20 $ par visage, le business « souterrain » du KYC cryptographique

Auteur original : angelilu, Foresight News

« Service non disponible dans votre région ».

Je ne sais plus à quelle fois c'est. Cette fois, j'étais prêt – j'ai sorti mon passeport, je l'ai pris en photo face caméra, recto, verso, je suis passé en mode selfie, j'ai pris une photo en tenant la pièce d'identité, j'ai hoché la tête, secoué la tête, cligné des yeux comme demandé. Tout a pris environ dix minutes, j'ai été plus minutieux que la dernière fois. Puis la page a changé, affichant « Soumission réussie, en attente de vérification ».

J'ai attendu trois jours. Le quatrième jour, j'ai actualisé, le statut était toujours « En cours de vérification ». La fonction de retrait était gelée, motif : « En attente de la finalisation de la vérification d'identité ». La fenêtre de souscription pour le projet auquel je voulais participer fermait dans quarante-huit heures.

Ou alors, pas d'attente du tout – la page avait déjà détecté mon adresse IP avant même que je n'agisse, affichant directement cette ligne : « Service non disponible dans votre région. » Aucune raison donnée, aucun canal de recours, aucune indication sur ce que je pouvais faire. Ce n'est pas que je ne veuille pas coopérer, c'est que je n'en ai tout simplement pas le droit.

C'est peut-être une situation que nous rencontrons souvent, toi et moi, le mur le plus courant dans l'industrie cryptographique : le KYC, Know Your Customer (Connaissez votre client). Le KYC est la partie la plus lourde du mot « conformité » : vous devez prouver que vous êtes bien qui vous prétendez être pour entrer.

Ces cinq dernières années, certaines grandes places de change ont progressivement externalisé leur KYC auprès de systèmes d'identité commerciaux comme Sumsub, Jumio, etc. Le coût de la conformité a été « produitisé » et est devenu une dépense continue. Pour les plateformes leaders, ces dépenses atteignent désormais des niveaux de millions à dizaines de millions de dollars.

Plusieurs acteurs du secteur des paiements cryptographiques ont déclaré à Foresight News que l'industrie dépend encore fortement de prestataires tiers comme Sumsub, Jumio pour les étapes de KYC, ces solutions ayant un avantage net en termes de couverture mondiale des données et de capacités de conformité.

Cependant, avec l'augmentation du volume des transactions et des besoins en contrôle des risques, certaines grandes institutions explorent désormais un mode hybride « contrôle des risques interne + KYC tiers » pour trouver un meilleur équilibre entre coût, taux de réussite et maîtrise des risques.

Pourtant, quelle que soit la hauteur de ce mur, le marché souterrain a fixé son propre prix. Et de l'autre côté de ce mur, il existe une chaîne industrielle souterraine complète, spécialisée dans la perforation à bas coût de ce système. Le prix pour le percer est de 20 USDT – couvrant le processus complet de vérification exigé par les exchanges : téléchargement du passeport ou permis de conduire, reconnaissance faciale, preuve de résidence, le tout livré en un pack.

500 000 personnes, un marché que personne ne recense

Fidèle au principe « à toute politique sa contrepartie », j'ai commencé à chercher « Web3 KYC » en ligne. Ce qui est ressorti, ce n'étaient pas des tutoriels, mais surtout des avertissements.

Un rapport de CertiK en 2023 a examiné une vingtaine de marchés KYC souterrains, constatant que le nombre total de membres dépassait alors 500 000 personnes, spécialisées dans l'achat et la vente de comptes vérifiés sur diverses plateformes, concentrés en Asie du Sud-Est, avec des tailles de groupes allant de 4 000 à 300 000 personnes.

La société de cybersécurité ZeroFox avait comptabilisé, sur un an, plus d'un million de posts de vente de comptes KYC découverts sur des forums publics et Telegram, impliquant des exchanges majeurs et conformes comme Coinbase Pro, Kraken, etc., avec des prix variant de 150 à 500 dollars.

Une enquête de CoinDesk était plus directe : ils ont directement acheté plusieurs comptes pour les vérifier. Chaque compte était accompagné du nom, de l'adresse personnelle, de la date de naissance d'un utilisateur réel – les comptes de résidents américains incluaient même le numéro de sécurité sociale. Puis ils ont recherché dans des bases de données publiques et trouvé quatre personnes réelles correspondant exactement aux informations des comptes, à qui ils ont envoyé une notification écrite. Leur réaction a été la stupéfaction, ils n'avaient aucune idée que leur nom était attaché au compte d'un inconnu sur un exchange, et dont ils n'avaient jamais défini le mot de passe.

La détérioration est aussi technique. Selon le rapport sur la fraude d'identité 2025 de Sumsub, les attaques par deep fake ont augmenté de plus de 2000% au cours des trois dernières années, représentant maintenant environ 1/15 de toutes les tentatives de fraude d'identité.

Les chemins d'attaque forment une structure à trois niveaux :

• Le niveau le plus bas utilise un écran haute résolution couplé à un filtre polarisant pour éliminer les reflets, faisant que la « lecture d'une vidéo » ressemble optiquement à une prise de vue réelle ;
• Le deuxième niveau est l'attaque par injection HOOK, détournant directement l'interface d'appel système de la caméra du téléphone, « nourrissant » la fenêtre de capture de l'application avec une vidéo 4K pré-enregistrée – l'application « voit » ce qui semble être le flux en direct de la caméra, mais ce qui entre est une vidéo préparée à l'avance ;
• Le troisième niveau est l'outil de changement de visage par IA en un clic, il suffit de télécharger une photo pour générer, le seuil d'attaque est ramené à zéro. Le coût moyen pour percer un système d'authentification biométrique en direct : 10 dollars, avec un ratio bénéfice/coût atteignant 1400%.

Le « Rapport de recherche sur les risques d'attaque KYC mondiaux 2025 » publié par Threat Hunter montre qu'en termes de répartition sectorielle, les exchanges de cryptomonnaies et les plateformes de paiement/portefeuille sont les cibles centrales de toutes les attaques KYC, représentant ensemble plus de 78%. Les documents les plus vendus parmi le matériel d'attaque sont ceux de type « preuve d'adresse », raison simple : ils nécessitent des mises à jour fréquentes, et l'IA peut les générer en masse.

Ces chiffres peignent un tableau clair : fraude, usurpation d'identité, chaîne criminelle organisée. Superposez ces chiffres : 500 000 participants, 1 million de posts de vente en circulation publique, les comptes d'exchanges conformes majeurs comme Coinbase, Binance US, Kraken parmi eux. Ce n'est pas un cas particulier d'une plateforme, mais une faille systémique à laquelle l'ensemble du système de conformité cryptographique est confronté – tant qu'il y aura du KYC, le marché pour le contourner existera, et à une échelle considérable.

Le ton de chaque rapport est catégorique, utilisant des termes comme « acteurs de la menace », « marché souterrain », « opérations illégales ». Mais ils partagent un angle mort commun. Tout est vu de l'extérieur, du point de vue des régulateurs et des sociétés de sécurité, comme s'ils décrivaient un incendie derrière une vitre.

Mais aucun rapport n'explique qui sont vraiment ces personnes affichant un statut « en ligne » quotidiennement sur Telegram, comment elles perçoivent leur propre activité, et qui ce business sert réellement.

J'ai décidé d'aller parler à des gens du milieu.

Un petit revendeur KYC souterrain : 600 transactions en deux ans

Une recherche sur Telegram avec KYC fait apparaître une série de comptes en quelques secondes.

Début mars, j'en ai choisi un au hasard qui semblait fiable. Malheureusement, je suis tombé sur un type froid, ses réponses ne dépassaient pas 5 mots, la plupart de mes questions étaient répondues par un simple « oui », les informations les plus détaillées étaient les tarifs, par exemple « KYC CoinList 40 U », « KYC Coinbase 20 U ».

Après un long silence, l'interlocuteur a envoyé un message un peu plus long : « Alors, pouvons-nous travailler ensemble ? » La phrase semblait traduite mot à mot d'une autre langue, on aurait dit une proposition de collaboration, mais c'était probablement juste pour pousser à la vente. La conversation était difficile.

J'ai donc vérifié sur la blockchain l'adresse de réception TRON qu'il m'avait donnée. Cette adresse fonctionne depuis janvier 2024, elle a accumulé plus de 59 243 USDT d'entrées, pour 600 transactions de revenus, sur 26 mois. Mais le solde net est zéro.

Chaque entrée était rapidement vidée après un certain temps, transférée vers la même adresse amont. En suivant cette chaîne, il a finalement tout transféré vers le portefeuille chaud d'OKX sur la blockchain TRON. Ce courtier aidant les gens à contourner le KYC, verse chaque centime gagné sur un exchange.

Un vendeur anonyme de volume modeste, un chiffre d'affaires proche de 60 000 dollars en deux ans, 600 transactions, pas de vacances, pas de morte-saison, seulement des fluctuations liées au rythme des nouveaux lancements. Et ce n'est qu'une adresse, un vendeur, une blockchain.

La piste s'arrête là pour moi. Les personnes anonymes ne parlent pas, je devais trouver quelqu'un de plus enclin à discuter.

Un « homme d'affaires » KYC : cinq ans, des dizaines de plateformes

J'ai finalement trouvé sur X un « homme d'affaires » spécialisé dans les services KYC. Présenté par un ami, j'ai obtenu ses coordonnées et il a accepté une interview.

Il s'appelle Mao Li (Chat Carpe), et gère une « plateforme de services blockchain » aux produits variés.

Pour parler de sa façon de faire, Mao Li dit : « Je me base sur les demandes de mes followers, je cherche diverses sources, j'y consacre du temps pour rechercher, et j'ai progressivement développé cette activité. »

Mao Li est dans le business depuis cinq ans maintenant. Aujourd'hui, il opère avec un assistant, la plupart des produits sont expédiés automatiquement. Son catalogue couvre des dizaines de plateformes, avec des prix en RMB. Plus le prix est élevé, plus la plateforme est chaude récemment avec beaucoup de participants, ou plus les barrières de vérification d'identité sont difficiles à contourner.

« Une fois configuré, c'est essentiellement automatisé, sans parler de l'aide de l'IA maintenant, » dit-il. « Fondamentalement, cela ne nécessite pas beaucoup de personnel pour fonctionner. » Sauf en période faste – quand les nouveaux projets (打新) affluent, il peut travailler jusqu'à 12 heures par jour. En période creuse, il consacre son temps à développer sa présence sur X.

« L'épicerie du peuple, au service de tous les fans de l'industrie blockchain. » C'est ainsi qu'il décrit son business.

Ses clients sont dans tout l'espace sinophone : Chine continentale, Hong Kong, Taïwan, Malaisie, Corée, États-Unis. La demande des utilisateurs continentaux est la plus directe – de nombreuses plateformes de nouveaux lancements bloquent les IP chinoises, le passeport ou la carte d'identité est uploadé, le système refuse automatiquement, pas de canal de recours, pas d'explication.

« Ils achètent des comptes pour participer à des événements, » dit Mao Li. À chaque livraison, il joint un avertissement de risque standard : « Comme ce compte est enregistré avec les informations d'une autre personne, veuillez ne pas y placer de fonds importants, participez modestement, entrez et sortez rapidement. » Le « risque » qu'il mentionne est que le compte pourrait être récupéré à tout moment par son propriétaire original ; l'utilisation d'informations d'identité tierces pour enregistrer un compte financier constitue elle-même une usurpation d'identité dans la plupart des juridictions.

La chaîne industrielle qui émerge

Comment une transaction se déroule-t-elle ? Mao Li décrit le processus complet : consultation pré-vente, paiement, il contacte un « étranger qualifié », l'étranger suit la procédure apprise, complète le KYC, le compte est transféré à l'acheteur, l'acheteur vérifie puis modifie les paramètres de sécurité, la transaction est close.

Le client qui l'a le plus marqué est un Coréen, responsable d'une équipe d'incubation professionnelle, qui commande toujours en gros volumes. « Il coopère toujours avec les porteurs de projet, achète un très grand nombre de comptes, » dit Mao Li. « Il m'a dit avoir gagné beaucoup d'argent grâce à moi. Mais je n'en ai pas gagné, lui gagne l'argent des ressources, moi pour le KYC, je gagne l'argent de la sueur. »

Autrement dit, cette chaîne industrielle a aussi plusieurs niveaux. L'équipe d'incubation coréenne, côté demande, utilise les comptes pour participer en masse aux souscriptions de projets, c'est rentable. D'où l'existence d'intermédiaires comme Mao Li, et à la base, les « étrangers » fournissant l'authentification, qui complètent le KYC comme demandé et empochent peut-être quelques dollars.

La provenance des « étrangers » est mondiale – ces personnes en Asie du Sud-Est, Afrique de l'Est, Amérique latine qui acceptent des missions sous le nom de « travail en ligne complémentaire », exécutent les gestes demandés (hocher la tête, etc.), et empochent une récompense équivalente à quelques dollars ou dizaines de dollars.

Mao Li n'a pas précisé combien exactement revient à l'« étranger », mais une offre de recrutement circulant sur un forum russophone disait : « Seul ton visage est nécessaire. Complète la vérification vidéo via WhatsApp. 1 500 à 2 000 roubles par fois (environ 17 à 23 dollars), possible plusieurs fois par jour. »

Quand Worldcoin a déployé ses sphères de scan de l'iris au Cambodge et au Kenya, le phénomène avait brièvement refait surface – un marché noir des World ID à moins de 30 dollars est apparu, en 2024 les autorités thaïlandaises ont ordonné la suppression des 1,2 million de données d'iris collectées, l'Indonésie a suspendu toutes les activités de Worldcoin. Mais Worldcoin n'est que la partie émergée de l'iceberg, et c'est même la face visible, avec une marque et des journalistes pour poser des questions.

La tarification suit une autre logique. « Plus la région est développée, plus le coût du KYC est élevé, » dit Mao Li. « Les frais que vous proposez ne suffisent même pas à acheter un petit-déjeuner, les gens ne voudront tout simplement pas coopérer. » Les commandes des États-Unis sont les plus difficiles, il faut parfois que le client emmène l'« étranger » à New York pour faire les documents en présentiel.

Chaque transaction qu'il assure comprend des conditions après-vente : il ne garantit que la « première connexion ». « Parce que nous ne pouvons pas contrôler les règles de contrôle des risques de chaque exchange ou plateforme, elles peuvent changer à tout moment, » dit-il. La première chose que l'acheteur doit faire est de changer l'email lié, configurer la double authentification, expulser les appareils inconnus. La fenêtre de tir peut n'être que de quelques heures.

Il admet aussi qu'il y a des cas qu'il ne peut pas traiter. « Les comptes qui nécessitent de scanner le visage à chaque connexion sont impossibles à faire, l'étranger ne peut pas voler en permanence en Chine pour vous scanner le visage pour vous connecter. » Il ajoute : « Suivant cette logique, les plateformes au contrôle des risques très très stricts sont généralement celles qui ne manquent pas d'utilisateurs, ni de données, et n'ont pas d'événements aux avantages particulièrement élevés, donc peu de gens en achètent. »

KYC Web3, une porte vide avec son cadre

Mao Li a une vision claire de ce qu'il fait.

Interrogé sur l'efficacité du KYC dans l'industrie crypto, il répond : « Le KYC est un seuil que tout le monde connaît, la plateforme, les utilisateurs, savent ce qu'ils font. Pour ceux qui veulent vraiment participer à l'industrie, ce n'est pas un obstacle, c'est plus une façon de filtrer. »

Dans sa description, c'est une transaction gagnant-gagnant-gagnant : l'utilisateur obtient l'accès à la plateforme, l'exchange obtient de nouveaux utilisateurs et des données, et lui perçoit des frais de service. « Triple victoire, » dit-il.

Cette logique a un détail, caché dans son propre avertissement après-vente : « Comme ce compte est enregistré avec les informations d'une autre personne, veuillez ne pas y placer de fonds importants... » Ses « étrangers » sont des participants informés et rémunérés. Mais le mot « autre » signifie qu'il y a une personne réelle derrière le compte, quelqu'un qui peut revendiquer ses droits à tout moment.

Mais l'enquête de CoinDesk a montré que sur un marché plus large, certains comptes sont accompagnés du nom, de l'adresse et du numéro de sécurité sociale de résidents réels qui n'en savent rien. Ces personnes ne font pas partie de la « triple victoire ».

Mao Li est une personne de ce marché qui a accepté de parler. Derrière lui, on estime qu'il y a 500 000 participants, environ 1 million de posts de vente, et un système fantôme qui fonctionne encore.

Note : Les conversations Telegram et les données on-chain mentionnées dans l'article sont issues de l'enquête de l'auteur.