Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 13 juin 2026

Détection de vivacité : active ou passive, comment ça marche ? (FR)

La détection de vivacité confirme qu'une personne devant une caméra est réelle et présente, et non une photo, un masque ou un deepfake. Comparaison de la vivacité passive et active : fonctionnement, attaques contrées, et la.

Par DiditMis à jour le
how-liveness-detection-works.png

La détection de vivacité est un contrôle biométrique qui confirme que la personne devant une caméra est réelle et physiquement présente, et non une photographie, un masque ou une vidéo synthétique. C'est la couche technique qui distingue « un visage apparaît dans l'image » de « un être humain vivant est réellement là ».

Sans cela, la correspondance faciale est facile à usurper. Un attaquant avec la photo d'une cible – disponible sur les réseaux sociaux ou dans une base de données de fuites – peut la tenir devant une caméra et réussir un contrôle de correspondance faciale. La détection d'attaque de présentation, ou PAD (Presentation Attack Detection), est la discipline qui comble cette lacune. Les modules de vivacité de Didit s'exécutent dans chaque session de vérification et renvoient une décision en moins de 2 secondes.

Points clés à retenir

  • La détection de vivacité répond à une question : une personne vivante est-elle présente devant la caméra en ce moment ?
  • La vivacité passive (0,10 $) ne nécessite aucune action de l'utilisateur — le modèle analyse une seule capture pour des signes de vie.
  • La vivacité active (0,15 $) lance un défi — tourner la tête, cligner des yeux ou suivre une cible — et vérifie une réponse physique réelle.
  • Le PAD (Presentation Attack Detection) est la norme ISO/IEC 30107-3 qui définit les types d'attaques et les seuils d'acceptation.
  • La vivacité passive de Didit est certifiée par iBeta au niveau 1 PAD : 0 % de succès d'attaque et 0 % d'IAPAR (Impostor Attack Presentation Accept Rate) sur 360 tentatives.
  • Le flux KYC (Know Your Customer) complet — Vérification d'identité + Vivacité passive + Correspondance faciale + analyse IP — coûte 0,33 $, avec 500 vérifications gratuites chaque mois.

Qu'est-ce que la détection de vivacité ?

La détection de vivacité est la partie d'un flux biométrique qui vérifie que le sujet est une personne réelle et physiquement présente, et non une tentative d'usurpation. Le terme formel pour ce domaine est Détection d'Attaque de Présentation (PAD), normalisé dans l'ISO/IEC 30107-3. Un système PAD classe chaque session comme authentique ou comme une attaque de présentation : une tentative de tromper le capteur biométrique en présentant autre chose qu'un visage vivant.

La principale métrique de performance est l'IAPAR — Impostor Attack Presentation Accept Rate (Taux d'acceptation de présentation d'attaque d'imposteur). Elle mesure la fraction des tentatives d'usurpation que le système classe incorrectement comme authentiques. Un IAPAR plus faible est préférable ; 0 % signifie que le système a rejeté chaque attaque dans l'ensemble de test.

Pourquoi c'est important

La correspondance faciale seule demande : ce visage correspond-il à une image de référence ? Elle ne demande pas : est-ce une personne vivante ? Ce sont des questions différentes. Un fraudeur qui obtient une photo de document — à partir d'une fuite de données, d'un profil de réseau social ou d'un scan d'identité hameçonné — peut répondre à la première question sans être présent du tout.

La vivacité comble cette lacune. Combinée à la vérification de documents et à la correspondance faciale, elle constitue le contrôle à trois volets qui sous-tend le KYC réglementé : le bon document, le bon visage et une personne vivante qui les tient ensemble.

Les régulateurs font de plus en plus référence à la vivacité biométrique dans les cadres de preuve d'identité à distance. Le processus de vérification global de Didit a reçu l'attestation Tesoro/SEPBLAC/CNMV — le seul fournisseur formellement attesté par un gouvernement d'un État membre de l'UE comme étant plus sûr que l'identification en personne — et la vivacité est un élément essentiel de cette assurance.

Vivacité passive : comment ça marche

La vivacité passive ne demande rien à l'utilisateur. La personne regarde vers la caméra ; le système capture une image ou une courte séquence et l'analyse sans aucune invite.

L'analyse va bien au-delà de la simple détection d'un visage. Le modèle recherche des signaux qui distinguent une surface réelle et tridimensionnelle d'une reproduction plate : micro-texture de la peau par rapport au papier ou à l'écran, indices de profondeur dans l'éclairage et l'ombre, la façon dont la lumière se reflète sur un visage courbé par rapport à un substrat plat, et les micro-mouvements naturels — micro-clignements involontaires, mouvement respiratoire — que les images statiques ne peuvent pas reproduire.

Le résultat est une classification (authentique ou attaque) ainsi qu'un score de confiance, renvoyé en moins de 2 secondes. Parce que la vivacité passive ne nécessite aucune action de l'utilisateur, elle s'intègre proprement dans tout flux d'intégration avec un minimum de friction.

Détecte : les photographies imprimées, les écrans rejouant un visage, les vidéos rejouées capturées sans un défi spécifique en temps réel.

Idéal pour : l'intégration des consommateurs, la vérification de l'âge, la ré-authentification renforcée — tout flux où la friction est une préoccupation de conversion.

Vivacité active : comment ça marche

La vivacité active ajoute une étape de défi en temps réel. Le système invite l'utilisateur à effectuer une action physique : tourner la tête à un angle spécifique, cligner des yeux, sourire ou suivre un point mobile à l'écran. La réponse est enregistrée et comparée à ce qu'une personne vivante et physiquement présente produirait.

Le défi est aléatoire par session. Une photo imprimée ne peut pas tourner la tête. Une vidéo pré-enregistrée ne peut pas correspondre à un défi pour lequel elle n'a pas été filmée. Cela rend la vivacité active plus résiliente aux attaques de relecture et aux vidéos synthétiques de première génération.

Détecte : tout ce que la vivacité passive détecte, plus certaines attaques de relecture où l'attaquant utilise une vidéo pré-enregistrée pour usurper une session.

Idéal pour : les flux à risque plus élevé — intégration financière avec les exigences AML (Anti-Money Laundering), récupération de compte de grande valeur, intégration crypto réglementée.

Cas d'utilisation

Intégration des fintechs grand public. Les néobanques et les plateformes de paiement utilisent la vivacité passive dans le flux KYC principal afin que chaque nouvel utilisateur soit confirmé comme une personne vivante avant l'activation du compte. Le coût total de 0,33 $ rend cela viable à grande échelle.

Conformité des échanges crypto et VASP. Les bourses et les fournisseurs de services d'actifs virtuels confrontés aux exigences du GAFI ont besoin d'une assurance biométrique qui résiste à l'examen réglementaire. La vivacité active est le niveau approprié.

Services numériques à accès restreint par âge. Les plateformes de jeux, de streaming et les plateformes grand public réglementées qui utilisent l'estimation faciale de l'âge ont besoin de vivacité pour confirmer que le visage analysé appartient à une personne vivante devant la caméra, et non à une photo tenue.

Ré-authentification de compte. Lorsqu'un utilisateur initie une action de grande valeur — un virement important, un changement de mot de passe — l'authentification biométrique (0,10 $) associée à la vivacité re-confirme que l'utilisateur enregistré est physiquement présent, et non un attaquant de prise de contrôle de compte ayant accès à l'appareil.

Comment Didit aide

La vivacité s'exécute dans une session de vérification Didit — et non comme un appel autonome séparé. L'intégration fonctionne comme suit :

  1. Dans la console Business, ouvrez le Workflow Builder et ajoutez Vivacité passive ou Vivacité active à votre flux de travail, en plus de la vérification d'identité et de la correspondance faciale.
  2. Depuis votre backend, créez une session : POST /v3/session/ avec workflow_id, vendor_data et callback_url.
  3. Redirigez l'utilisateur vers session.url — l'interface utilisateur hébergée de Didit gère l'accès à la caméra, la capture et l'exécution du modèle PAD. Aucune modification du SDK côté client n'est nécessaire pour ajouter la vivacité à un flux existant.
  4. Recevez le résultat via webhook (session.status.updated) ou interrogez GET /v3/session/{sessionId}/decision/. Le tableau liveness_checks[] dans la réponse contient le statut, le score de confiance et le type d'attaque détecté, le cas échéant.

Le Workflow Builder vous permet de configurer le branchement en fonction du résultat de la vivacité : acheminer un DECLINED vers une révision manuelle, autoriser une seule nouvelle tentative ou rejeter catégoriquement — le tout sans déploiement de code.

Foire aux questions

Quelle est la différence entre la vivacité passive et active ?

La vivacité passive analyse une seule capture sans invite de l'utilisateur. La vivacité active lance un défi en temps réel — tourner la tête, cligner des yeux ou suivre — auquel une personne vivante doit répondre. La vivacité passive est moins contraignante ; la vivacité active offre une assurance plus élevée contre les attaques de relecture.

Que signifie iBeta Niveau 1 PAD ?

iBeta est un laboratoire indépendant accrédité par le NIST. Les tests PAD de niveau 1 couvrent les photos imprimées, la relecture d'écran et les attaques vidéo pré-enregistrées selon la norme ISO/IEC 30107-3. Didit a obtenu 0 % de succès d'attaque et 0 % d'IAPAR sur 360 tentatives testées. Le niveau 2 étend la couverture aux masques 3D et aux prothèses — un test séparé et plus exigeant que Didit ne revendique pas actuellement.

Combien coûte la vivacité ?

La vivacité passive coûte 0,10 $ par vérification ; la vivacité active coûte 0,15 $. Les deux sont incluses dans les 500 vérifications gratuites chaque mois — pas de minimums, pas de frais de siège.

La vivacité arrête-t-elle les attaques d'injection de deepfake ?

Le PAD traite les attaques où un artefact est présenté devant une caméra physique. Les attaques par injection — où une vidéo synthétique est directement introduite dans le pipeline de capture, contournant la caméra — sont une classe de menaces distincte nécessitant des couches de signal supplémentaires. Consultez le guide de détection des attaques par injection pour savoir comment Didit aborde les deux.

La vivacité remplace-t-elle la vérification de documents ?

Non. La vivacité confirme qu'une personne vivante est présente ; elle ne confirme pas qui elle est. La vérification de documents et la correspondance faciale établissent l'identité ; la vivacité confirme la présence. Les trois combinés constituent un KYC sécurisé.

Prêt à commencer ?

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page
Détection de Vivacité : Actif vs Passif | Didit.