« Certaines technologies sont trop facilement détournées, et aucune réglementation ou évolution de la conception ne peut les empêcher de porter atteinte à nos droits. Nous pensons que c’est le cas des outils de surveillance qui permettent la collecte et le traitement à distance en masse de données biométriques, ainsi que la surveillance ciblée discriminatoire », avertit la Ligue des droits de l’Homme dans un appel pour l’interdiction mondiale du recours à la reconnaissance faciale et à la reconnaissance biométrique signé par plus de 170 organisations de la société civile.

Si le monde associatif évoque des risques liés à la surveillance, ce ne n’est pas la seule menace planant autour de ces systèmes biométriques. L’entreprise d’identité en ligne ID.me Inc., qui vérifie les identités numériques pour le compte de 26 États américains, affirme repérer des tentatives d’usurpations et de créations d’identité. En juillet 2021, l’entreprise confie au Wall Street Journal avoir recensé plus de 80 000 tentatives frauduleuses entre juin 2020 et janvier 2021 au sein des agences gouvernementales américaines pour lesquelles elle travaille.

Parmi les fraudes recensées par ID.me, plusieurs concernent des escroqueries aux allocations chômage. Aux États-Unis, ces dernières couvrent entre 5% et 55% de l’ancien salaire net contre 62% à 84% en France selon des données de l’OCDE. Pour parvenir à leurs fins, les pirates usent de deepfakes, des images très réalistes générées par des intelligences artificielles (IA), portent des masques, utilisent des vidéos ou encore découpent sur une photo des yeux.

La reconnaissance faciale détournée pour une fraude à l’assurance

Les technologies de reconnaissance faciale fonctionnent grâce à la cartographie d’un visage qui sert à créer une empreinte faciale. Aujourd’hui, une identification isolée reste plus précise que celles de masse, comme dans le cas d’une foule.

Les experts de l’entreprise Experian, qui commercialise des données, des outils de gestion de la relation client et propose aussi de la prévention des fraudes, prévoient une proportion grandissante de création de visages et d’identités. Pour créer un visage, les pirates utilisent les points de plusieurs empreintes faciales pour former une nouvelle identité. Selon les experts d’Experian, ce procédé s’inscrit particulièrement dans la criminalité financière. Aussi, les identités numériques usurpées, ou créées, servent à accéder à certaines applications d’un téléphone, à passer les sécurités d’hôtel, d’un centre d’affaires ou d’un hôpital.

Alex Polyakov, PDG d’Adversa.ai, une entreprise système de sécurité pour les IA, estime que toutes les structures ayant remplacé le personnel de sécurité par des IA présentent potentiellement des risques. En 2017, le système de reconnaissance faciale de l’assureur Lemonade a failli se faire piéger par un homme portant une perruque blonde et du rouge à lèvres. Le client déguisé demandait une réclamation pour un appareil photo d’une valeur de 5 000 euros. Dans ce cas, l’IA de Lemonade a remarqué la supercherie dans les bandes vidéos. La vidéo a été signalée suspecte et l’homme a été démasqué. Un communiqué de l’entreprise précise que l’usurpateur avait d’ailleurs déjà fait une réclamation sous sa véritable identité. Lemonade n’a pas répondu à la demande de commentaires du Wall Street Journal.

Des activistes tentent également de tromper la reconnaissance faciale

En Chine, deux hommes ont été accusés d’avoir organisé une escroquerie de 77 millions de dollars en trompant les systèmes de reconnaissance faciale. Ils l’ont fait par le biais d’une société-écran – société fictive créée pour dissimuler des transactions financières -, avec laquelle ils ont prétendu vendre des sacs, fausses factures à l’appui. Pour éditer et envoyer les factures, les escrocs ont dû tromper les systèmes de reconnaissance faciale du centre d’impôts du gouvernement local. Selon une déclaration du procureur de Shanghai, les pirates sont parvenus à leurs fins grâce à des vidéos qu’ils ont produites. Ils ont utilisé un téléphone portable conçu pour tromper les systèmes en désactivant la caméra et diffusant à la place une vidéo lors des identifications de reconnaissance faciale.

Tromper les IA n’est pas forcément lié à la criminalité. Ainsi, au Royaume-Uni des activistes contre la surveillance de masse ont trompé les caméras des centres-ville en peignant leur visage avec un maquillage asymétrique. Aux États-Unis, un groupe de cyberpunk cherche également à déjouer les systèmes de reconnaissance faciale.

Les entreprises cherchent à combler les lacunes

Parmi les systèmes les plus difficiles à tromper se trouve celui lancé par Apple en 2017 avec l’iPhone X. Lors de sa conférence WWDC, l’entreprise a justement mis à l’honneur la protection de données. Avec plus de 30 000 points identifiés sur un visage, le système effectue ainsi une première cartographie prenant en compte la profondeur. La marque à la pomme utilise également une image infrarouge du visage. Celles-ci sont ensuite comparées par le biais d’une représentation mathématique à l’immense base de données constituée par Apple. L’entreprise précise que toutes les données sont stockées uniquement sur les iPhone.

Pour garantir la protection des systèmes de reconnaissance faciale, Alex Polyakov estime qu’il faut régulièrement mettre à jour les IA. L’objectif est d’identifier les derniers procédés de tromperie mis en place. Aussi, le PDG de Adversa.ai, met en avant le besoin d’entraîner les outils de reconnaissance faciale avec davantage de données. Néanmoins, cette dernière recommandation demande 10 fois le nombre d’images habituellement nécessitées. « Pour chaque personne humaine, il faut ajouter une personne portant des lunettes ou un chapeau pour que le système puisse connaître toutes les combinaisons », explique Alex Polyakov. Les entreprises s’attardent sur ces enjeux. Ainsi, en juin, Facebook a développé une IA pour identifier les deepfakes.

La reconnaissance faciale figure comme l’un des usages les plus répandus de l’IA. Elle est utilisée pour les paiements par téléphone, pour passer les contrôles douaniers dans les aéroports, mais aussi pour vérifier l’identité des travailleurs. Ce dernier point est particulièrement utilisé par les acteurs du secteur de la gig economy. C’est le cas d’Uber qui utilise la reconnaissance faciale afin d’éviter le partage de comptes. Uber utilise un programme développé par Microsoft et déploie ce dispositif de vérification à l’échelle mondiale. Mis à part Microsoft, Amazon, Idemia, AnyVision ou encore le français Thales vendent des systèmes de reconnaissance faciale.