Veriftools : La ferme à faux papiers à 9 $ et comment le KYC riposte
Un faux passeport devrait coûter cher. C'était le cas autrefois. Pendant la majeure partie du siècle dernier, la fabrication d'un faux convaincant exigeait un savoir-faire, de vrais matériaux et du temps. Puis, des services comme Veriftools ont fait chuter le prix d'un faux document d'identité à environ neuf dollars, payables en cryptomonnaie, sans aucune compétence particulière. Voilà la réalité, et la saisie d'un site web n'y change rien.
En août 2025, le FBI et la police nationale néerlandaise ont saisi les noms de domaine de Veriftools et environ 6,4 millions de dollars en cryptomonnaie . Tant mieux. Le site a d'ailleurs été relancé presque aussitôt. Cet article examine donc ce qu'était Veriftools, pourquoi ces opérations se répètent, comment une fausse carte d'identité tente de contourner la vérification d'identité et où l'acheteur d'une contrefaçon à neuf dollars se fait discrètement avoir. En résumé : la solution efficace ne réside pas chez le registraire de noms de domaine, mais bien dans l'étape de vérification.
Qu'était Veriftools et pourquoi était-il important ?
Veriftools était une plateforme de création de modèles, un « générateur » qui transformait la falsification de documents en un jeu d'enfant. Il suffisait de saisir ses données personnelles pour que le service produise un faux document d'identité d'un réalisme saisissant. Plus besoin de faussaire, de chambre noire ni de savoir-faire artisanal. C'est cette industrialisation qui pose problème, car elle élargit considérablement le nombre de personnes capables de commettre une falsification de documents : d'une poignée de criminels chevronnés, il devient n'importe qui ayant un grief et un simple navigateur internet.
L'ampleur du problème était considérable. Selon des rapports de chercheurs en sécurité et du département de la Justice américain, Veriftools proposait environ 250 modèles de documents couvrant quelque 69 pays, dont des cartes d'identité pour les 50 États américains. Le site vendait de faux passeports, permis de conduire, relevés bancaires et factures de services publics pour seulement 9 dollars, acceptait les paiements en cryptomonnaie, gérait un programme d'affiliation et permettait même la génération par lots de documents pour les criminels travaillant à partir de données d'identité volées ou synthétisées. En février 2024, il attirait environ 285 000 visiteurs uniques par mois. Le démantèlement du site en août 2025, mené depuis le district du Nouveau-Mexique avec l'aide des Pays-Bas, a permis la saisie de ses noms de domaine et de 6,4 millions de dollars en cryptomonnaie. L'opération a été présentée comme un pas en avant vers la protection du public contre la fraude et l'usurpation d'identité . Et c'était le cas. Mais ce n'était pas la fin.
Ce qui rendait le modèle de générateur dangereux, ce n'était pas un document en particulier, mais le débit. Un modèle statique a toujours besoin d'un faussaire pour être convaincant ; un générateur le fait automatiquement, en masse, pour quiconque possède quelques dollars en cryptomonnaie. Ajoutez à cela un programme d'affiliation et vous obtenez un système de distribution, et non plus un simple produit. La falsification de documents n'était plus un savoir-faire, mais un système d'abonnement, ce qui devrait inquiéter toute plateforme accueillant des inconnus.
Pourquoi les sites de faux documents refusent de disparaître
Voici le problème : une opération de démantèlement ne fait que masquer le symptôme. L’offre, c’est du crime organisé, et elle se reconstitue du jour au lendemain.
Le jour même de l'annonce de la saisie, les opérateurs de Veriftools ont publié des messages de relance sur Telegram. En quelques semaines, des domaines de remplacement étaient opérationnels avec diverses extensions, et en octobre 2025, ils totalisaient environ 80 000 visiteurs mensuels. Ce phénomène n'est pas inhabituel. Une entreprise de vérification d'identité compte environ 24 000 vendeurs sur le vaste marché de la contrefaçon à la demande. Si l'un d'eux est mis hors service, la demande se reporte simplement sur le suivant.
Derrière tout cela se cache une réalité économique implacable. L'infrastructure est bon marché, les clients sont anonymes et les paiements se font en cryptomonnaie ; le coût marginal de la remise en service est donc quasi nul. Une saisie de nom de domaine augmente légèrement ce coût, mais ne change rien à l'équation.
Je ne prétends pas que les saisies soient inutiles. Saisir 6,4 millions de dollars et perturber une opération est important. Mais « nous avons saisi le nom de domaine » relève du communiqué de presse, pas de la défense. Si votre plan de sécurité repose sur l'élimination par les forces de l'ordre de l'approvisionnement en faux documents, alors votre plan est inefficace. Une solution durable doit anticiper l'arrivée de la contrefaçon et la contrer dès son apparition.
Comment les faux papiers d'identité tentent de contourner la procédure KYC, et la recrudescence de la fraude qui en découle
Si les contrefaçons bon marché proposées par des services comme Veriftools sont problématiques, c'est parce qu'elles alimentent un système bien plus vaste. L'usurpation d'identité s'est industrialisée au même rythme que ces outils, et les chiffres commençant par 2025 et 2026 sont loin d'être anodins.
Documents synthétiques et générés par l'IA
La catégorie qui connaît la croissance la plus rapide est celle des identités synthétiques, un mélange de données réelles et inventées qui passe un contrôle superficiel. La fraude aux documents d'identité synthétique a augmenté de 311 % en Amérique du Nord entre début 2024 et début 2025, selon les estimations de Sumsub. Les faux documents numériques représentent désormais environ 57 % de toutes les fraudes documentaires, soit une hausse de 244 % sur un an, d'après l'Entrust Cybersecurity Institute. Près d'un faux document sur cinquante est aujourd'hui généré par l'IA. Nul besoin d'un maître faussaire : un simple abonnement suffit. Les identités synthétiques sont particulièrement pernicieuses car il n'y a pas de victime unique pour porter plainte. L'identité étant partiellement inventée, elle peut rester inactive, se constituer un historique ténu, puis se manifester soudainement. Lorsque quelqu'un s'aperçoit du problème, le compte est déjà vidé et supprimé.
Attaques par injection et deepfakes
L'autre front est celui du selfie en direct, sur lequel s'appuient les systèmes de vérification pour prouver la présence d'une personne réelle. Les attaquants contournent désormais ce système grâce aux deepfakes et aux attaques par injection, en injectant une vidéo falsifiée directement dans le flux vidéo de la caméra. La société de biométrie iProov a enregistré une tentative de deepfake environ toutes les cinq minutes en 2024, une augmentation de 741 % des attaques par injection sur iOS en 2025 et une hausse de 2 665 % des attaques par caméra virtuelle par rapport à 2023. Un document à neuf dollars et un échange de visage gratuit représentent un arsenal peu coûteux pour un crime onéreux.
Ce changement est crucial car simuler la présence d'une personne réelle était censé être l'aspect le plus difficile à reproduire. Si un système se fie simplement au fait qu'un visage en mouvement sur une caméra appartient à une personne réelle présente dans la pièce, une vidéo injectée discrètement remet en cause cette hypothèse. La détection a dû passer de la question « ce visage est-il réel ? » à celle « ce flux vidéo est-il même réel ? », un problème plus complexe et plus récent.
| Signal de fraude (2025-2026) | Chiffre | Source |
|---|---|---|
| Fraude aux faux documents d'identité, Amérique du Nord | +311 % en glissement annuel | Sumsub |
| Falsification de documents numériques, part de toutes les fraudes documentaires | 57 % (+244 % en glissement annuel) | Confier |
| Documents générés par l'IA | Environ 1 contrefaçon sur 50 | Sumsub |
| Fréquence des tentatives de deepfake | toutes les ~5 minutes | iProov |
| Attaques par injection iOS | +741% (2025) | iProov |
Comment la vérification d'identité détecte les documents falsifiés
Alors, si vous ne pouvez pas vous en sortir par la force, que faire ? La détection à l’entrée. C’est ce que l’acheteur d’un faux document à 9 $ ignore, car la vérification à plusieurs niveaux part du principe que le document est faux jusqu’à preuve du contraire.
Analyse forensique des documents et présence
Commençons par le document lui-même. Les analyses forensiques détectent les éléments qu'un modèle ne peut pas falsifier parfaitement : incohérences au niveau des pixels, différences de police et de mise en page, métadonnées manipulées et réutilisation du modèle dans plusieurs soumissions. Lors des tests effectués par Resistant AI sur les résultats de veriftools, son système d'analyse forensique a identifié les documents comme présentant un risque élevé, qu'il s'agisse de pièces d'identité, de relevés bancaires ou de factures, même après que les fraudeurs aient tenté de supprimer les métadonnées. Cette méthode fonctionne car un générateur est optimisé pour paraître crédible à un humain, et non à une machine. Un examinateur qui jette un coup d'œil à un permis de conduire y voit une carte plausible. Un moteur d'analyse forensique, quant à lui, détecte que le même modèle a produit des milliers d'autres soumissions, que l'espacement des polices est légèrement différent et que le motif de sécurité est imprimé plutôt qu'intégré. Ajoutez à cela la détection de présence 3D pour confirmer la présence d'une personne réelle, la détection d'injection pour repérer les flux vidéo falsifiés et la lecture de la puce NFC qui extrait les données authentiques et signées directement de la puce d'un passeport moderne, et la contrefaçon bon marché devient indétectable.
Contrôles croisés en matière de lutte contre le blanchiment d'argent et vérifications des bases de données
Un document validé ne représente que la moitié du travail. Le contrôle anti-blanchiment vérifie l'identité de la personne en la comparant aux listes de sanctions, aux bases de données des personnes politiquement exposées et aux articles de presse négatifs, puis poursuit la surveillance après l'ouverture du compte. Les données d'identité sont recoupées avec des sources fiables, et les mêmes signaux d'analyse alimentent un système de détection des fraudes aux paiements plus large, afin qu'un seul faux compte ne permette pas d'en ouvrir dix discrètement. Un document peut être parfaitement conforme et pourtant mentionner une personne dont les informations ne correspondent à aucun registre réel, ou qui figure déjà sur une liste de surveillance. La surveillance continue permet alors de repérer le compte qui semblait légitime au départ et qui est devenu risqué au bout de quatre-vingt-dix jours. Aucun niveau de contrôle n'est parfait. Cumulés, ils transforment un document à 9 dollars en un pari perdant.
| Couche de vérification | Ce qu'il attrape |
|---|---|
| criminalistique documentaire | Réutilisation de modèles, anomalies de police, de pixel et de métadonnées |
| Détection de vie 3D | Photos, masques et vidéos rediffusées |
| Détection d'injection | Flux de caméras virtuelles et de deepfakes |
| lecture de la puce NFC | Documents sans données de puce signées authentiques |
| Contrôles AML et de bases de données | Identités autorisées, fabriquées ou incohérentes |
Quel est le coût pour une plateforme de laisser passer des contrefaçons ?
Rien de tout cela n'est théorique. Les faux documents provenant d'opérations comme Veriftools alimentent directement les comptes qui génèrent ces pénalités, et le coût d'une erreur est devenu exorbitant. Un échec en matière de KYC est désormais une question de survie.
Regardez l'année. OKX a plaidé coupable dans une affaire portée devant le département de la Justice américain en février 2025, écopant d'amendes de plus de 504 millions de dollars , liées à des transactions suspectes totalisant plus de 5 milliards de dollars. Selon l'accusation, le personnel avait incité les clients à falsifier leurs documents d'identité. KuCoin avait conclu un accord avec le département de la Justice pour environ 300 millions de dollars le mois précédent, puis s'était vu infliger une amende record de 19,6 millions de dollars canadiens par FINTRAC au Canada en septembre de la même année. Et les sanctions ne cessent d'augmenter. Le règlement MiCA de l'UE fixe une date limite stricte d'autorisation CASP au 1er juillet 2026, le règlement anti-blanchiment d'argent (RAB) plus général entrera en vigueur en 2027 et les amendes se chiffrent en dizaines de millions de dollars. Une plateforme qui tolère un document falsifié ne fait pas d'économies. Elle ne fait que repousser une facture bien plus salée.
Il ne s'agit pas de cas isolés. Ce sont parmi les plus importantes actions répressives jamais menées dans le secteur des cryptomonnaies, et le point commun à chacune d'elles est l'identité. Ni manipulation de marché, ni piratage sophistiqué. La question qui revenait sans cesse aux régulateurs était à la fois plus simple et plus complexe : qui a réussi à accéder à la plateforme, et quelles mesures concrètes celle-ci a-t-elle prises pour vérifier ?
| Affaire d'exécution | Peine | Quand |
|---|---|---|
| OKX (Département de la Justice des États-Unis) | Plus de 504 millions de dollars | Février 2025 |
| KuCoin (Département de la Justice des États-Unis) | ~300 millions de dollars | Janvier 2025 |
| KuCoin (FINTRAC, Canada) | 19,6 millions de dollars canadiens | Septembre 2025 |
La réalité juridique pour quiconque serait tenté d'acheter
Pour un particulier, les neuf dollars dépensés pour Veriftools ou ses domaines successeurs ne représentent que la partie la moins chère. Le coût réel est double, et les deux aspects sont sous-estimés.
Tout d'abord, la loi. Aux États-Unis, la production ou l'utilisation d'un faux document d'identité constitue un crime fédéral en vertu de l'article 1028 du titre 18 du Code des États-Unis (18 USC § 1028), passible d'une peine pouvant aller jusqu'à 15 ans de prison. L'usurpation d'identité aggravée ajoute une peine minimale obligatoire de deux ans. Malgré cela, la demande reste faible : une enquête a révélé qu'environ 30 % des jeunes adultes américains ont déjà envisagé d'acheter une fausse carte d'identité. C'est précisément cette demande anodine qui rend ce commerce dangereux. La plupart des acheteurs y voient un simple accessoire, et non une infraction fédérale. C'est ce décalage entre la perception de l'achat et sa définition légale qui est source de préjudice. Les conséquences ne sont pas atténuées par le caractère anodin de l'achat.
Deuxièmement, les données. Pour générer une contrefaçon convaincante, vous fournissez à un service criminel vos véritables informations personnelles, votre photo, vos coordonnées exactes. Dans cette transaction, vous êtes moins le client que le produit. L'usurpation d'identité, l'extorsion et la revente de vos données en sont les conséquences logiques. Du côté de la plateforme, un faux compte signalé entraîne le gel des fonds et une exclusion définitive. L'acheteur perd son argent, son compte et le contrôle de son identité, souvent les trois.
Il est important de souligner clairement l'asymétrie. Le vendeur du faux compte risque une suppression et la perte d'un nom de domaine qu'il peut réenregistrer dès le lendemain matin. L'acheteur, quant à lui, risque un casier judiciaire. L'ensemble du système est structuré de telle sorte que le client supporte le risque juridique, tandis que l'opérateur empoche les cryptomonnaies et reconstruit ailleurs. C'est une situation à éviter absolument.
Pourquoi la détection est plus efficace que le retrait des fausses identités
La saisie de Veriftools n'a pas mis fin aux faux profils. Une autre ferme de serveurs est déjà en activité, et une troisième se trouve sur Telegram, prête à intervenir dès que la première tombe. La leçon à retenir est la suivante : l'offre est résiliente, la défense doit donc l'être tout autant. Pour une entreprise de cryptomonnaies, cela implique une vérification d'identité multicouche qui considère chaque document comme suspect, appuyée par des analyses forensiques, une vérification de la disponibilité et une surveillance continue de la lutte contre le blanchiment d'argent. Pour tous les autres, la solution est plus simple et moins coûteuse que neuf dollars. Ne soyez pas l'acheteur.
