Ce document recommande d’encourager les gens à utiliser des mots de passe longs et mémorables plutôt que de les forcer à les changer fréquemment ou de spécifier qu’ils incluent des caractères spéciaux. Il établit également des règles de base plus strictes pour fournir un accès à distance à des systèmes tels que ceux de l’IRS et de nombreux autres organismes disposant de données sensibles.
En personne, les ministères demandent généralement une pièce d’identité avec photo comme un permis de conduire. En ligne ou par téléphone, de nombreuses agences ont déjà vérifié l’identité en demandant des informations qui pourraient être comparées au dossier gouvernemental ou au rapport de solvabilité d’une personne. Mais la récolte des données personnelles nécessaires pour usurper ce type de vérification est devenue plus facile à l’ère des réseaux sociaux et des violations massives de données.
La norme 2017 du NIST stipule que l’accès à des systèmes susceptibles de divulguer des données sensibles ou de nuire à des programmes publics devrait nécessiter de vérifier l’identité d’une personne en la comparant à une photo, à distance ou en personne, ou en utilisant des données biométriques telles qu’un lecteur d’empreintes digitales. Il indique qu’une vérification à distance peut être effectuée soit par vidéo avec un agent formé, soit à l’aide d’un logiciel qui vérifie l’authenticité d’une pièce d’identité et la «vivacité» de la photo ou de la vidéo d’une personne.
ID.me était bien placé pour profiter des nouvelles normes, auxquelles les agences fédérales doivent se conformer. La société a été fondée en 2010 en tant que site Web d’offres pour les vétérans et les militaires actifs et a développé un système de vérification des pièces d’identité militaires utilisées par le ministère des Anciens Combattants. Elle a remporté des millions de dollars de subventions fédérales pour explorer de nouvelles approches de l’identité numérique qui ont contribué à éclairer les normes de 2017 et est devenue la première entreprise accréditée comme étant conforme à celles-ci. En 2019, ID.me a signé un contrat avec la VA qui a jusqu’à présent versé plus de 30 millions de dollars.
Pendant la pandémie, ID.me a remporté une vague de nouvelles affaires et un examen minutieux. Les États ont engagé ID.me pour filtrer les demandes d’aide Covid-19 qui ont submergé de nombreux services de l’emploi. Mais les organisations à but non lucratif et les législateurs se sont plaints de son utilisation de la reconnaissance faciale et ont déclaré que certains citoyens vulnérables ne pouvaient pas passer les contrôles de l’entreprise. Le département de développement de l’emploi de Californie a déclaré qu’ID.me avait bloqué plus de 350 000 demandes frauduleuses au cours des trois derniers mois de 2020. Mais le vérificateur de l’État a déclaré qu’environ 20 % des demandeurs légitimes n’étaient pas en mesure de vérifier leur identité avec ID.me.
Caitlin Seeley George, directrice des campagnes et des opérations de l’organisation à but non lucratif Fight for the Future, explique qu’ID.me utilise le spectre de la fraude pour vendre une technologie qui verrouille les personnes vulnérables et crée un stock de données hautement sensibles qui seront elles-mêmes ciblées par les criminels. « Un outil qui crée plus de problèmes ne peut pas être salué comme une solution », dit-elle. « La reconnaissance faciale est connue pour mal identifier les visages noirs et bruns, les personnes non conformes au genre, les femmes et les enfants. »
Dans une interview cette semaine, le PDG d’ID.me, Blake Hall, a affirmé que son entreprise élargissait en fait l’accès parce que sa vérification d’identité à distance fonctionne pour les personnes sans historique de crédit qui échouent souvent aux vérifications conventionnelles. Il a affirmé que de nombreux problèmes d’accès à l’aide en cas de pandémie étaient causés par le fait que les agences d’État ne fournissaient pas de services en personne adéquats et que les emplacements en personne d’ID.me fournissaient un filet de sécurité.
Certaines des affirmations de Hall se sont avérées glissantes. Bloomberg News a remis en question son estimation selon laquelle 400 milliards de dollars de secours fédéraux en cas de pandémie avaient été volés ; Hall dit qu’un rapport détaillé sur l’expérience d’ID.me dans la lutte contre la fraude au chômage sera bientôt disponible. Mercredi, il a annulé ses déclarations précédentes selon lesquelles ID.me n’utilisait la reconnaissance faciale que pour comparer le visage d’une personne à la pièce d’identité fournie.
Hall a déclaré à WIRED qu’ID.me ne conserve les images et les vidéos téléchargées au cours de son processus de vérification que pour protéger les comptes contre la prise en charge par des fraudeurs. Il a déclaré que la société utilisait la technologie de reconnaissance faciale de Paravision, qui est parmi les plus précises jamais testées par le NIST, bien que les algorithmes puissent fonctionner très différemment selon la manière dont ils sont déployés. Un rapport du NIST de 2019 sur le biais démographique dans la reconnaissance faciale a conclu que si de nombreux algorithmes affichent des performances différentes pour différentes données démographiques, le plus précis peut être équitable.