Sur Chat GPT et avec seulement quelques instructions, n’importe qui peut falsifier un passeport

Publié le 16 avril 2025 à 09h00

Avec ChatGPT, créer un faux passeport ne demande plus aucune compétence technique. Quelques instructions suffisent pour générer un document convaincant. Les contrôles d’identité automatisés ne détectent plus la différence, ce qui remet en cause la sécurité des vérifications en ligne.

ChatGPT permet de générer un faux passeport en quelques prompts - ©RVillalon / Shutterstock

Depuis que ChatGPT propose la génération d’images, comme celles à la manière de Ghibli ou des Starter Packs, il semble que toutes les fenêtres et les portes sont ouvertes à la foire d'empoigne. Et hélas également à la fraude documentaire. Le rapport Cato CTRL 2025 montre qu’il suffit de quelques instructions pour obtenir un faux passeport réaliste. Plus besoin de logiciels spécialisés ou de réseaux clandestins.

Les plateformes qui s’appuient sur des contrôles automatisés, comme les banques ou les services en ligne, se retrouvent face à des documents générés en quelques minutes. Les analyses de Cato CTRL montrent que cette évolution force les organisations à revoir leurs méthodes de vérification.

Jusqu’à récemment, sans compétences précises ni accès à des outils ou réseaux spécialisés, impossible ou presque de créer un faux document officiel

Avant, pour fabriquer un faux passeport, il fallait maîtriser des logiciels comme Photoshop, connaître les codes des documents officiels, et souvent passer par le dark web pour trouver des modèles. Mais ça, comme disait la pub, c'était avant. Aujourd’hui, tout a changé. ChatGPT permet à n’importe qui de générer un faux passeport en quelques minutes et prompts. Bien sûr, ici, il n'est pas question d'inciter à la cybercriminalité, mais plutôt de démontrer les risques pointés par une étude récente, réalisée par l'entreprise de cybersécurité Cato. Et c'est effrayant de simplicité.

L’utilisateur télécharge une image, demande des modifications, et obtient un document modifié, sans coder ni utiliser de logiciel complexe. Si ChatGPT refuse de modifier une image pour des raisons de confidentialité, il suffit de reformuler la demande. Par exemple, certains demandent une « carte de visite ressemblant à un passeport » et obtiennent le résultat voulu. Le document généré affiche des tampons, des superpositions et des détails réalistes.

Plus besoin de compétences en retouche d’image ou de contacts dans des réseaux illicites. Cette facilité donne naissance à ce que Cato CTRL appelle « l’acteur de menace à connaissance nulle » : une personne sans expérience en cybercriminalité, capable de produire des faux documents et de mener des fraudes sophistiquées. Les exemples cités dans le rapport sont nombreux : ouverture de comptes bancaires, demandes de cartes de crédit, fraude à l’assurance, manipulation de contrats. La barrière technique a sauté. La production de faux documents d’identité devient accessible à tous.

Un simple échange avec les bonnes instructions suffisent à générer l'image d'un faux passeport à ChatGPT - ©CATO Networks

Les contrôles d’identité basés sur l’image ne suffisent plus, les organisations doivent changer de méthode

Les banques, les assurances et de nombreux services en ligne vérifient l’identité de leurs clients à partir de photos de documents et de selfies. C'est le cas notamment des banques en ligne. Cette méthode ne fonctionne plus face aux faux générés par ChatGPT. Les documents produits par l’IA sont si réalistes que les systèmes automatisés ne voient pas la différence. Le rapport Cato CTRL 2025 l’affirme : « Tout processus de vérification s’appuyant sur des images comme preuve est désormais officiellement obsolète. Il en va de même pour les selfies. Qu’ils soient statiques ou vidéo, peu importe ». Les faux documents passent les contrôles KYC (la procédure par laquelle une entreprise vérifie l’identité de ses clients pour s’assurer qu’ils sont bien ceux qu’ils prétendent être en collectant et en contrôlant des documents officiels comme la carte d’identité, le passeport ou un justificatif de domicile) sans difficulté.

Les textes recommandent d’adopter des méthodes plus avancées : vérification par puce NFC, détection d’activité pour repérer les deepfakes, portefeuilles d’identité numérique sécurisés. Les organisations doivent aussi former leurs équipes et informer les utilisateurs sur les risques liés à la falsification par IA.

ChatGPT

Chat dans différentes langues, dont le français
Générer, traduire et obtenir un résumé de texte
Générer, optimiser et corriger du code

9 / 10

Télécharger

À découvrir

Usurpation d'identité : les meilleures solutions pour se protéger en 2025

11 février 2025 à 09h41

Comparatifs services

Source : CATO Network

Par Mélina Loupia

Piratage / Cybercriminalité

Intelligence artificielle

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (6)

glittermen

Génial ! Grâce à l’IA, on peut désormais devenir citoyen du monde en quelques clics !
Un faux passeport ? Pas besoin de James Bond ni d’un réseau international… juste un prompt bien placé et hop, bienvenue dans la fraude 2.0 !
Bravo la tech ! On démocratise même les arnaques maintenant. Vive le progrès !
Et pendant ce temps, les systèmes KYC sont toujours en train de zoomer sur nos photos floues pour vérifier si notre oreille gauche correspond bien au standard ISO 19794…
On est à deux doigts de pouvoir s’inscrire à la NASA avec une carte d’étudiant générée par DALL·E.
Mais ne vous inquiétez pas, tout est sous contrôle !
Ah non, attendez… rien n’est sous contrôle.
L’IA est puissante, mais sans cadre solide, elle devient un jouet dangereux. Il est temps de sortir de l’utopie techno et de mettre des limites sérieuses. Sinon, demain, ChatGPT pourra peut-être aussi nous générer un casier judiciaire vierge et une retraite fictive…

Werehog

D’où l’intérêt des initiatives comme France identité… Tant que ce n’est pas piraté

xryl

Ouais, encore un article à l’emporte pièce. La vérification d’une pièce officielle ne peut se faire qu’en consultant un site de confiance. Pour la France, la vérification d’une PI est faite en consultant la base de données des titres sécurisés. Base de donnée qui est remplie par des formulaires capturés en mairie, par des humains (les fonctionnaires de la mairie) qui s’assurent qu’il n’y a pas eu de fraude (et ils sont pointilleux) et ne peut pas se faire sans la présence de la personne en question.

Impossible de faire un faux sans accès frauduleux à cette base, ce que ChatGPT n’a certainement pas.

Le problème ici, c’est la liaison entre un acteur X et la base en question. Si la banque valide un compte bancaire sans consulter la base, c’est elle qui est responsable de l’erreur qui en résulte. Bref, il n’y a rien de mal, AMHA à faire une photo imitant un passeport, c’est comme un billet de monopoly, car à aucun moment le faux ne peut être pris pour le vrai, vu qu’il n’existe pas dans la BDD des titres sécurisés.

Les textes recommandent d’adopter des méthodes plus avancées : vérification par puce NFC, détection d’activité pour repérer les deepfakes, portefeuilles d’identité numérique sécurisés

Remarque idiote. La puce NFC stocke un identifiant ce qui implique de, un, avoir ce qu’il faut pour le lire, et deux, pouvoir la comparer avec ce qui est attendu, donc ce connecter à la BDD des titres sécurisés. Donc quitte à s’y connecter autant aussi recevoir la photo et comparer qu’il s’agit de la même photo (ce que, à ce jour, un humain fait toujours beaucoup plus rapidement qu’un algorithme). Bref, le NFC ne sert à rien dans ce cas.

Pour les deepfakes, vu les algorithmes, il est maintenant possible de faire, en live toutes les mimiques demandées et l’image virtuelle est générée en temps réel, donc impossible à distinguer. De même pour un portefeuille numérique, rien ne prouve l’identité de l’utilisateur dudit portefeuille.

Bref, pour certifier qu’une personne est bien celle qu’elle prétend être, on ne peut qu’utiliser une visualisation en vrai, c’est à dire face à face. On peut utiliser un système biométrique, mais certainement pas une donnée numérique qu’elle aurait sur elle.

Pour un formulaire en banque, si la personne usurpe l’identité d’une autre (avec la photo d’un autre passeport non modifiée), alors le compte sera ouvert pour l’autre personne, ce qui n’arrange en rien l’usurpateur.

Si une requête doit pouvoir être faite virtuellement, en chat video par exemple, alors il faut demander une information qui est stockée dans la BDD et qui n’est pas visible sur le passeport. Comme un mot de passe ou une information issue du formulaire de demande du titre (son numéro unique). Seule la personne ayant fait la demande peut la connaître, tout fraudeur est immédiatement identifié. C’est le principe du MFA qui, AMHA, est probablement l’un des rares cas où il devrait être utilisé.

Binbin

Je cite : « Bien sûr, ici, il n’est pas question d’inciter à la cybercriminalité… »
« Si ChatGPT refuse de modifier une image pour des raisons de confidentialité, il suffit de reformuler la demande. Par exemple, certains demandent une « carte de visite ressemblant à un passeport » et obtiennent le résultat voulu. »
Sans commentaire…

Eclipz311

Le seul truc intéressant sur un passeport (comme sur une carte d’identité ou un nouveau permis de conduire) quand on le prend en photo, c’est la bande MRZ… et en tant que tel, seule, elle ne sert pas du tout à vérifier une identité, mais simplement à lire une identité qui, à ce stade, est tout sauf attestée.

En vrai, ça, c’est déjà très facile à faire, ChatGPT ou pas… ça n’est pas complètement sans conséquence (parce quand dans certains pays ils se servent de ça dans les hôtels pour avoir un listing officiel des guests qui est / peut être transmis à la police… mais bon, vu que les hôteliers font ça par dessus la jambe de toutes façons…), mais pour des trucs critiques, ça ne marche absolument pas.

OliverS

Titre bien abusé… En aucun cas ChatGPT vous permet de falsifier un document officiel puisque cela ne permet de générer qu’une image pour « frauder » une création de compte ou une vérification d’identité faiblement sécurisée…