Reconnaissance faciale pour activer un téléphone : bonne idée ou risque majeur ?

Les dommages causés par le phishing vocal

Le phishing vocal est devenu très fréquent ces derniers temps. En France, le montant des dommages causés par cette fraude aurait dépassé pour la première fois les 700 millions d’euros en 2025. En 2016, les pertes étaient encore estimées à environ 70 millions d’euros, mais elles ont augmenté chaque année pour atteindre près de 1 milliard d’euros en 2022. La création d’une cellule de lutte conjointe entre les autorités et les opérateurs télécoms avait alors laissé espérer un tassement, mais récemment, les pertes ont de nouveau explosé, dépassant les 700 millions d’euros en 2025.

C’est pourquoi le gouvernement a pris de nouvelles mesures pour lutter contre le phishing vocal, notamment en exigeant une authentification faciale lors de l’activation d’un téléphone portable. Bien sûr, d’autres mesures visant à lutter contre le phishing vocal ont également été renforcées, mais celles-ci concernent principalement le secteur de la téléphonie mobile.

Sources concernant le service M-Safe en Corée du Sud :

• 🔗 Fear, anger and confusion reign in wake of SK Telecom’s historic data breach https://koreajoongangdaily.joins.com/news/2025-04-27/national/socialAffairs/Fear-anger-and-confusion-reign-in-wake-of-SK-Telecoms-historic-data-breach-/2294648 (27 avril 2025)
• 🔗 Personal data breached as African, South Korean telcos suffer cyberattacks https://www.biometricupdate.com/202504/personal-data-breached-as-african-south-korean-telcos-suffer-cyberattacks

Le lien entre l’hameçonnage vocal et les téléphones portables clonés

Vous vous demandez peut-être quel est le lien entre l’hameçonnage vocal et l’activation d’un téléphone portable. Eh bien, l’hameçonnage vocal utilise le plus souvent des téléphones portables clonés. C’est pourquoi la lutte contre l’hameçonnage vocal commence par la lutte contre les téléphones portables clonés, d’où le lien entre ces deux éléments.

Lorsqu’un appel tombe sur notre mobile, si le numéro affiché commence par +33 9 ou par un indicatif régional éloigné, on laisse souvent sonner. Mais si c’est un 06 ou un 07, on se dit que ça peut être le livreur, la crèche, ou encore l’amende de stationnement qu’on conteste, et on décroche.

En France, les prefixes 06/07 sont devenus un signal de confiance ; c’est exactement ce que cherchent les arnaqueurs : ils achètent donc des cartes SIM prépayées à ces numéros pour que l’appel soit « rassurant ».

Obtenir une carte à un de ces numéros est censé être simple : il suffit de présenter une pièce d’identité en point de vente ou de télécharger l’application de l’opérateur. Sauf que, depuis 2023, les opérateurs ont l’obligation de vérifier l’identité du futur abonné en « temps réel » :

• photo du visage
• scan de la carte d’identité
• comparaison automatique
• destruction des données juste après

Objectif : empêcher qu’un fraudeur ouvre la carte au nom d’un tiers et la jette après l’arnaque. Reste la question : demander une reconnaissance faciale pour activer une carte SIM, est-ce que ça va vraiment freindre le phishing vocal ? Je pense que oui, à condition que la fuite de ces données biométriques ne devienne pas, demain, un nouveau problème.

Résultats de l’introduction de la reconnaissance faciale en Chine

Si l’on examine d’autres pays qui exigent la reconnaissance faciale lors de l’activation d’un téléphone portable, on peut se faire une idée de l’efficacité de cette politique. Le pays qui utilise le plus activement les services de reconnaissance faciale dans le monde est la Chine. Les établissements chinois utilisent régulièrement la reconnaissance faciale. En effet, depuis 2019, la Chine impose la reconnaissance faciale lors de l’activation d’un téléphone portable, ce qui soulève des inquiétudes quant à la fuite d’informations personnelles. Cette mesure est-elle efficace ? Elle a fait l’objet de nombreuses discussions.

Cela a-t-il été efficace ? Cette mesure a été mise en place en Chine en décembre 2019, il serait donc intéressant de voir si le nombre de cas d’hameçonnage vocal a diminué en 2020 par rapport à 2019. Je vais vous donner la conclusion d’emblée. Il a augmenté. En 2020, il y en a eu 927 000, soit plus qu’en 2019.

Alors, la reconnaissance faciale n’a aucun effet. En 2020, la pandémie de Covid-19 a éclaté, il est donc difficile de dire avec certitude que cette augmentation est due à la reconnaissance faciale. Mais il y a eu un événement assez choquant depuis le lancement du service de reconnaissance faciale. Sur la plateforme commerciale chinoise Taobao et sur la plateforme d’occasion Ni, plus de 170 000 informations faciales ont été échangées.

La reconnaissance faciale est-elle une vague passagère ?

Actuellement, certains pays d’Asie du Sud-Est mettent en œuvre des services de reconnaissance biométrique tels que la reconnaissance faciale ou prévoient de les introduire officiellement à partir de 2026. Mais qu’en est-il des véritables protecteurs des données personnelles, comme les pays occidentaux tels que les États-Unis et l’Europe ? D’une part, ce service n’est pas utilisé pour les téléphones portables.

Bien sûr, certains pensent que les pays comme les États-Unis ou l’Europe ne le font pas parce qu’ils n’ont pas de base de données d’identification avec photo, comme la carte d’identité utilisée dans notre pays, mais ce n’est pas le cas. En Europe, la loi sur la protection des données personnelles, appelée GDPR, est très stricte.

Les données biométriques sont considérées comme des informations extrêmement sensibles, et leur collecte à grande échelle est interdite sans justification légale particulière. De plus, les États-Unis sont un pays qui accorde une grande importance à la liberté individuelle. On parle souvent de la peur du « Big Brother ». Il existe une certaine crainte que si les données faciales sont collectées de manière obligatoire, le gouvernement les utilisera pour suivre et surveiller les déplacements des citoyens, ce qui rend très difficile la mise en place d’une telle politique aux États-Unis. C’est pourquoi les États-Unis s’orientent actuellement vers la reconnaissance des veines de la paume de la main plutôt que vers la reconnaissance faciale.

Dans ce contexte, je pense que le fait d’exiger la reconnaissance faciale lors de l’activation d’un téléphone portable, dans un contexte aussi sensible que celui de Coupang ou des opérateurs de télécommunications, est une politique très agressive.

Processus de reconnaissance faciale lors de l’activation d’un téléphone portable

Examinons maintenant plus en détail le processus d’activation d’un téléphone

Les informations que je vais vous présenter ont été compilées à partir d’une annonce du gouvernement et d’entretiens avec divers experts. Afin de faciliter la compréhension, j’ai essayé de les présenter de la manière la plus simple possible. Veuillez toutefois noter que certaines informations peuvent être légèrement inexactes ou différer de la réalité.

Lors de l’activation d’un téléphone, Tonginsa lance l’application Pass et prend une photo de votre visage et de votre carte d’identité. Il compare ensuite le visage figurant sur la carte d’identité avec votre visage réel. Ce processus est crypté avant d’être envoyé au serveur sécurisé de l’opérateur téléphonique, puis la correspondance est vérifiée. Pour plus de commodité, j’appellerai ce processus « authentification par l’opérateur téléphonique ».

En effet, l’application Pass est gérée par les trois opérateurs de téléphonie mobile. Presque simultanément, la photo prise pour la carte d’identité est transmise au ministère de l’Intérieur et de la Sécurité publique s’il s’agit d’une photo de carte d’identité, ou à la police s’il s’agit d’une photo de permis de conduire, afin d’être comparée aux données enregistrées dans la base de données et de vérifier qu’elle correspond bien à la carte d’identité réelle. Je vais donc appeler ce processus « certification gouvernementale » pour plus de commodité.

Ainsi, lors de l’activation d’un téléphone, lorsque l’authentification par l’opérateur de télécommunications et l’authentification gouvernementale sont toutes deux validées, l’application Pass envoie alors un signal de validation à l’agence, après quoi les données utilisées pour l’authentification par l’opérateur de télécommunications et l’authentification gouvernementale sont détruites. C’est ce que le gouvernement appelle actuellement le système de reconnaissance faciale lors de l’activation d’un téléphone.

Cela soulève une préoccupation. Il y a beaucoup de personnes dont la photo sur leur carte d’identité est très différente de leur apparence réelle. Cela peut être dû au maquillage ou à l’utilisation intensive de Photoshop, mais comme les renouvellements sont peu fréquents, beaucoup de personnes ont une photo d’elles-mêmes très jeunes sur leur carte d’identité.

Je pense donc qu’il est possible de s’inquiéter du fait que l’IA du serveur de Pass compare ces photos avec les photos réelles, mais qu’elle ne les reconnaisse pas correctement. Cependant, si le gouvernement a bien fait passer le message, il a également déclaré que pendant la période d’essai, même en cas d’échec de la certification, l’ouverture du compte se ferait à titre exceptionnel. Et sur la base des cas d’échec, ils disent qu’ils vont élaborer des solutions d’amélioration et procéder à une vérification approfondie, mais comme la mise en œuvre officielle est prévue pour mars prochain, le temps disponible pour la vérification est très court.

Comment empêcher l’activation de faux numéros de téléphone : M-Safe

Certes, ce n’est pas un moyen de bloquer complètement le phishing vocal, mais il existe des moyens de réduire, voire d’empêcher, l’ouverture de faux comptes téléphoniques qui peuvent servir de point de départ au phishing vocal.

Dans mon cas, j’ai configuré mon téléphone pour recevoir automatiquement un SMS lorsque celui-ci est activé à mon nom. Je suis donc allé dans l’application SMS et j’ai tapé « M-Safe ». J’ai alors vu qu’à partir d’octobre 2023, j’étais abonné à SKT et j’ai immédiatement reçu un SMS de M-Safe. Et en novembre 2024, j’ai reçu un SMS indiquant que j’étais abonné à SKT, et en août 2025, j’ai reçu un SMS de M-Safe indiquant que j’étais abonné à quelque chose. Je continue de recevoir ce genre de SMS.

Vous pouvez également vous inscrire via l’application Pass ou l’application Kakao Bank. Je vais vous montrer comment faire avec l’application Pass, qui est la plus utilisée. Une fois que vous vous êtes authentifié dans l’application Pass, vous trouverez une option appelée « Prévention de l’usurpation d’identité ». En appuyant dessus, vous accédez à la page « Vérification de l’inscription ». En appuyant dessus, votre numéro d’identification et votre nom s’affichent.

Vous entrez votre numéro d’identification et appuyez sur « Confirmer ». Après un court instant, tous les numéros de téléphone enregistrés à votre nom, qu’il s’agisse de téléphones portables ou de téléphones fixes, s’affichent. Si vous voyez un numéro que vous ne connaissez pas, il s’agit peut-être d’un faux numéro. Nous vous recommandons de contacter votre opérateur pour le bloquer ou le supprimer.

Je ne connais pas l’application Pass, je n’utilise pas Kakao Bank et je ne sais pas ce qu’est MF E-Pay. Pour ceux qui trouvent cela difficile, il suffit de se rendre directement chez votre opérateur téléphonique et de vous inscrire à ce service de protection contre l’usurpation d’identité. Si vous leur dites cela, ils vous inscriront, donc pour protéger vos informations personnelles, je vous recommande vivement de vous inscrire à ce service.

À long terme, je pense que l’identification devrait se faire sans support physique, comme pour les cartes ou les téléphones, que ce soit par reconnaissance faciale ou par reconnaissance des veines de la paume de la main. Je pense que c’est la dernière étape du développement des technologies financières. Mais l’identification sans support physique, comme le paiement par reconnaissance faciale ou veineuse, reste la phase finale de l’évolution.

Questions / réponses

Pourquoi faut-il procéder à la reconnaissance faciale lors de l’activation d’un téléphone portable ?

Depuis le début de l’année, les pertes causées par l’hameçonnage vocal en France ont franchi le cap historique des 700 millions d’euros. Les fraudeurs utilisent presque toujours des lignes mobiles ouvertes au nom d’une tierce personne, souvent sans même que la victime s’en rende compte. Pour couper l’herbe sous le pied aux réseaux de fausses SIM, l’État a rendu obligatoire, depuis mars 2024, la vérification d’identité en temps réel : scan du visage + pièce d’identité à l’activation. Objectif : interdire d’office toute carte SIM “fantôme” avant même qu’elle ne passe entre de mauvaises mains.

La Chine a-t-elle introduit la reconnaissance faciale ? Cela a-t-il été efficace ?

La Chine a rendu obligatoire la reconnaissance faciale lors de l’activation d’un téléphone portable depuis décembre 2019. Cependant, le nombre de cas de hameçonnage vocal a augmenté en 2020, et des fuites d’informations faciales se sont produites. Récemment, la politique a été modifiée afin d’utiliser une pièce d’identité ou un code PIN à la place de la reconnaissance faciale, sauf en cas de nécessité absolue.

Comment empêcher l’ouverture d’un faux numéro de téléphone à mon nom ?

Vous pouvez utiliser le service public « M-Safe » géré par l’Association coréenne des communications et de l’information. Dans l’application Pass ou Kakao Bank, vous pouvez accéder au menu « Prévention de l’usurpation d’identité » pour vérifier votre statut d’abonnement ou demander gratuitement la « configuration des restrictions d’abonnement » qui bloque à la source l’activation d’appareils non enregistrés.