voici les grands dangers cachés dans l’utilisation de la reconnaissance faciale

Nous devrons presque certainement prendre un selfie, peut-être avec une application installée sur notre téléphone portable, peut-être avec un appareil de l’aéroport lui-même. Il est probable que nous devrons montrer ou scanner la photo de notre passeport, ou scanner la puce qu’il intègre dans de nombreux pays.

Notre objectif sera probablement d’éviter les files d’attente encombrantes qui se forment aux heures de pointe les jours désignés. Mais est-ce une bonne idée d’utiliser ce type de solutions basées sur la reconnaissance faciale ? Peuvent-ils se retourner contre nous à un moment donné ?

Le visage comme attribut pour vérifier les identités

L’exemple de l’aéroport n’est qu’un exemple parmi tant d’autres que nous rencontrons dans nos vies personnelles et professionnelles. Ce geste qui consiste à vérifier notre identité à travers un selfie est de plus en plus courant, et nous le faisons de plus en plus inconsciemment. Ce que l’on pouvait d’abord trouver exotique, saisissant voire inconfortable, est désormais un geste quotidien.

Nous utilisons notre visage pour déverrouiller le téléphone portable, pour ouvrir une porte, pour montrer que nous sommes qui nous disons être en passant un examen ou pour ouvrir un compte bancaire à distance. Aussi pour payer un achat ou pour manger le menu de la cafétéria au travail.

Toutes ces solutions conçues en principe pour nous rendre la vie plus facile et plus sûre, reposent sur des techniques de reconnaissance faciale. C’est-à-dire qu’ils comparent le visage capturé avec le selfie avec un visage préchargé dans le système qui peut être récupéré à partir d’une base de données externe ou qui est fourni en temps réel à partir de la puce d’une carte ou d’un document d’identité. Le but est toujours le même : déterminer si le visage qui est et le visage qui devrait être sont suffisamment similaires.

Si c’est le cas, l’identité de cette personne est vérifiée et elle a la permission de faire ce qu’elle a demandé. A l’inverse, si les deux visages ne se ressemblent pas suffisamment, cette autorisation est refusée.

Dans un monde où les mots de passe sont devenus à la fois une nuisance (qui se souvient de la centaine que vous devriez utiliser chaque jour ?) et un problème de sécurité (car ils sont laissés vides, réutilisés, partagés, devinés), la reconnaissance faciale semble la solution idéale.

Les risques liés à la reconnaissance faciale

Cependant, tout n’est pas parfait lorsque nous utilisons ce système. L’utilisation d’un attribut biométrique, tel que notre visage, pour effectuer des processus de vérification d’identité comporte des risques. Le premier a trait à la nature des données qui sont traitées pour effectuer la vérification d’identité.

Comme déjà mentionné, il s’agit de données biométriques très sensibles qui peuvent nous identifier, c’est-à-dire permettre à un tiers de connaître notre véritable identité (quelque chose de simple de nos jours à partir d’un visage avec un simple moteur de recherche internet). Ils nous permettent également de lier notre visage à nos activités, et aussi d’associer des métadonnées critiques comme la géolocalisation, une adresse IP, les caractéristiques uniques d’un appareil donné (notre mobile, par exemple). Ils peuvent également ne pas nous permettre de nier avoir fait une activité ou avoir été dans un endroit particulier à un moment particulier.

Le deuxième risque est lié à la déséquilibre de pouvoir. Normalement, celui qui effectue le processus de vérification d’identité (une compagnie aérienne, une banque, un opérateur de télécommunications) ne propose pas d’autres alternatives pour le faire : soit c’est par reconnaissance faciale, soit ce n’est pas le cas. Et cela signifie que le consentement fourni par le sujet n’est pas libre, il veut prendre son vol à temps, il doit ouvrir ce compte bancaire. Et, dans de nombreux cas, il n’est même pas informé, car on ne sait pas exactement quelles données sont traitées et dans quel but. Sont-ils sauvés ? Combien de temps? Sont-ils utilisés pour autre chose ? Sont-ils partagés avec d’autres ?

Le troisième risque est lié à la utilisation de bases de données centralisées. La quasi-totalité de ces processus de vérification d’identité reposent sur le stockage, dans un référentiel unique, des identités des sujets et de leurs données faciales, afin d’effectuer les contrôles, vérifications appropriés. Que faire si cette base de données n’est pas correctement protégée ? Qui peut y accéder ? Avec quelles autorisations ? Et si un attaquant le vole ?

Foule de fournisseurs et algorithmes imparfaits

Le quatrième risque est lié à la collaboration d’un grand nombre d’entités différentes dans ces processus. Normalement, celui qui exploite le système (la compagnie aérienne, la banque) s’appuie sur des prestataires spécialisés pour capturer les données, les prétraiter, effectuer la reconnaissance faciale, stocker ces bases de données centralisées avec toutes les informations. Chacune de ces entités a ses propres politiques de sécurité et de confidentialité, est affectée par différentes réglementations ou législations, etc. Qui assume chaque responsabilité ? Est-ce que chacun sait ce qu’on attend d’eux et comment ils doivent protéger les données ?

Et le cinquième et dernier risque est lié à la performance de ces processus. quoiQue se passe-t-il avec un faux positif? Que quelqu’un puisse se faire passer pour une autre personne, il a l’autorisation de faire ce qu’il a demandé en son nom car le système reconnaît son visage comme associé à une identité qui n’est pas vraiment la sienne. Et avec un faux négatif ? Que se passe-t-il si le système ne nous reconnaît pas à cause du port de lunettes ou de maquillage ou à cause de nos traits ou d’une cicatrice ? On nous refuse la permission de faire ce que nous devons faire. Ce qui, à tout le moins, impliquera un retard, une file d’attente ou des désagréments supplémentaires. Ce dernier a tendance à se produire, dans une plus grande mesure, avec des femmes ou avec des personnes dont la race est différente de la race blanche parce que les systèmes ont tendance à être formés principalement pour reconnaître les visages des hommes blancs.

posez-vous des questions

Alors qu’est-ce qu’on fait ? Selfie ou pas selfie ? Dans cette vie, tout implique un risque, il ne s’agit donc pas d’éviter ces processus à tout prix, dans tous les scénarios (ce qui aujourd’hui serait aussi, en toute certitude, une chimère).

La chose la plus sensée à faire serait de se demander, dans chaque cas, si le bénéfice que nous tirons de l’utilisation de la reconnaissance faciale l’emporte sur les risques que nous encourons en l’utilisant. Ai-je d’autres alternatives pour passer le contrôle de sécurité et prendre mon vol à temps ? Puis-je déverrouiller le mobile d’une autre manière ou autoriser le paiement sans utiliser mon visage ? Cela me cause-t-il beaucoup d’inconfort? D’autres risques supplémentaires ? Ce n’est qu’en nous posant ce type de questions que nous pouvons atteindre un équilibre et gérer les risques de manière appropriée. Car une chose est sûre : changer de visage est très compliqué.

Cet article a été initialement publié le ‘La conversation‘.