Reconnaissance faciale. Numérisation des empreintes digitales. Qu'en est-il de la protection de la vie privée ?

Blog par Andy | Publié le Vendredi janvier 25 2019

Si Mission Impossible, Mission Impossible 2, Mission Impossible III, Mission Impossible - Protocole Fantôme, Mission Impossible - Rogue Nation et Mission Impossible - Fallout nous ont appris quelque chose, c'est que la sécurité, l'identité et l'authentification constituent un paysage de plus en plus complexe et impliqué.

C'est du moins ce que j'en ai retenu. N'aimez pas trop les cascades à moto.

Tom Cruise semble également avoir un certain goût pour la théorie et la pratique de la sécurité. Il a fait une autre incursion remarquée dans ce domaine en incarnant le capitaine John Anderton dans le film de Steven Spielberg (2002), intitulé Rapport sur les minorités. Le film annonçait un monde dystopique dans lequel les crimes pouvaient être prédits par des ‘précogs’, des êtres dotés du ‘don’ de voir dans l'avenir et de prévenir ces crimes avant qu'ils ne se produisent. Il prévoyait également un monde dans lequel les populations sont suivies et identifiées en permanence par les agences gouvernementales et les entreprises privées grâce à la reconnaissance biométrique. Oh, et le contrôle des ordinateurs par la voix et les gestes. Sur de la musique classique.

Tout cela vous semble très familier, n'est-ce pas ? Ok, peut-être pas Rapport sur les minorités’Precogs, qui explore les différences entre le libre arbitre et le destin, ainsi que l'éthique liée à la tentative de contrôler l'un ou l'autre. Il faut dire que les progrès de l'IA et de l'apprentissage automatique tentent de créer des algorithmes qui prédisent l'avenir sur la base de Big Data et de calculs de probabilité.

Cependant, l'identification biométrique est aujourd'hui monnaie courante. Les smartphones utilisent les empreintes digitales et la reconnaissance faciale pour l'authentification des utilisateurs, et les applications de sécurité vont désormais du simple contrôle d'accès et du suivi du temps de présence aux services bancaires, aux forces de l'ordre et à la sécurité des frontières.

Tout cela est un peu effrayant, non ? Si l'on combine la technologie permettant de reconnaître les gens où qu'ils aillent en fonction de diverses mesures avec un logiciel qui enregistre des données historiques clés les concernant pour tenter d'influencer leur comportement futur, nous en sommes pratiquement au point où, en entrant dans un magasin, des publicités sur mesure nous seront directement transmises par des caméras qui scannent nos visages. Le marketing ciblé existe déjà lorsque vous êtes en ligne, que vous êtes connecté ou que vos cookies sont activés.

Et c'est potentiellement d'autant plus invasif lorsqu'il s'agit de reconnaissance faciale, car, comme l'explique Jennifer Lynch, avocate de l'Electronic Frontier Foundation, un groupe de défense des droits de la vie privée, "la reconnaissance faciale est un moyen de protéger la vie privée", a déclaré lors d'une interview avec Bloomberg: “Les données relatives à la reconnaissance faciale peuvent être collectées à l'insu d'une personne. Il est très rare qu'une empreinte digitale soit collectée à votre insu.”

Lutter contre la marée

Est-il possible d'arrêter l'avancée inexorable des données biométriques et leur application dans nos vies ? Eh bien, oui, il y a une résistance qui se manifeste par des préoccupations en matière de protection de la vie privée et par la réglementation qui en découle. Il s'avère que les gens n'aiment pas l'idée d'être suivis partout où ils vont (malgré les recherches qui ont montré que la plupart des consommateurs font confiance aux grandes entreprises en ligne qui détiennent leurs données), et le droit à la vie privée a été encapsulé dans diverses réglementations qui régissent la manière dont les données sont collectées, stockées et utilisées. La plus notable de ces dernières années est bien sûr le Règlement général sur la protection des données, ou RGPD, qui est entré en vigueur le 25 mai 2018. Vous souvenez-vous de cette avalanche de courriels envoyés par tout le monde et leur chien pour vous demander si vous souhaitiez continuer à recevoir des communications de leur part alors que vous n'aviez aucun souvenir d'avoir demandé à être ajouté à la liste de diffusion en premier lieu ? Cela.

Le GDPR se résume à un ensemble de lignes directrices pour la collecte et le stockage des données personnelles, de sorte que toute organisation qui contrôle ces données doit mettre en place des mesures appropriées (à la fois opérationnelles et techniques) pour travailler dans le cadre des réglementations définies. En tant que collecteur de ces informations, vous devez obtenir l'autorisation et justifier la poursuite du stockage et de l'utilisation des données à caractère personnel. Il s'agit du nom, de l'âge, de la localisation et de toute autre donnée susceptible d'être utilisée pour vous identifier. Cela inclut bien sûr les données biométriques.

La bonne nouvelle, c'est que le GDPR et d'autres législations de ce type ont introduit des techniques d'application avec beaucoup plus de mordant qu'auparavant. Les entreprises peuvent se voir infliger des amendes d'un montant potentiellement très élevé, ce qui signifie que l'incitation à respecter les règles est forte. Quelles que soient les bonnes intentions, les données feront toujours l'objet d'attaques, et les pirates trouveront des moyens d'enfreindre les défenses. La question se pose donc de savoir quelles données sont stockées et ce qui se passe si elles tombent entre de mauvaises mains.

Dans votre visage

L'une des principales préoccupations des consommateurs concernant la reconnaissance faciale et les empreintes digitales en tant que méthodes d'authentification est le fait que les données doivent être stockées pour fonctionner, et donc que les données biométriques pourraient être diffusées intentionnellement ou par des moyens malveillants. Cela met de nombreuses personnes mal à l'aise, car elles pensent que leurs empreintes digitales ou les images de leur visage risquent d'être diffusées.

Mais cette inquiétude est-elle justifiée ? Comment les données biométriques sont-elles stockées et utilisées, et leur perte constituerait-elle un grave problème de sécurité ?

Les geeks massifs

Les lecteurs d'empreintes digitales, les scanners de l'iris et de la rétine et la reconnaissance faciale semblent tous très différents quant au type d'informations qu'ils stockent, mais ils sont en fait très similaires dans les processus et les mécanismes qu'ils emploient pour collecter, stocker et utiliser les données. Lorsque vous ‘enregistrez’ votre empreinte digitale ou votre visage sur un appareil, celui-ci scanne les données graphiques. Mais les ordinateurs sont le nec plus ultra des geeks massifs. Ils ne se soucient pas de l'apparence des choses. Ils aiment les chiffres. Le zéro et le un sont leurs préférés.

Ainsi, pour utiliser les données biométriques comme un dispositif essentiellement mathématique, les scans de votre visage ou de vos empreintes digitales sont traduits en un ensemble de ‘nœuds’ - des mesures de localisation et de distance qui, ensemble, constituent un ensemble de données algorithmiques unique qui peut être utilisé pour vous identifier en tant que personne. Une fois qu'un appareil dispose de ces données, il a tout ce dont il a besoin et il doit alors se débarrasser des scans ‘originaux’. En ce qui concerne les dispositifs de reconnaissance faciale utilisés pour l'authentification, les scans sont de toute façon effectués en 3D et fonctionnent à très faible luminosité, de sorte que dans de nombreux cas, il serait inutile de conserver les ‘scans’ originaux. L'autre point essentiel est que les données stockées ne peuvent pas être utilisées pour recréer les images originales.

Cela signifie qu'à toutes fins utiles, vos données biométriques ne sont qu'un ensemble de coordonnées et de nombres dans le format défini par l'appareil en question et utile à celui-ci. Elles sont moins utiles que le reste des données qui pourraient être détenues à votre sujet, de sorte que les préoccupations relatives à la protection de la vie privée dans les données biométriques ne sont généralement pas plus importantes que pour n'importe quel autre type de données.

Tant que les entreprises suivent les conseils et mettent en place les mesures de protection appropriées pour protéger l'accès aux données, crypter autant que possible et stocker uniquement les données dont elles ont réellement besoin pour fournir leurs services aux clients, les inquiétudes concernant la confidentialité des données peuvent être largement apaisées et nous pouvons tous nous reposer un peu plus tranquillement. Si, en tant qu'organisation, vous avez des questions sur la manière dont tout cela peut être réalisé, n'hésitez pas à nous en faire part. Nous en savons quelque chose.

Mesures extrêmes en matière de reconnaissance faciale

Bien sûr, il faut le dire, lorsqu'il s'agit d'accès par reconnaissance faciale, on ne peut pas se défendre contre le vieux Tom comme Ethan Hunt et ses déguisements impeccables ...

Pour en savoir plus