Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Détection du vivant passive

Vérifie n'importe quel visage.
Sans leur demander de faire quoi que ce soit.

Prouve que la personne devant la caméra est réelle et vivante. Anti-usurpation certifié iBeta, déjoue les deepfakes, masques, relectures et attaques morphing en moins de 2 secondes. Passif à 0,10 $, actif à 0,15 $. 500 gratuits/mois.

Soutenu par
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

Approuvé par plus de 2 000 organisations dans le monde entier.

Didit Liveness, capture de vivacité passive avec verdict sur l'appareil en moins de 2 secondes.

Certifié iBeta

Passif. Flash.
Actif. Tout est certifié.

Détecte les masques 3D, les deepfakes, les attaques par relecture et les photos imprimées. Certifié iBeta, verdict en moins de 2 secondes, 0,10 $ par vérification, 500 gratuites chaque mois.

Comment ça marche

De l'inscription à l'utilisateur vérifié en quatre étapes.

  1. Étape 01

    Crée le workflow

    Choisis les vérifications que tu veux, ID, vivacité, correspondance faciale, sanctions, adresse, âge, téléphone, e-mail, questions personnalisées. Glisse-les dans un workflow sur le tableau de bord, ou publie le même workflow sur notre API. Crée des branches conditionnelles, lance des tests A/B, aucun code requis.

  2. Étape 02

    Intègre

    Intègre nativement avec nos SDK Web, iOS, Android, React Native ou Flutter. Redirige vers une page hébergée. Ou envoie simplement un lien à ton utilisateur, par e-mail, SMS, WhatsApp, n'importe où. Choisis ce qui convient à ta stack.

  3. Étape 03

    L'utilisateur suit le parcours

    Didit gère la caméra, les signaux lumineux, le transfert mobile et l'accessibilité. Pendant que l'utilisateur est dans le parcours, nous évaluons plus de 200 signaux de fraude en temps réel et vérifions chaque champ par rapport à des sources de données fiables. Résultat en moins de deux secondes.

  4. Étape 04

    Tu reçois les résultats

    Les webhooks signés en temps réel maintiennent ta base de données synchronisée dès qu'un utilisateur est approuvé, refusé ou envoyé en révision. Interroge l'API à la demande. Ou ouvre la console pour inspecter chaque session, chaque signal, et gérer les cas à ta manière.

Conçu pour les développeurs · Conçu contre la fraude · Open by design

Six fonctionnalités. Un seul flag. LIVENESS.

Chaque fonctionnalité ci-dessous est un interrupteur sur le même module. Pas de niveaux de vente additionnels, pas de SKU séparés, pas d'appels supplémentaires. Active-les par workflow dans la console, ou passe-les en ligne sur le point de terminaison autonome.
01 · Méthodes

Passif, Flash 3D, Action 3D. Choisis selon le risque.

Trois méthodes sur un seul module. Passive (une image, aucune action de l'utilisateur) pour une inscription fluide. Flash 3D (une courte séquence lumineuse capture la profondeur par réflexion) pour les parcours passifs à plus forte valeur. Action & Flash 3D (mouvement + flash) pour les marchés sensibles à la réglementation et les intégrations à grande valeur.
02 · Anti-fraude certifié

Testé contre le catalogue complet des attaques de présentation.

Testé indépendamment et certifié iBeta, la norme citée par le NIST et l'Open Identity Exchange. Bloque les photos imprimées, les relectures d'écran, les masques en papier, les masques en silicone, les masques en latex, les attaques morphing et les deepfakes générés par IA. Retesté annuellement à mesure que le catalogue d'attaques s'enrichit.
03 · Verdict en moins de 2 secondes

Inférence de bout en bout en moins de deux secondes.

Inférence servie en périphérie. Pas de téléchargement de modèle, pas d'hypothèse d'accélération sur l'appareil, pas d'expérience dégradée sur les Android d'entrée de gamme. La méthode passive se termine en moins d'une seconde sur la plupart des appareils. Le Flash ajoute ~600 ms. L'Active 3D ajoute ~1,5 s, toujours moins de 2 s de bout en bout.
04 · Alertes

Politique de risque ajustable par workflow.

Sept alertes configurables, score faible, doublon possible, visage en double, plusieurs visages, faible qualité faciale, faible luminosité, forte luminosité, chacune mappée à un refus, une révision ou une approbation par application. Trois déclencheurs de refus automatique (pas de visage, attaque détectée, visage sur liste noire) restent appliqués quoi qu'il arrive.
05 · Estimation de l'âge

Une capture, deux signaux.

Active l'estimation de l'âge sur un workflow de vivacité et le même selfie renvoie un verdict de vivacité plus une tranche d'âge estimée. Conçu pour le UK Online Safety Act et le contrôle d'âge de l'UE, humain réel ET assez âgé sans obliger l'utilisateur à télécharger une pièce d'identité. 0,10 $ par vérification.
06 · Authentification biométrique

Le même moteur que tu utilises à l'inscription. Maintenant à chaque connexion.

La vivacité est la base de l'authentification biométrique, réutilise le même modèle anti-fraude pour vérifier les utilisateurs récurrents à chaque action sensible : transfert de grande valeur, réinitialisation de mot de passe, retrait important. 0,10 $ par authentification, remplacement direct du 2FA par SMS, pas de facture d'opérateur, pas d'exposition au SIM-swap.
Intègre

Deux endpoints. Même JSON. Même prix.

Crée une session lorsque tu souhaites que notre UI hébergée gère la capture (requis pour les méthodes actives), ou appelle le point de terminaison passif autonome lorsque tu as déjà le selfie. Les deux renvoient le même rapport de vivacité.
POST /v3/session/Interface utilisateur hébergée
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_liveness_3d",
    "vendor_data": "user-42"
  }'
201Créé{ "session_url": "verify.didit.me/..." }
Nous hébergeons l'interface de capture. Requis pour FLASHING et ACTIVE_3D.docs →
POST /v3/passive-liveness/De serveur à serveur
$ curl -X POST https://verification.didit.me/v3/passive-liveness/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -F "image=@selfie.jpg"
200OK{ "status": "Approuvé", "score": 98 }
Tu gères la capture. On te donne le verdict en ligne.docs →
Intégration prête pour agent

Déploie la Liveness en une seule commande.

Colle le bloc ci-dessous dans Claude Code, Cursor, Codex, Devin, Aider ou Replit Agent. Remplace le placeholder my_stack par ton framework, ton langage et ton cas d'utilisation. L'agent provisionne Didit, construit le workflow avec la Liveness activée, connecte le webhook et déploie.
didit-integration-prompt.md
# Didit Liveness — integrate in 5 minutes

You are integrating Didit's Liveness (presentation-attack detection) module
into <my_stack>. Follow these steps exactly. Every URL, header, and enum
value below is canonical — do not paraphrase or "improve" them.

## 1. Provision an account
- Sign up: https://business.didit.me (no credit card required).
- Or provision programmatically: POST https://apx.didit.me/auth/v2/programmatic/register/
  (returns an API key bound to the workspace + application).

## 2. Two integration paths — pick one

### Path A — Workflow Builder (hosted UI)
Best when you want Didit to handle camera, motion prompts, low-light
fallback, mobile handoff, and accessibility for you.

1. Create a workflow that contains the LIVENESS feature:
   POST https://verification.didit.me/v3/workflows/
   Authorization header:  x-api-key: <your-api-key>
   Body: workflow_label, features array with the single entry
         { feature: "LIVENESS" }   (UPPERCASE — strict enum)
   Optional config: liveness_method ("PASSIVE" | "FLASHING" | "ACTIVE_3D")
   and per-warning threshold overrides.

2. Create a verification session for an end user:
   POST https://verification.didit.me/v3/session/
   Body: workflow_id (from step 1), vendor_data (your own user id).
   Response: session_url — redirect the user to it.

3. Listen for webhook callbacks (see "Webhooks" below).

### Path B — Standalone server-to-server API
Best when you already have a selfie image (mobile SDK capture, native
onboarding app, reseller pipeline). Standalone is single-frame
PASSIVE only — for ACTIVE_3D or FLASHING you must use Path A.

POST https://verification.didit.me/v3/passive-liveness/
Content-Type: multipart/form-data
Body fields:
  - image        (required, file — single selfie)
  - vendor_data  (optional string, your user id)

Response: JSON report with liveness score, method, and warnings array.

## 3. Webhooks (Path A only — Path B returns synchronously)
- Register a webhook destination once via
  POST https://verification.didit.me/v3/webhook/destinations/
  Body: url, subscribed_events: ["session.verified", "session.review_started",
                                  "session.declined"]
- Response includes secret_shared_key — store it.
- Every webhook delivery carries an X-Signature-V2 header you MUST verify
  before trusting the payload.  HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.Algorithm:
    1. sortKeys(payload) recursively
    2. shortenFloats (truncate trailing zeros after the decimal point)
    3. JSON.stringify the result
    4. HMAC-SHA256 with the secret_shared_key
    5. Hex-encode, compare to the X-Signature-V2 header.

## 4. Reading the report (both paths return the same shape)
The liveness object includes:
- status: "Approved" | "Declined" | "In Review" | "Not Finished"
- method: "PASSIVE" | "FLASHING" | "ACTIVE_3D"
- score: number 0-100 (normalized liveness score)
- reference_image: signed URL to the captured selfie (expires in 1 hour)
- video_url: signed URL to the capture video, present only for FLASHING
  and ACTIVE_3D (expires in 1 hour)
- age_estimation: { age, age_range } when enabled in the workflow
- warnings: Array<{ risk, log_type, short_description, long_description }>

Auto-decline risks (always enforced by Didit, not configurable):
- NO_FACE_DETECTED
- LIVENESS_FACE_ATTACK
- FACE_IN_BLOCKLIST

Configurable risks (action per workflow — Decline, Review, or Approve):
- LOW_LIVENESS_SCORE
- POSSIBLE_DUPLICATED_FACE
- DUPLICATED_FACE
- MULTIPLE_FACES_DETECTED
- LOW_FACE_QUALITY
- LOW_FACE_LUMINANCE
- HIGH_FACE_LUMINANCE

## 5. Hard rules — do not change
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, ID_VERIFICATION, FACE_MATCH, AML, IP_ANALYSIS.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Always verify webhook signatures before trusting payload data.
- Status casing matches exactly: "Approved", "Declined", "In Review",
  "Not Finished" (title-cased, space-separated).

## 6. Pricing reference (public)
- PASSIVE method: $0.10 per check (standalone or bundled)
- FLASHING / ACTIVE_3D methods: $0.15 per check
- Bundled in a full KYC workflow: $0.33 per session (includes Liveness)
- 500 free checks every month, forever, on every account.

## 7. Verify your integration
- Sandbox starts on signup at https://business.didit.me — no separate flag.
- Test images: deterministic synthetic faces returned in sandbox (Approved
  by default; trigger Declined by sending the canonical "spoof" test image).
- Switch to live: flip the application's environment toggle in console.

When in doubt: https://docs.didit.me/core-technology/liveness/overview
Besoin de plus de contexte ? Consulte la documentation complète du module.docs.didit.me →
Conforme par nature

Ouvre un nouveau pays en un clic. On s'occupe du plus dur.

Nous ouvrons les filiales locales, obtenons les licences, effectuons les tests d'intrusion, obtenons les certifications et nous alignons sur chaque nouvelle réglementation. Pour déployer des vérifications dans un nouveau pays, il suffit d'activer un interrupteur. Plus de 220 pays en direct, audités et testés chaque trimestre, le seul fournisseur d'identité qu'un gouvernement d'un État membre de l'UE a formellement jugé plus sûr que la vérification en personne.
Lire le dossier sécurité & conformité
Bac à sable financier de l'UE
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
Sécurité de l'information · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Conforme UE par conception

Chiffres à l'appui

Chiffres à l'appui
  • iBeta
    Anti-fraude (détection d'attaque de présentation) certifié indépendamment.
  • 0
    Méthodes de Liveness, passive, flash 3D, action 3D + flash.
  • <0s
    Inférence de bout en bout par vérification.
  • $0.00
    Par vérification de Liveness passive. 500 gratuites chaque mois.
Trois niveaux, une seule grille tarifaire

Démarre gratuitement. Paye à l'usage. Passe à l'Enterprise.

500 vérifications gratuites chaque mois, pour toujours. Paiement à l'usage pour la production. Contrats personnalisés, résidence des données et SLAs (Service Level Agreements) pour l'Enterprise.
Gratuit

Gratuit

0 $ / mois. Aucune carte de crédit requise.

  • Pack KYC gratuit (vérification d'identité + détection de vivacité passive + correspondance faciale + analyse appareil & IP), 500 / mois, chaque mois
  • Utilisateurs bloqués
  • Détection des doublons
  • Plus de 200 signaux de fraude par session
  • KYC réutilisable sur le réseau Didit
  • Plateforme de gestion des cas
  • Workflow Builder
  • Documentation publique, sandbox, SDKs, serveur MCP (Model Context Protocol)
  • Support communautaire
Le plus populaire
Paiement à l'usage

Basé sur l'usage

Payez uniquement ce que vous utilisez. Plus de 25 modules. Tarification publique par module, sans minimum mensuel.

  • KYC complet à 0,33 $ (ID + Biométrie + IP / Appareil)
  • Plus de 10 000 bases de données AML, sanctions, PEP, médias défavorables
  • Plus de 1 000 sources de données gouvernementales pour la validation de base de données
  • Surveillance des transactions à 0,02 $ par transaction
  • KYB en direct à 2,00 $ par entreprise
  • Filtrage de portefeuille à 0,15 $ par vérification
  • Flux de vérification en marque blanche, votre marque, notre infrastructure
Entreprise

Entreprise

MSA et SLA personnalisés. Pour les gros volumes et les programmes réglementés.

  • Contrats annuels
  • MSA, DPA et SLA personnalisés
  • Canal Slack et WhatsApp dédié
  • Réviseurs manuels sur demande
  • Conditions de revendeur et de marque blanche
  • Fonctionnalités exclusives et intégrations partenaires
  • CSM dédié, audit de sécurité, support conformité

Commence gratuitement → ne paie que lorsqu'une vérification est effectuée → débloque l'Enterprise pour un contrat personnalisé, un SLA ou la résidence des données.

FAQ

Questions fréquentes

Qu'est-ce que Didit ?

Didit est une infrastructure pour l'identité et la fraude, la plateforme que nous aurions aimé avoir lorsque nous développions nos propres produits : ouverte, flexible et pensée pour les développeurs, afin qu'elle s'intègre parfaitement à votre stack plutôt que d'être une boîte noire à contourner.

Une seule API couvre la vérification des personnes (KYC, know your customer), la vérification des entreprises (KYB, know your business), le filtrage des portefeuilles crypto (KYT, know your transaction), et la surveillance des transactions en temps réel, sur une stack conçue pour être :

  • Rapide, moins de 2 secondes au p99 sur chaque session
  • Fiable, en production avec plus de 1 500 entreprises dans plus de 220 pays
  • Sécurisée, SOC 2 Type 1, ISO 27001, conforme au GDPR, et officiellement attestée par le régulateur financier espagnol comme plus sûre que la vérification en personne

L'empreinte sous-jacente : plus de 14 000 types de documents dans plus de 48 langues, plus de 1 000 sources de données et plus de 200 signaux de fraude sur chaque session. L'infrastructure Didit apprend dynamiquement de chaque session et s'améliore chaque jour.

Quels types d'entrées la détection de vivacité accepte-t-elle ?
Un seul selfie. Option A, Workflow Builder : l'interface utilisateur hébergée capture le selfie dans la session de l'utilisateur, le mode passif ne nécessite aucune action de l'utilisateur, le 3D Flash joue une courte séquence de couleurs, le 3D Action invite à un mouvement de tête. Inclus gratuitement avec la session, aucun travail de capture supplémentaire de votre côté. Option B, API autonome : vous transmettez l'image vous-même en tant que user_image sur un POST /v3/passive-liveness/ multipart. Formats acceptés : JPG, JPEG, PNG, jusqu'à 5 Mo. Les deux options renvoient la même structure JSON liveness.
Quelle est la structure de la réponse ?
Un objet liveness de niveau racine avec un status (Approved, Declined, In Review ou Not Finished), un score de 0 à 100, la method utilisée (PASSIVE, FLASHING ou ACTIVE_3D), un flottant age_estimation (optionnel, si inclus), une URL reference_image signée, une video_url signée pour les méthodes actives, un tableau matches affichant les correspondances de recherche faciale (chacune avec session_id, similarity_percentage, is_blocklisted), et un tableau warnings. Chaque avertissement contient risk, log_type (information, warning ou error), short_description et long_description. Même structure que vous ayez appelé le Workflow Builder ou l'API autonome. Référence complète sur docs.didit.me/core-technology/liveness/report-liveness.
Quelle est la rapidité de la vérification pour mon utilisateur final ?

Le processus complet prend normalement moins de 30 secondes de bout en bout, prendre la pièce d'identité, la scanner, prendre le selfie, c'est fait. C'est le plus rapide du marché. Les fournisseurs KYC traditionnels prennent généralement plus de 90 secondes pour le même processus.

Côté back-end, Didit renvoie le résultat en moins de deux secondes au p99, mesuré à partir du moment l'utilisateur termine le selfie jusqu'au déclenchement de votre webhook. La capture mobile est optimisée pour les téléphones et les réseaux lents : compression d'image progressive, chargement différé du SDK, et transfert en un clic du bureau au téléphone via QR code si l'utilisateur commence sur le web.

Comment Didit déjoue-t-il les deepfakes, les masques et les attaques de relecture ?

Trois méthodes, un seul module, certifié iBeta Level 1 Presentation Attack Detection (PAD) sur l'ensemble du catalogue d'attaques :

  • Passif, une seule image, aucune action de l'utilisateur. Détecte les photos imprimées, les relectures d'écran et les attaques de morphing basiques. Idéal pour une inscription à faible friction.
  • 3D Flash (`FLASHING`), joue une courte séquence de couleurs sur l'écran du téléphone et mesure la réflexion sur le visage. Déjoue les relectures d'écran 2D et les masques imprimés haute fidélité.
  • 3D Action (`ACTIVE_3D`), combine une invite de mouvement de tête avec la séquence flash. Déjoue les masques en silicone 3D et les vidéos deepfake générées par l'IA. Idéal pour l'onboarding de grande valeur et les marchés sensibles aux régulateurs.

Sept avertissements configurables (score faible, faible luminosité, forte luminosité, doublon possible, visage en double, plusieurs visages, faible qualité de visage) sont mappés pour refuser / examiner / approuver par application. Trois déclencheurs de refus automatique (pas de visage, attaque détectée, visage sur liste noire) sont toujours appliqués.

Que se passe-t-il si un utilisateur échoue, abandonne ou expire ?

Chaque session aboutit à l'un des sept statuts clairs, afin que votre code sache toujours quoi faire :

  • Approved, toutes les vérifications sont passées. Faites avancer l'utilisateur.
  • Declined, une ou plusieurs vérifications ont échoué. Vous pouvez permettre à l'utilisateur de resoumettre l'étape spécifique qui a échoué (par exemple, reprendre le selfie) sans relancer tout le processus.
  • In Review, signalé pour examen de conformité. Ouvrez le dossier dans la console, consultez tous les signaux, décidez d'approuver ou de refuser.
  • In Progress, l'utilisateur est en cours de processus.
  • Not Started, lien envoyé, l'utilisateur ne l'a pas encore ouvert. Envoyez un rappel s'il reste trop longtemps sans action.
  • Abandoned, l'utilisateur a ouvert le lien mais n'a pas terminé à temps. Relancez ou expirez.
  • Expired, le lien de session a expiré. Créez une nouvelle session.

Un webhook signé se déclenche à chaque changement de statut, afin que votre base de données reste toujours synchronisée. Les sessions abandonnées et refusées sont gratuites.

Où sont stockées mes données client et comment sont-elles protégées ?

Par défaut, les données de production sont traitées et stockées dans l'Union européenne, sur Amazon Web Services. Les contrats d'entreprise peuvent demander des régions alternatives pour les juridictions dont les régulateurs l'exigent.

Chiffrement partout. AES-256 au repos sur chaque base de données, stockage d'objets et sauvegarde. Transport Layer Security 1.3 en transit sur chaque appel API, webhook et session de la console d'administration. Les données biométriques sont chiffrées sous une clé de chiffrement client (CMK) distincte.

La rétention est sous ton contrôle. La rétention par défaut est indéfinie (illimitée), sauf si tu la configures plus courte, entre 30 jours et 10 ans par application, et tu peux supprimer n'importe quelle session individuelle à tout moment depuis le tableau de bord ou l'API.

Certifications : SOC 2 Type 1 (audit Type 2 en cours), ISO/IEC 27001:2022, iBeta Level 1 PAD, et une attestation publique du Tesoro / SEPBLAC / CNMV espagnol certifiant que la vérification d'identité à distance de Didit est plus sûre que la vérification en personne. Rapport complet sur /security-compliance.

Didit est-il conforme pour mon secteur d'activité ?

Didit est conforme par défaut pour les régulateurs clés en matière d'infrastructure d'identité :

  • GDPR + UK GDPR, séparation contrôleur / processeur, accord de traitement des données complet publié, autorité de contrôle principale désignée (AEPD espagnole).
  • AMLD6 + EU AML Single Rulebook, plus de 1 300 listes de sanctions, de personnes politiquement exposées et de médias défavorables filtrées en temps réel.
  • eIDAS 2.0, aligné sur le portefeuille d'identité numérique de l'UE ; prêt pour l'identité réutilisable.
  • MiCA (Markets in Crypto-Assets), prêt pour les rampes d'accès crypto, les échanges et les dépositaires.
  • DORA, Digital Operational Resilience Act, résilience opérationnelle des services financiers de l'UE.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, confidentialité biométrique américaine (Illinois, Texas, Washington) et confidentialité des consommateurs californiens.
  • UK Online Safety Act, obligations de contrôle de l'âge et de sécurité des enfants.
  • FATF Travel Rule, données sur l'expéditeur et le bénéficiaire des transferts crypto, interopérable IVMS-101.

Mémo détaillé, chaque certificat, chaque lettre de régulateur : /security-compliance.

À quelle vitesse puis-je intégrer et commencer à vérifier des utilisateurs ?
  • 60 secondes pour un compte sandbox sur business.didit.me, sans carte de crédit.
  • 5 minutes pour une vérification fonctionnelle via Claude Code, Cursor, ou tout agent de codage via notre serveur Model Context Protocol (MCP).
  • Un week-end pour une intégration prête pour la production avec vérification de webhook signé, tentatives et un flux de remédiation lorsqu'un utilisateur est refusé.

Trois chemins d'intégration, choisis celui qui correspond à ta stack :

  • Intègre nativement avec nos SDK Web, iOS, Android, React Native ou Flutter.
  • Redirige l'utilisateur vers la page de vérification hébergée, zéro SDK.
  • Envoie un lien par e-mail, SMS, WhatsApp ou tout autre canal, zéro travail front-end.

Même tableau de bord, même facturation, même prix par succès pour les trois. Guide étape par étape sur docs.didit.me/integration/integration-prompt.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Demande à une IA de résumer cette page