De tels problèmes ont conduit l’IRS et bien d’autres à passer à des alternatives, telles que l’envoi d’un code à un numéro de téléphone vérifié par rapport aux dossiers des agences de crédit. Ils ont également informé une refonte en 2017 des directives fédérales sur l’identité numérique, qui recommandaient que l’accès aux systèmes susceptibles de divulguer des données sensibles ou de causer des dommages financiers nécessite la vérification d’une personne avec une pièce d’identité avec photo ou une biométrie comme une empreinte digitale. La vérification des photos peut être effectuée en personne, par chat vidéo ou à l’aide d’algorithmes qui comparent les images ou la vidéo du visage d’une personne à son identité.
Dans le même temps, les contrôles de selfie se sont répandus parmi des entreprises privées telles que Airbnb, Uber, Lyft, Stripe et l’échange de crypto-monnaie Coinbase.
ID.me, une startup basée en Virginie, a été la pionnière de la reconnaissance faciale pour la vérification d’identité dans les agences gouvernementales, et en 2018, elle est devenue le premier fournisseur certifié selon les directives 2017 du NIST. La pandémie a dopé son activité. Plus de deux douzaines d’agences publiques pour l’emploi ont déployé ID.me depuis le début de la pandémie, vantant souvent le service comme un moyen d’accélérer le traitement des demandes tout en empêchant la fraude qui a tourmenté les programmes d’aide à la pandémie.
Même avant le récent tollé suscité par l’utilisation d’ID.me par l’IRS, l’entreprise avait ses détracteurs. Les individus se sont plaints d’avoir attendu des heures, voire des mois, pour remédier à un contrôle de selfie raté ; Les experts en confidentialité ont souligné que la récolte de selfies crée de nouvelles vulnérabilités. L’auditeur de l’État de Californie a déclaré l’année dernière que si le système de l’entreprise améliorait le traitement des demandes d’emploi, il a rejeté environ 20% des demandeurs légitimes au cours de ses premiers mois d’utilisation.
Daniela Urban, directrice exécutive du Center for Workers ‘Rights, une organisation à but non lucratif de Sacramento, en Californie, qui aide les travailleurs à bas salaire et leurs familles, a déclaré que lorsque le département de développement de l’emploi de Californie a adopté ID.me fin 2020, cela a immédiatement créé « un énorme obstacle » pour plusieurs de ses clients.
Le flux de travail par défaut du service nécessitait à la fois un smartphone et un ordinateur portable ou un autre appareil, ce qui manque à de nombreuses personnes à faible revenu. Et aider les gens à distance est devenu beaucoup plus difficile. Lorsque les clients appellent maintenant avec des problèmes ID.me, Urban et son personnel leur disent de postuler en utilisant plutôt des formulaires papier. « Nous avons trouvé que c’était la solution de contournement la plus simple, car les demandeurs passaient des semaines ou des mois à essayer de trouver quelqu’un qu’ils connaissaient avec un ordinateur ou un téléphone qui pourrait les aider », explique Urban.
L’IRS n’a pas répondu à une question sur la façon dont il vérifierait l’identité sans utiliser la reconnaissance faciale. Kathleen Moriarty, directrice de la technologie au Center for Internet Security, a déclaré que la forte réaction contre l’IRS pourrait inciter les experts en sécurité et les normalisateurs à reconsidérer si ou quand la reconnaissance faciale est un moyen acceptable de vérifier l’identité en ligne. « Parfois, nous en arrivons à un point où nous devons repenser les décisions sur la façon d’utiliser la technologie », dit-elle.
Le PDG d’ID.me, Blake Hall, dit qu’il a repensé certaines de ses propres décisions. « Il y a un groupe d’utilisateurs dont nous n’avons pas tenu compte », déclare Hall. « Nous sommes maintenant très conscients qu’il est nécessaire de leur offrir également une voie. » ID.me permettra désormais aux agences d’offrir aux utilisateurs le choix entre un traitement automatisé avec reconnaissance faciale ou un chat vidéo avec un agent, un processus qui n’était auparavant qu’une solution de rechange en cas d’échec de la reconnaissance faciale. Hall dit qu’il embauche des centaines d’agents supplémentaires pour gérer ces chats, mais que les premiers tests suggèrent que plus de 95 % des gens choisissent la reconnaissance faciale. La société dispose également de 700 emplacements pour la vérification d’identité en personne à travers les États-Unis.
Même avant la controverse de l’IRS, au moins une agence fédérale hésitait à utiliser la reconnaissance faciale pour les vérifications d’identité en ligne. L’administration de la sécurité sociale a averti le NIST en 2020 des « préoccupations en matière de confidentialité, de convivialité et de politique » concernant la technologie. « Lors des tests préliminaires, nous avons constaté qu’un nombre important de clients n’étaient pas à l’aise pour soumettre une photo ou manquaient de connaissances techniques ou de matériel pour le faire avec succès », a écrit l’agence. Il a évoqué des préoccupations concernant les préjugés potentiels affectant les groupes minoritaires et a demandé que des alternatives soient autorisées. Le NIST doit publier cette année un projet mis à jour de ses directives sur l’identité numérique et, après consultation publique, le finalisera en 2023.
Pour l’instant, l’IRS et d’autres agences sont susceptibles de s’appuyer sur des mécanismes établis mais imparfaits comme les codes de vérification envoyés par SMS, malgré la croissance des attaques de « SIM-swapping » qui peuvent détourner le processus.