IA : une société australienne de reconnaissance faciale s’est fait pirater. Voilà ce que cela révèle sur les failles de sécurité de nos données personnelles

Atlantico : La société australienne de reconnaissance faciale Outabox, qui scannait les visages dans les bars et les clubs, s’est fait pirater. Quelle est l’ampleur de ce piratage ?

Jean-Paul Pinte : La police et les agences fédérales d’Australie ont réagi à une violation massive de données personnelles liée à un système de reconnaissance faciale mis en œuvre dans des bars et des clubs à travers l'Australie. L’incident met en lumière les préoccupations émergentes en matière de confidentialité, alors que la reconnaissance faciale basée sur l’IA est de plus en plus utilisée partout, des centres commerciaux aux événements sportifs.

La société concernée est Outabox, basée en Australie, qui possède également des bureaux aux États-Unis et aux Philippines. En réponse à la pandémie de Covid-19, Outabox a lancé un kiosque de reconnaissance faciale qui scanne les visiteurs et vérifie leur température. Les kiosques peuvent également être utilisés pour identifier les joueurs problématiques qui se sont inscrits à une initiative d'auto-exclusion. Cette semaine, un site Web intitulé « Have I Been Outaboxed » a vu le jour, prétendant avoir été créé par d'anciens développeurs d'Outabox aux Philippines.

Le site Web demande aux visiteurs de saisir leur nom pour vérifier si leurs informations ont été incluses dans une base de données de données Outabox, qui, selon le site, avait des contrôles internes laxistes et était partagée dans une feuille de calcul non sécurisée. Il prétend avoir plus d'un million d'enregistrements.

L’incident a inquiété les experts en matière de protection de la vie privée qui ont depuis longtemps tiré la sonnette d’alarme face à la prolifération des systèmes de reconnaissance faciale dans les espaces publics tels que les clubs et les casinos.

"Malheureusement, il s'agit d'un horrible exemple de ce qui peut arriver suite à la mise en œuvre de systèmes de reconnaissance faciale portant atteinte à la vie privée", a déclaré à WIRED Samantha Floreani, responsable de la politique de Digital Rights Watch, une organisation à but non lucratif basée en Australie en matière de confidentialité et de sécurité. « Lorsque les défenseurs de la vie privée mettent en garde contre les risques associés à des systèmes de surveillance comme celui-ci, les violations de données en font partie. »

Selon le site Web Have I Been Outaboxed, les données comprennent « la reconnaissance faciale biométrique, l'analyse du permis de conduire, la signature, les données d'adhésion au club, l'adresse, l'anniversaire, le numéro de téléphone, l'horodatage des visites au club, l'utilisation des machines à sous ». Il affirme qu'Outabox a exporté l'intégralité des données d'adhésion d'IGT, un fournisseur de machines à sous. Phil O'Shaughnessy, vice-président des communications mondiales d'IGT, a déclaré à WIRED que « les données affectées par cet incident n'ont pas été obtenues auprès d'IGT » et que la société travaillerait avec Outabox et les forces de l'ordre. 

Les propriétaires du site Web ont publié une photo, une signature et un permis de conduire expurgé appartenant à l'un des fondateurs d'Outabox, ainsi qu'une capture d'écran expurgée de la prétendue feuille de calcul interne. WIRED n’a pas été en mesure de vérifier de manière indépendante l’identité des propriétaires du site Web ou l’authenticité des données qu’ils prétendaient détenir. Un e-mail envoyé à une adresse sur le site Web n'a pas été renvoyé.

Selon les informations rapportées par le site web Have I Been Outaboxed , plus d’un million de personnes auraient été affectées par cette fuite de données. Le site affirme également que ces données sensibles se seraient baladées sur un bête tableau Excel sans protection. Cependant, ces déclarations sont à prendre avec précaution, car leur véracité n’a pas pu être confirmée de manière indépendante.

Les données personnelles très sensibles (liées à la reconnaissance faciale) peuvent-elles être détournées et dans quel but ? Quelles sont les principales failles de sécurité de ces nouvelles technologies liées à la reconnaissance faciale, pour de telles bases de données et concernant l’intelligence artificielle pour nos données personnelles ?

Selon la CNIL, la reconnaissance faciale est une technique qui permet à partir des traits de visage :

• D’authentifier une personne : c’est-à-dire, vérifier qu’une personne est bien celle qu’elle prétend être (dans le cadre d’un contrôle d’accès)

ou

• D’identifier une personne : c’est-à-dire, de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

Ces nouvelles technologies ne sont bien sûr pas sans faille et profitent de plus en plus aux personnes mal intentionnées. 

La reconnaissance faciale offre ainsi des opportunités de fraudes et d'autres crimes, en cas de piratage. En outre, le risque d’erreurs, bien que minime, reste possible du fait d’éventuelles failles dans la technologie, des angles de caméras, du niveau d’éclairage ou encore de la qualité de l’image. 

Avec l’analyse des données personnelles, la reconnaissance faciale au service de l’identification des personnes est l’utilisation la plus courante de l’intelligence artificielle. Le principe est assez simple. Un algorithme modélise le visage d’une personne afin de relever des points uniques et de dessiner une empreinte faciale, à la manière d’une empreinte digitale.

Une fois que ce portrait-robot est enregistré, il suffit de scanner de nouveau un individu et de comparer son visage numérique à ceux présents dans la base de données du système. Pour le moment, la reconnaissance d’une personne isolée est plus fiable que lorsque le visage se trouve dans une foule, mais la technologie fait des progrès rapides et l’identification de masse avance, notamment en Chine.

Ces nouveaux systèmes attirent aussi les escrocs. L’une des fraudes les plus répandues est celle qui consiste à amalgamer des visages différents en combinant les traits de nombreuses personnes, en utilisant, là encore, l’intelligence artificielle. On appelle cette pratique le « deepfake ». L’idée est de créer des « visages Frankenstein », explique l’entreprise Experian dans son rapport publié en mars 2021.

Ces experts en sécurité informatique estiment en outre qu’une nouvelle fraude est en train de proliférer : celle à la fausse identité synthétique. Cette pratique a longtemps été utilisée par des activistes militants contre la surveillance de masse. Ceux-ci utilisent des maquillages asymétriques afin de tromper les systèmes et de ne pas être reconnus. Aujourd’hui, les escrocs y ont recours pour se façonner une nouvelle identité. Il est aussi relativement aisé de se faire passer pour un autre individu afin d’accéder à son portefeuille numérique ou à son compte en banque, afin d’entrer dans des hôtels, des centres d’affaires, des bureaux ou des hôpitaux.

En Asie, des fraudeurs exploitent une faille de sécurité du système d’exploitation iOS. Résultat, certains utilisateurs ont vu leur compte en banque se vider.

Pour les fabricants de smartphones, la sécurité est un enjeu majeur. Empreinte digitale, reconnaissance faciale : ces dernières années, de nouvelles méthodes de déverrouillage se sont popularisées, avec pour objectif de dépasser les failles du plus traditionnel code secret.

Des chercheurs en cybersécurité de Group6IB ont découvert un nouveau virus infectant iOS, le système d’exploitation de l’iPhone.

Ce malware (logiciel espion) porte un petit nom : GoldPickaxe.iOS. Il prend l’apparence d’une application légitime pour s’infiltrer dans le smartphone et dérober les données biométriques liées à la reconnaissance faciale.  

Grâce à ce logiciel de type cheval de Troie et à l’intelligence artificielle, les pirates informatiques sont ensuite en mesure de créer une version frauduleuse du visage des victimes. C’est ce qu’on appelle des deepfakes. Ces deepfakes servent ensuite à valider des transactions non conformes en ligne. 

Faut-il s’inquiéter avant d’utiliser de telles technologies ? Ces piratages pourraient-ils faire réfléchir les autorités et conduire à limiter l’usage de tels systèmes de reconnaissance faciale dans les espaces publics tels que les centres commerciaux, les boîtes de nuit et les casinos ?

Oui il faut s'inquiéter de la pratique de telles technologies (Contrôle des accès, identification des personnes…) et les technologies biométriques permettant la reconnaissance faciale des individus ont été expérimentées en France ces dernières années. Une mission sénatoriale s’interroge sur l’absence d’encadrement juridique dont elles font l’objet et préconise d’adopter une loi d’expérimentation.

Le développement des technologies liées à la reconnaissance faciale et leur utilisation en dehors d’un cadre juridique européen ou national soulèvent des interrogations, notamment en termes de protection des libertés publiques.

Le rapport du Sénat publié le 10 mai 2022 préconise un encadrement précis de l’utilisation de cette technologie afin d’éviter de dériver vers une société de surveillance. L’adoption d’une loi d’expérimentation pour déterminer les usages de la reconnaissance biométrique est recommandée, notamment pour établir des "lignes rouges" à ne pas franchir.

Globalement, l’utilisation de la reconnaissance faciale doit être délimitée par de grands principes :

• le principe de subsidiarité, pour qu'elle ne soit utilisée que lorsqu’elle est vraiment nécessaire ;
• le principe d’un contrôle humain systématique, la reconnaissance faciale devant être limitée à une aide à la décision ;
• le principe de transparence pour que son usage ne se fasse pas à l’insu des personnes.

·        Utilisée dans d’autres pays comme les États-Unis et le Royaume-Uni par la police ou les municipalités, la reconnaissance faciale fait également l'objet d’expérimentations récentes en France (carnaval de Nice en 2019, tournoi de Roland-Garros en 2020 pour tester un dispositif de contrôle d'accès pour les arbitres). La société Aéroports de Paris a quant à elle mis en place une expérimentation en plusieurs phases de la reconnaissance faciale, qui a été suspendue en raison de la crise sanitaire.

·        L’utilisation de la biométrie est étroitement liée au développement de l’intelligence artificielle (IA) qui permet d’étendre l’utilisation de la reconnaissance faciale à de nombreux usages. Afin de limiter un contrôle massif et automatique des populations, le rapport du Sénat propose d’interdire l'utilisation des systèmes d'IA pour l'identification biométrique à distance en temps réel de personnes physiques dans des espaces accessibles au public à des fins répressives. 

La proposition de loi adoptée par le Sénat le 12 juin 2023 établit en premier lieu des lignes rouges claires afin d'écarter le risque d'une société de surveillance en posant le principe d'une interdiction de l'identification biométrique à distance et sans le consentement des personnes, dans l'espace public et les espaces accessibles au public, que cette identification s'opère en temps réel ou a posteriori.

Une fois ces lignes rouges posées, le texte définit un régime expérimental encadrant, pour une durée de trois ans, des cas d'usage exceptionnels justifiés par un intérêt public supérieur, suivant des régimes robustes d’autorisations préalables et de contrôle permanent. 

Comment est-il possible de se prémunir face à de tels risques en utilisant ces technologies ou en communiquant nos données personnelles à des entreprises ? Faudrait-il mieux sécuriser les bases de données ?

Une donnée personnelle est définie comme tout élément d’information pouvant vous identifier directement ou indirectement. Il s’agit par exemple de votre nom, de votre adresse physique ou e-mail, du lieu où vous vous trouvez, ou encore de votre historique de navigation. Cela inclut aussi les identifiants en ligne comme l’adresse IP de votre ordinateur ou les cookies conservés dans votre navigateur Internet et utilisés pour vous associer aux appareils et services que vous utilisez.

La sécurité des bases de données est une approche à large spectre de la gestion d'un ou de plusieurs environnements de bases de données, en vue de protéger non seulement les informations y sont stockées mais aussi le processus de gestion des données  lui-même contre les cyberattaques et autres activités. Cette pratique doit s’adapter aux particuliers qui commencent à confier l’hébergement de leurs données à des sociétés spécialisées dans ce domaine.

Dans une dernière étude Ipsos de 2019 sur le sujet, une personne sur deux déclarait se préoccuper davantage de ses données personnelles qu’un an auparavant.

La question de la sécurité des données personnelles est revenue ensuite sur le devant de la scène lorsque des gouvernements ont mis en place des systèmes de traçage des déplacements des citoyens pour lutter contre l’épidémie de Covid 19.

TousAntiCovid a encore montré la préoccupation grandissante des individus par rapport à la question de leurs données personnelles à en lire cet article de l’époque.

La collecte et le traitement des données personnelles font désormais partie du quotidien des consommateurs, car ils sont devenus un enjeu commercial et économique majeur pour les professionnels. Le marketing n’a pas attendu pour le faire à en croire cet article dédié.

Le RGPD instauré en mai 2018 renforce les droits des consommateurs en leur permettant de se réapproprier leurs droits sur leurs données à caractère personnel.