Liveness detection : guide complet anti-spoofing 2026

En bref — La liveness detection (détection du vivant) vérifie qu'une biométrie présentée provient bien d'une personne réelle, en direct, et non d'une photo, vidéo, masque ou deepfake. Elle est encadrée par la norme ISO/IEC 30107-3 (PAD, Presentation Attack Detection) avec trois niveaux d'attaque. En 2026, le standard de marché pour le KYC bancaire et santé est un liveness passif certifié ISO 30107-3 niveau 2 combiné à un défi actif aléatoire. Le coût marginal par contrôle est descendu à 0,30-1,00 €.

Liveness actif vs passif vs hybride

Quelles attaques le liveness doit-il bloquer ?

La norme ISO 30107-3 classe les attaques de présentation (PAI, Presentation Attack Instruments) en trois niveaux :

Niveau 1 — attaques simples - Photo imprimée d'un visage cible. - Photo affichée sur un écran de smartphone ou de moniteur. - Photo découpée et collée sur un autre support.

Niveau 2 — attaques élaborées - Vidéo rejouée d'un visage cible (replay attack). - Masque silicone basique imprimé. - Deepfake basique (face swap statique, sans gestion 3D). - Masque papier 3D plié.

Niveau 3 — attaques sophistiquées - Masque silicone haut de gamme (movie-grade) avec texture cutanée. - Deepfake temps réel avec gestion de profondeur (DeepFaceLive +). - Détournement de capteur : injection vidéo directement dans le pipeline caméra (presentation injection). - Spoofing avec capteurs structurés trompés.

Un produit certifié niveau 2 bloque les attaques de niveaux 1 et 2 avec un taux d'erreur d'attaque (APCER) < 5 % et un taux de rejet faux positif (BPCER) < 5 % selon les protocoles iBeta/BixeLab.

Comment lire un rapport de certification iBeta ?

Trois métriques à connaître :

• APCER (Attack Presentation Classification Error Rate) : pourcentage d'attaques classées comme bona fide (faux négatif). Plus c'est bas, mieux c'est. Cible : < 5 % au niveau 2.
• BPCER (Bona Fide Presentation Classification Error Rate) : pourcentage de vrais utilisateurs rejetés (faux positif). Plus c'est bas, meilleure est l'expérience utilisateur. Cible : < 5 % à 10 % selon le contexte.
• ACER (moyenne d'APCER et BPCER) : indicateur global synthétique.

Un bon rapport publie ces taux par type d'attaque (papier, écran, masque, vidéo, deepfake) et précise le panel d'évaluation (combien de testeurs, démographie, conditions lumière). Méfiance face aux rapports vagues ou "self-tested".

Quelles sont les techniques sous le capot ?

Six familles de signaux exploitées :

1. Texture analysis : reconnaissance des textures synthétiques (papier, écran, silicone) via réseaux convolutifs.
2. Microvariations : pulse sanguin détectable dans la pixellisation du visage (rPPG, remote photoplethysmography).
3. Profondeur 3D : si le device a un capteur structured light ou ToF (FaceID), exploitation directe. Sinon, parallaxe entre frames consécutifs (motion parallax).
4. Cohérence physique : asymétries, illuminations, ombres, reflets oculaires.
5. Signaux du device : capteurs IMU, gyroscope, accéléromètre — un téléphone tenu en main bouge ; un téléphone monté sur trépied face à un écran ne bouge pas.
6. Détection de deepfake : modèles entraînés à reconnaître les artefacts GAN et diffusion (voir aussi notre article dédié aux deepfakes).

Liveness en visioconférence : un cas particulier

Les parcours KYC vidéo synchrone (avec un agent humain à l'autre bout) ont un faux sentiment de sécurité : "un humain voit le client en direct". En réalité, un face swap temps réel peut tromper un opérateur humain entraîné dans plus de 50 % des cas (étude Onfido + BAE Systems 2024).

La parade :

• Pas de visio non protégée sans liveness automatisé embarqué.
• Capture des frames côté plateforme pour analyse post-call.
• Capteurs device : refuser les calls sans IMU disponible ou avec patterns anormaux.
• Combiner visio + lecture NFC : la lecture NFC depuis le téléphone du client en parallèle de la visio prouve la possession physique de la pièce.

Intégration technique : mobile vs web

Mobile (iOS / Android natif) - Accès direct à la caméra haute fréquence, IMU, profondeur sur les devices équipés. - Latence faible, expérience fluide. - Recommandé pour les parcours sensibles.

Web (navigateur) - Accès limité aux capteurs (pas d'IMU sur Safari, ToF inaccessible). - Plus exposé aux attaques de presentation injection. - Reste possible avec un fallback robustifié (liveness passif vidéo + signaux comportementaux).

Hybride PWA / WebView : posture intermédiaire ; à privilégier quand on doit couvrir mobile + desktop sans deux développements distincts.

Quel niveau pour quel usage ?

• Login récurrent à faible enjeu : liveness passif niveau 1 acceptable.
• Onboarding B2C non bancaire (télécom, mobilité, marketplace) : liveness passif niveau 2 minimum.
• Onboarding bancaire / e-santé / KYC remediation : liveness hybride niveau 2 + lecture NFC + face-match.
• Opération à très fort enjeu (gros crédit, gros virement) : liveness hybride niveau 2 + NFC + agent humain en visio + workflow d'approbation manuel.

Choisir son fournisseur de liveness : 10 questions à poser

1. Quel niveau de certification ISO 30107-3 (1, 2 ou 3) ?
2. Quel laboratoire a réalisé la certification et quand ? (Date < 18 mois recommandé)
3. APCER et BPCER par type d'attaque ?
4. Couverture deepfake temps réel ?
5. Modèles entraînés sur quel volume de données et avec quelle diversité démographique ?
6. Couverture iOS + Android + Web ?
7. Mode passif disponible (zero-friction) ?
8. Hébergement France/UE et conformité RGPD/HDS ?
9. Latence moyenne et taux de complétion observés ?
10. Que devient la donnée biométrique après le contrôle (durée de conservation, possibilité de purge) ?

FAQ

Quelle est la différence entre liveness actif et liveness passif ? Le liveness actif demande à l'utilisateur d'exécuter une action (sourire, tourner la tête, suivre un point) pour prouver qu'il est vivant. Le liveness passif analyse silencieusement quelques frames sans rien demander. L'hybride combine les deux et c'est le standard 2026 pour le KYC bancaire.

Qu'est-ce que la norme ISO 30107-3 ? ISO/IEC 30107-3 est la norme internationale du Presentation Attack Detection (PAD). Elle classe les attaques en trois niveaux et fixe les métriques (APCER, BPCER, ACER) pour mesurer la robustesse d'un produit. La certification est délivrée par des laboratoires accrédités tels qu'iBeta ou BixeLab.

Le liveness bloque-t-il les deepfakes ? Un liveness passif certifié niveau 2 bloque les deepfakes basiques. Pour les deepfakes temps réel sophistiqués, il faut combiner liveness + détection deepfake dédiée + lecture NFC + signaux device. Voir notre article sur les deepfakes.

Le liveness est-il obligatoire en KYC bancaire ? Indirectement, oui. Les régulateurs (ACPR en France, EBA au niveau UE) exigent une identification fiable à distance au niveau eIDAS substantiel pour les comptes bancaires. En pratique, cela impose un liveness anti-spoofing certifié pour les parcours full-remote.

Quel taux d'échec utilisateur attendre ? Sur un liveness passif moderne bien intégré, le taux de rejet faux positif (BPCER) se situe autour de 2 à 5 %. Au-delà, l'expérience utilisateur dégrade trop et le taux de complétion chute. Mesurez le drop-off par étape et challengez votre fournisseur s'il dépasse 7-8 %.

Combien coûte le liveness par dossier ? Le coût marginal d'un contrôle liveness se situe entre 0,30 € et 1,00 € selon le volume, le niveau et le périmètre. À comparer aux 5-25 € de coût administratif d'une vérification manuelle équivalente et aux 500-2 500 € de coût moyen d'une fraude à l'onboarding.

Pour aller plus loin

• Deepfakes et fraude à l'identité — l'attaque que le liveness doit contrer.
• Vérification d'identité en temps réel — la solution Datakeen, liveness certifié + NFC.
• KYC santé en télémédecine — cas d'usage santé.
• Combien coûte une solution KYC ? — modèles tarifaires.