Passer au contenu principal
Didit lève 2 millions de dollars et rejoint Y Combinator (W26)
Didit
Protection contre le piratage de compte

Arrêtez la prise de contrôle de compte avec une vérification faciale. Intensifiez la sécurité dès que le risque augmente.

Une authentification biométrique renforcée aux moments précis où les attaquants ciblent — transferts, réinitialisations de mot de passe, connexions depuis un nouvel appareil. Verdict en moins de deux secondes, environ 0,13 $ par événement. 500 vérifications gratuites chaque mois.

Commencer gratuitementLire la documentation
Soutenu par
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

Approuvé par plus de 2 000 organisations dans le monde entier.

Une pile abstraite sombre de piratage de compte — quatre panneaux translucides flottants en verre foncé en perspective 3D sur un fond noir pur, traversés par une ligne verticale lumineuse Didit Blue et encadrés par quatre supports de scanner lumineux. Chaque panneau porte un petit motif abstrait blanc pâle de la recette d'authentification renforcée.

Comment les attaquants procèdent

Mots de passe volés. Sessions volées. Choisissez plutôt un visage.

Les attaques par bourrage d'identifiants, échange de carte SIM et vol de cookies de session contournent les mots de passe et les codes à usage unique. Remplacez-les par une authentification renforcée Didit au moment de l'action — 0,10 $ par appel, verdict en moins de deux secondes, 500 gratuits chaque mois.

Comment ça marche

De l'inscription à l'utilisateur vérifié en quatre étapes.

  1. Étape 01

    Créer le flux de travail

    Choisissez les vérifications que vous souhaitez — identité, vivacité, correspondance faciale, sanctions, adresse, âge, téléphone, e-mail, questions personnalisées. Faites-les glisser dans un flux dans le tableau de bord, ou publiez le même flux sur notre API. Créez des branches conditionnelles, exécutez des tests A/B, aucun code requis.

  2. Étape 02

    Intégrer

    Intégrez nativement avec nos SDK Web, iOS, Android, React Native ou Flutter. Redirigez vers une page hébergée. Ou envoyez simplement un lien à votre utilisateur — par e-mail, SMS, WhatsApp, n'importe où. Choisissez ce qui convient à votre pile.

  3. Étape 03

    L'utilisateur suit le flux

    Didit héberge la caméra, les signaux lumineux, le transfert mobile et l'accessibilité. Pendant que l'utilisateur est dans le flux, nous évaluons plus de 200 signaux de fraude en temps réel et vérifions chaque champ par rapport à des sources de données fiables. Résultat en moins de deux secondes.

  4. Étape 04

    Vous recevez les résultats

    Les webhooks signés en temps réel maintiennent votre base de données synchronisée dès qu'un utilisateur est approuvé, refusé ou envoyé en révision. Interrogez l'API à la demande. Ou ouvrez la console pour inspecter chaque session, chaque signal et gérer les cas à votre manière.

Conçu pour la recette · Prix d'une infrastructure

Six fonctionnalités. Une étape supplémentaire. ~$0.13 par événement.

La défense contre le piratage de compte est une composition, pas une simple vérification. Activez chaque capacité par flux de travail dans le Workflow Builder, ou composez-les en ligne via l'API.
Lire la documentationObtenir une clé API
01 · Déclencheur d'authentification renforcée

Vous choisissez le moment. Didit effectue la vérification.

La politique d'authentification renforcée réside dans le Workflow Builder — transfert de grande valeur, réinitialisation de mot de passe, paiement vers une nouvelle destination, connexion depuis un nouvel appareil, anomalie géographique. Pré-filtrage avec l'analyse des appareils et des adresses IP si vous ne souhaitez la vérification faciale que lorsque les signaux réseau semblent risqués. Aucun redéploiement pour modifier les règles.
Module d'orchestration de flux de travail
02 · Authentification biométrique renforcée

Une authentification renforcée. Verdict en moins de deux secondes.

Le même moteur biométrique que l'utilisateur a passé lors de l'inscription — détection d'attaque de présentation (PAD) iBeta Niveau 1 plus correspondance faciale 1:1 avec le portrait stocké. 0,10 $ par session. Résistant au phishing et à l'échange de carte SIM. Moins de deux secondes de bout en bout sur Android d'entrée de gamme.
Module d'authentification biométrique
03 · Correspondance faciale 1:1 vs inscription

La cible de comparaison est le portrait stocké de l'utilisateur.

La correspondance faciale 1:1 compare chaque selfie d'authentification renforcée au portrait d'inscription stocké de l'utilisateur. Elle renvoie un score de similarité de 0 à 1,0 ainsi que des avertissements ; le seuil est ajustable par flux de travail. Un selfie volé ne peut pas passer — la cible est verrouillée sur l'inscription originale, et non sur une image fraîchement capturée.
Module de correspondance faciale 1:1
04 · Défense contre les deepfakes

Impression. Relecture. Masque. Deepfake. Tout est bloqué.

Testé indépendamment chez iBeta et certifié Niveau 1 PAD selon le catalogue complet ISO/IEC 30107-3. Bloque les photos imprimées, les relectures d'écran, les masques en papier/silicone/latex, les attaques de morphing et les deepfakes générés par l'IA du propriétaire du compte. Retesté chaque année.
Module de détection du vivant
05 · Pré-vérification IP + appareil

VPN, centre de données, Tor — signalés avant la vérification faciale.

Évaluez l'adresse IP (Internet Protocol) de l'utilisateur et l'empreinte numérique de l'appareil avant que l'authentification renforcée ne se déclenche. Renvoie un score de risque de 0 à 100 ainsi que des indicateurs VPN, proxy, Tor, centre de données, pays et ASN. 0,03 $ par vérification, moins de 100 ms. Ignorez l'authentification renforcée sur un appareil de confiance + un réseau à faible risque.
Module d'analyse des appareils et des adresses IP
06 · Décision du webhook

Un webhook. Trois branches. Terminé.

Un webhook signé arrive avec le verdict — Approuvé, Refusé, En révision, Non terminé. Vérifiez X-Signature-V2 avec HMAC SHA-256 avant de lire le corps. Même charge utile à chaque authentification renforcée ; branchez l'action originale en conséquence. Plus de 200 signaux de fraude détectés sans frais supplémentaires.
Référence du webhook
Intégrer

Une session. Un webhook signé. Trois branches.

Ouvrez l'authentification renforcée contre le flux de travail biométrique. Lisez le verdict signé. Ramifiez l'action.
POST /v3/session/Authentification renforcée
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_ato_step_up",
    "vendor_data": "user-42",
    "metadata": { "trigger": "high_value_transfer" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Créé{ "session_url": "verify.didit.me/..." }
Bloquez l'action jusqu'à ce que le webhook renvoie status: Approved.docs →
POST /webhooks/diditVerdict
// X-Signature-V2 verified upstream
if (charge utile.status === "Approuvé") {
  débloquerAction(charge utile.données_fournisseur);
} sinon si (charge utile.status === "Refusé") {
  journalAvertissements(charge utile.liveness.avertissements);
  bloquerEtAlerter(charge utile.données_fournisseur);
}
200OKstatut Approuvé · Refusé · En cours d'examen · Non terminé
Vérifiez X-Signature-V2 avant de lire la charge utile.docs →
Intégration prête pour l'agent

Déployez la défense contre la prise de contrôle de compte en une seule invite.

Collez dans Claude Code, Cursor, Codex, Devin, Aider ou Replit Agent. Remplissez votre pile. L'agent connecte le déclencheur, ouvre la session d'élévation, vérifie le webhook et ramifie l'action originale.
didit-integration-prompt.md
You are integrating Didit account-takeover defence into an application that already has the user signed in. Your job: when a sensitive action fires (large transfer, password reset, payout to a new destination, new-device login, geo anomaly), gate it on a Didit biometric step-up. One API call. One signed webhook. Three branches.

WHY THIS SHAPE
  - Credential stuffing, SIM-swap, and stolen-session-cookie attacks all walk past passwords and SMS one-time codes. A face check at the moment of the sensitive action does not.
  - Didit runs Passive Liveness (the user is alive, present, not a deepfake) plus 1:1 Face Match against the portrait captured at sign-up. A stolen selfie cannot pass — the comparison target is locked to the original enrollment.
  - $0.10 per step-up (Biometric Authentication module) + $0.03 IP pre-check (optional) = around $0.13 per event. Sub-two-second verdict on entry-level Android. 500 verifications free every month.

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - A webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header using your webhook secret.
 HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.  - A Workflow Builder workflow that bundles Passive Liveness + Face Match 1:1 (with the user's stored sign-up portrait as the comparison target). Optionally compose Device & IP Analysis ahead of the step-up to pre-gate the check.
  - Persist the user's sign-up portrait — either base64 on your side, or rely on Didit's stored enrollment via vendor_data lookup.

STEP 1 — Decide WHEN to step up (your code, not Didit's)
  Run your usual fraud signals. Common triggers worth a biometric step-up:
    - Wire / crypto transfer above the user's daily limit
    - Password / email reset on a session less than 24h old
    - Payout to a bank account or wallet seen for the first time
    - Login from a new device or new country
    - Velocity anomaly — N actions of type T within window W

  Cheap pre-check (optional, ~100ms, $0.03):
    - Score the user's IP via Device & IP Analysis. If the IP is a residential trusted address with a low risk score AND the device fingerprint matches the user's trusted device, skip the step-up. Otherwise run Step 2.

STEP 2 — Create a biometric step-up session
  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<wf id bundling Passive Liveness + Face Match 1:1>",
      "vendor_data": "<your user id, max 256 chars>",
      "callback": "https://<your-app>/ato/step-up/callback",
      "metadata": {
        "trigger": "high_value_transfer",
        "action_id": "<your internal action reference>"
      },
      "portrait_image": "<base64 JPEG of the user's stored sign-up portrait, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the step-up matches the new live selfie against this stored reference>"
    }

  Response: 201 Created with a hosted session URL. Redirect the user there inline (or open it in a webview / Didit mobile SDK). The action stays BLOCKED on your side until the signed webhook lands.

STEP 3 — Read the signed webhook on completion
  Didit POSTs the decision to your callback. Verify X-Signature-V2 (HMAC SHA-256 of the raw request body using your webhook secret) BEFORE reading the JSON.

  Payload (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face":     { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "score": 11 }
    }

  Session status enum (exact case, Title Case With Spaces): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

STEP 4 — Branch the original action on status
  Approved      → unblock the sensitive action. Log session_id + similarity score on the audit trail.
  In Review     → hold the action, route to a human review queue.
  Declined      → block the action, log liveness warnings (mask / deepfake / replay / morph), alert the user.
  Not Finished  → invite the user to retry with a fresh session URL.
  Expired       → resend the link; the original session has timed out.
  Abandoned     → the user closed the flow before completing; resend the link.

STEP 5 — (Optional) Pull the full decision payload
  GET https://verification.didit.me/v3/session/{session_id}/decision/
  Headers:
    x-api-key: <your api key>
  Returns the same payload as the webhook plus the structured signals (liveness warnings, face-match similarity, IP / device flags). Use for analyst review.

WEBHOOK EVENT NAMES
  - Sessions: standard session webhook (one endpoint, status field tells you where in the lifecycle).
  - Verify X-Signature-V2 (HMAC SHA-256) on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces (Approved, In Review). Never use UPPER_SNAKE_CASE for session verdicts — that's the Transactions API and lives in a different surface.
  - 1:1 face match's comparison target is the user's STORED sign-up portrait, not a freshly captured one. A stolen selfie cannot pass.
  - iBeta Level 1 Presentation Attack Detection (PAD) certified against the full ISO/IEC 30107-3 catalogue — print, replay, paper / silicone / latex mask, deepfake, morph.
  - The Workflow Builder is where you choose the modules in the step-up — change them in the console without redeploying.
  - 200+ fraud signals are surfaced on every session at no extra cost — read them off the decision payload, don't re-query.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/core-technology/biometric-auth/overview
  - https://docs.didit.me/core-technology/ip-analysis/overview
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Besoin de plus de contexte ? Consultez la documentation complète du module.docs.didit.me →
Conforme par conception

Ouvrez un nouveau pays en un clic. Nous faisons le gros du travail.

Nous ouvrons les filiales locales, obtenons les licences, effectuons les tests d'intrusion, obtenons les certifications et nous alignons sur chaque nouvelle réglementation. Pour effectuer des vérifications dans un nouveau pays, il suffit d'activer un interrupteur. Plus de 220 pays en direct, audités et testés par pénétration chaque trimestre — le seul fournisseur d'identité qu'un gouvernement d'un État membre de l'UE a formellement qualifié de plus sûr que la vérification en personne.
Lire le dossier sécurité et conformité
Bac à sable financier de l'UE
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
Sécurité de l'information · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Conçu pour être conforme aux normes de l'UE

Chiffres de preuve

Chiffres de preuve
  • iBeta L1
    Détection d'attaque de présentation certifiée indépendamment — re-testée chaque année.
  • <0s
    Verdict d'élévation de bout en bout sur Android d'entrée de gamme.
  • ~$0.13
    Par événement — $0.10 d'élévation biométrique plus $0.03 de pré-vérification IP optionnelle.
  • 0
    Vérifications gratuites chaque mois, sur chaque compte.
Trois niveaux, une seule liste de prix

Commencez gratuitement. Payez à l'usage. Passez à l'Entreprise.

500 vérifications gratuites chaque mois, pour toujours. Paiement à l'utilisation pour la production. Contrats personnalisés, résidence des données et SLA (Service Level Agreements) pour l'Entreprise.
Gratuit

Gratuit

0 $ / mois. Aucune carte de crédit requise.

  • Forfait KYC gratuit (Vérification d'identité + Vivacité passive + Correspondance faciale + Analyse d'appareil et IP) — 500 / mois, chaque mois
  • Utilisateurs bloqués
  • Détection des doublons
  • Plus de 200 signaux de fraude sur chaque session
  • KYC réutilisable sur le réseau Didit
  • Plateforme de gestion des cas
  • Constructeur de flux de travail
  • Documentation publique, sandbox, SDK, serveur MCP (Model Context Protocol)
  • Support communautaire
Commencez gratuitement
Le plus populaire
Payez à l'usage

Basé sur l'utilisation

Payez uniquement pour ce que vous utilisez. Plus de 25 modules. Tarification publique par module, pas de frais mensuels minimums.

  • KYC complet à 0,33 $ (ID + Biométrie + IP / Appareil)
  • Plus de 10 000 ensembles de données AML — sanctions, PEP, médias défavorables
  • Plus de 1 000 sources de données gouvernementales pour la validation de base de données
  • Surveillance des transactions à 0,02 $ par transaction
  • KYB en direct à 2,00 $ par entreprise
  • Filtrage de portefeuille à 0,15 $ par vérification
  • Flux de vérification en marque blanche — votre marque, notre infrastructure
Voir la liste complète des prixCommencer gratuitement
Entreprise

Entreprise

MSA et SLA personnalisés. Pour les grands volumes et les programmes réglementés.

  • Contrats annuels
  • MSA, DPA et SLA personnalisés
  • Canal Slack et WhatsApp dédié
  • Examinateurs manuels sur demande
  • Conditions de revendeur et de marque blanche
  • Fonctionnalités exclusives et intégrations partenaires
  • CSM désigné, examen de sécurité, support de conformité
Parlez-nous

Commencez gratuitement → payez uniquement lorsqu'une vérification est effectuée → débloquez l'Entreprise pour un contrat personnalisé, un SLA ou une résidence des données.

FAQ

Questions fréquentes

Connexe

Modules + flux de travail associés

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le filtrage des portefeuilles. Intégration en 5 minutes.

Démarrer gratuitementNous contacter
Demandez à une IA de résumer cette page