Ce qu'il faut retenir.
- IDhack.site vend des comptes déjà vérifiés pour PayPal, Coinbase, Revolut, Stripe, Wise, Binance, Kraken, CashApp et plusieurs banques américaines, avec accès au mail, au téléphone, aux documents et parfois à un proxy ou un émulateur.
- Le catalogue inclut un « KYC Bypass Guide » à 99,99 dollars et des offres allant de 69,99 dollars (MoonPay) à 599,99 dollars (Revolut EU), livrées manuellement.
- Face à ce marché noir industrialisé, la vérification d'identité en ligne doit croiser plusieurs signaux (document, appareil, réseau, comportement) plutôt que reposer sur un simple contrôle à l'inscription.
Résumé généré par IA
79,99 dollars, soit environ 73,59 euros. C'est le tarif affiché sur IDhack.site pour un compte PayPal personnel européen déjà vérifié, livré avec l'accès à la boîte mail associée, au numéro de téléphone et aux documents d'identité utilisés lors de l'inscription. Le service de veille Darkweb de ZATAZ vient de repérer cette boutique qui revend des identités numériques prêtes à l'emploi pour contourner les procédures de vérification client (KYC) de PayPal, Coinbase, Revolut, Stripe, Wise, Binance, Kraken, CashApp et plusieurs banques américaines.
Le sigle KYC signifie Know Your Customer. Il désigne les contrôles qu'une banque, une néobanque ou une plateforme crypto impose à l'ouverture d'un compte : pièce d'identité, selfie de vérification, numéro de téléphone valide, parfois justificatif de domicile. Ces procédures existent pour limiter le blanchiment d'argent, la fraude au paiement et l'usurpation d'identité. Elles sont aussi devenues, avec la démocratisation des services financiers en ligne, un point de passage obligé pour à peu près tout site qui manipule de l'argent ou des données sensibles. IDhack.site illustre ce qui se passe quand ce point de passage devient une cible commerciale à part entière.
Une boutique de comptes vérifiés, prêts à l'emploi
La page consacrée à PayPal propose plusieurs formules. Une offre « Personal EU » à 79,99 dollars (73,59 euros), 13 unités en stock. Une version « Personal USA » à 89,99 dollars (82,79 euros), 18 comptes disponibles. Une déclinaison « Personal USA Crypto Enabled » à 179,99 dollars (165,59 euros), 15 exemplaires annoncés. Une formule « Business USA » à 299,99 dollars (275,99 euros), 8 unités. La livraison est indiquée comme manuelle, ce qui suggère une remise contrôlée des accès plutôt qu'un achat instantané automatisé.
Chaque fiche promet le même socle : accès au mail, accès au compte, accès au numéro de téléphone, documents, et parfois un proxy ou un émulateur pour se connecter. Ce n'est pas une simple revente de compte. L'adresse mail sert aux confirmations et aux réinitialisations. Le numéro de téléphone reçoit les codes de validation. Les documents renvoient aux justificatifs utilisés lors de la vérification d'identité d'origine. Le proxy réduit les anomalies géographiques détectées par les systèmes antifraude, et l'émulateur, mentionné sur la fiche Revolut EU, simule un environnement mobile pour faire fonctionner une application sensible dans des conditions proches de celles attendues par la plateforme, comme l'appareil ou la géolocalisation.
Un marché noir de l'identité qui s'industrialise
Le catalogue d'IDhack.site dépasse largement PayPal. On y trouve un KYC Bypass Guide à 99,99 dollars (91,99 euros), des comptes Stripe Personal et Business à 199,99 dollars (183,99 euros), RedotPay à 69,99 dollars (64,39 euros), Coinbase à 94,99 dollars (87,39 euros), CashApp avec VCC et option Bitcoin à 129,99 dollars (119,59 euros), Wise au même tarif, Shopify à 139,99 dollars (128,79 euros), MoonPay à 69,99 dollars (64,39 euros), Revolut EU à 599,99 dollars (551,99 euros) et Bunq à 499,99 dollars (459,99 euros). La liste s'étend aussi à Bybit, Kraken, Binance, Airbnb, QuickBooks Business, Mercury Business, Ebay Seller Verified, Crypto.com, Airwallex Business, Payoneer, TD Bank, Truist Bank, Bank of America, OKX, Kucoin, Skrill, LinkedIn, ainsi qu'à des comptes créateurs vérifiés sur OnlyFans, Fanvue, PornHub et Fansly.
Ce qui frappe, ce n'est pas une marque en particulier, c'est l'assemblage. Paiement, banque, crypto, commerce, location, réseaux professionnels et plateformes de contenu deviennent autant de points d'entrée pour un même écosystème frauduleux. Ces comptes peuvent servir à recevoir des fonds, ouvrir des circuits de blanchiment, contourner des restrictions géographiques, masquer un bénéficiaire réel ou tester des moyens de paiement volés. Et pour l'acheteur lui-même, le risque n'est pas nul : rien ne garantit que le vendeur ne conserve pas un accès parallèle au compte pour y faire transiter d'autres fonds d'origine criminelle.
Comment durcir la vérification d'identité de votre site
Si votre site, votre marketplace ou votre application vérifie l'identité de ses utilisateurs, à l'ouverture de compte, au paiement, ou lors d'une mise en relation, IDhack.site est un rappel utile : un contrôle de document à l'inscription ne suffit plus. Quelques pistes concrètes pour muscler votre onboarding :
- Croisez plusieurs signaux, jamais un seul. Document d'identité, numéro de téléphone, adresse mail et empreinte de l'appareil doivent être évalués ensemble. Un document propre associé à un numéro VoIP tout juste créé ou à un appareil déjà vu sur dix autres comptes est un signal d'alerte, même si chaque élément pris isolément semble valide.
- Détectez les proxys, VPN et IP de datacenter à l'inscription. Les offres d'IDhack.site incluent un proxy justement pour masquer une localisation suspecte. Un simple filtrage d'IP datacenter ou VPN connu, couplé à une cohérence entre fuseau horaire déclaré et adresse IP, élimine une partie non négligeable des tentatives automatisées.
- Passez à la détection de vivacité, pas au simple selfie. Un document scanné et une photo statique se contournent facilement avec des accès déjà validés. Demander un mouvement de tête, une action aléatoire ou une courte capture vidéo complique nettement la tâche d'un compte revendu.
- Limitez la vitesse de création de comptes. Un même moyen de paiement, un même appareil ou une même adresse IP qui ouvre plusieurs comptes en peu de temps doit déclencher une revue manuelle, pas une validation automatique.
- Surveillez après l'inscription, pas seulement à l'inscription. Un changement brutal de device, de localisation ou de comportement sur un compte pourtant vérifié doit rouvrir le contrôle. Le KYC n'est pas un événement ponctuel, c'est un processus continu.
- Faites appel à un prestataire spécialisé plutôt que de tout reconstruire. Des acteurs comme Stripe Identity, Onfido, Veriff ou Sumsub industrialisent déjà la vérification de documents, la détection de vivacité et la détection de fraude. Réinventer ce socle en interne, sur une petite équipe, prend du temps et laisse souvent des angles morts.
Notre lecture chez CZSyn
Beaucoup de nos clients qui exploitent une marketplace, une plateforme de paiement ou un service de mise en relation traitent le KYC comme une case à cocher réglementaire : on branche un prestataire, on affiche un badge « identité vérifiée », et le sujet est clos. IDhack.site montre que la partie adverse, elle, ne traite pas ça comme une formalité. Elle a construit une chaîne de production complète : documents, mail, téléphone, proxy, émulateur, livrés à la demande sur plusieurs dizaines de plateformes.
Notre recommandation reste simple : traitez la vérification d'identité comme un périmètre de sécurité à part entière, avec la même rigueur que l'authentification. Un seul prestataire de KYC, aussi bon soit-il, ne compense pas l'absence de surveillance comportementale en aval. Si votre produit manipule des paiements, des données sensibles ou une communauté qui doit se faire confiance, le coût d'un audit de votre parcours d'onboarding reste largement inférieur au coût d'un compte compromis, d'une fraude avérée ou d'une sanction réglementaire.
Votre parcours de vérification d'identité tient-il face à ce type de menace ?
Nous auditons vos parcours d'inscription et de KYC, et développons des contrôles antifraude sur mesure : détection de proxy, détection de vivacité, scoring comportemental. Audit gratuit sous 24h.
29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS
Sources primaires
- ZATAZ, « IDhack.site, vitrine du contournement des procédures de vérification de l'identité des clients ».
- ZATAZ, service de veille Darkweb, zataz.com.
- Cybermalveillance.gouv.fr, dispositif national d'assistance aux victimes de cybermalveillance, cybermalveillance.gouv.fr.
