutes les sessions précédentes. Elle enrichit également la connexion : détection de VPN et proxy, détection de nœuds de sortie Tor et de centres de données, cohérence pays-document.

Les deux avertissements les plus importants pour la détection de réseau :

  • DUPLICATED_DEVICE_FINGERPRINT — la même empreinte digitale persistante est apparue sous une identité différente lors d'une session précédente.
  • DEVICE_RECOVERED_HIGH_CONFIDENCE — l'ID persistant a changé (stockage effacé, incognito, réinstallation), mais le modèle de récupération v2 a quand même fait correspondre l'appareil.

Les deux sont configurables : révision, refus catégorique ou approbation avec un drapeau.

Étape 5 : Recrutement et activation de mules financières

Tous les comptes frauduleux n'appartiennent pas à un voleur d'identité. Une grande partie est ouverte par de vraies personnes utilisant des documents authentiques — des mules financières recrutées à qui l'on a dit qu'elles gagneraient une commission pour recevoir et transférer des fonds. Les documents KYC sont réels. La fraude réside dans ce qu'elles ont accepté de faire.

Les mules financières sont souvent affiliées à des réseaux criminels organisés qui figurent sur des listes de sanctions, de PPE (Personne Politiquement Exposée), de médias défavorables ou de surveillance des forces de l'ordre. L'exécution du filtrage AML (0,20 $, plus de 1 300 listes) lors de l'intégration détecte les associés de réseaux de mules connus avant qu'ils ne deviennent des comptes actifs. Le suivi AML continu (0,07 $/utilisateur/an) re-filtre au fur et à mesure que les listes sont mises à jour.

Ce qui l'arrête : Filtrage AML à l'intégration et suivi continu — acteurs connus et membres de réseaux émergents ajoutés après l'intégration.

Comment Didit aide

Chacune des cinq étapes ci-dessus correspond directement à un module du flux KYC de base.

Le bundle de base — Vérification d'identité + Vivacité passive + Correspondance faciale 1:1 + Analyse d'appareil et d'IP — s'exécute en une seule session à 0,33 $, couvrant les étapes 2 à 4. L'ajout du filtrage AML (0,20 $) étend la couverture au recrutement de mules (étape 5). Tous les modules s'exécutent en séquence ; le résultat arrive dans une seule charge utile de décision.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

L'URL de session est transmise à l'utilisateur. La décision est renvoyée via webhook (session.status.updated) ou GET /v3/session/{sessionId}/decision/.

Didit est le seul fournisseur d'identité formellement attesté par un gouvernement d'un État membre de l'UE (Tesoro / Banco de España / SEPBLAC d'Espagne) comme plus sûr que la vérification en personne. 500 vérifications gratuites par mois, sans minimum.

Cas d'utilisation

Ouverture de compte néobancaire — le flux principal à 0,33 $ gère la surface d'attaque principale. Ajoutez le filtrage AML pour les exigences réglementaires et la détection de mules.

Crédit et prêt — la fraude d'identité synthétique est la plus élevée ici car la charge utile est une ligne de crédit. La lecture de puce NFC ajoute une certitude cryptographique que le document est authentique.

Intégration d'échange de crypto — le filtrage de portefeuille (0,15 $/vérification, ou 0,02 $ BYOK) étend la couverture à la surface de fraude crypto après le KYC.

Questions fréquemment posées

Quelle est la méthode la plus courante utilisée par les fraudeurs pour ouvrir des comptes bancaires ?

Documents d'identité volés combinés à l'obfuscation d'appareil. Le fraudeur utilise de vraies informations personnelles identifiables et une image de document falsifiée, puis achemine les sessions via des VPN ou des navigateurs anti-détection. La vérification de documents détecte l'image falsifiée ; l'analyse d'appareil et d'IP détecte l'infrastructure.

Que signifie concrètement DUPLICATED_DEVICE_FINGERPRINT ?

La même empreinte digitale d'appareil persistante est apparue sous une identité différente lors d'une session précédente — un signal fort de multi-comptes ou de réseau de mules. Vous configurez la réponse selon votre politique : révision, refus catégorique ou signalement pour enquête manuelle.

Combien coûte un flux d'intégration complet résistant à la fraude ?

Le flux KYC de base coûte 0,33 $. L'ajout du filtrage AML le porte à 0,53 $. 500 vérifications gratuites par mois ; sans minimum.

Prêt à commencer ?

La fraude à l'ouverture de compte peut être évitée au niveau de l'infrastructure — avant qu'un compte n'existe, avant que les fonds ne bougent, avant que l'analyste de fraude n'intervienne.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page