Le PDG d’ID.me, un service utilisé par des dizaines d’États pour vérifier les demandeurs d’allocations de chômage ainsi que plusieurs agences fédérales, est revenu sur les affirmations précédentes selon lesquelles l’entreprise n’utilisait pas une méthode plus puissante de reconnaissance faciale.
« ID.me utilise une vérification spécifique » 1 à plusieurs « sur les selfies liés aux programmes gouvernementaux ciblés par le crime organisé pour empêcher les voleurs d’identité prolifiques et les membres du crime organisé de voler en masse l’identité de victimes innocentes », Blake Hall dit dans un communiqué. « Cette étape est interne à ID.me et n’implique aucune base de données externe ou gouvernementale. »
Cela contraste avec les commentaires de Hall plus tôt cette semaine. « Notre face match 1:1 est comparable à prendre un selfie pour déverrouiller un smartphone », a-t-il déclaré. « ID.me n’utilise pas la reconnaissance faciale 1:many, qui est plus complexe et problématique. »
L’approche 1: plusieurs consiste à faire correspondre des images à celles d’une base de données, tandis que 1: 1 consiste à s’assurer que quelqu’un correspond à sa propre photo. Pour une correspondance 1: 1, ID.me compare le selfie d’un utilisateur à une pièce d’identité gouvernementale qu’il télécharge.
Les défenseurs de la vie privée ont critiqué les deux approches. Des recherches ont indiqué que certains systèmes de reconnaissance faciale ont du mal à identifier les personnes à la peau plus foncée, et des inquiétudes ont été soulevées quant aux risques de sécurité liés au stockage de données biométriques.
Hall a déclaré que la vérification 1:many d’ID.me « se produit une fois lors de l’inscription et existe pour s’assurer qu’un seul attaquant n’enregistre pas plusieurs identités. Cette étape n’est pas liée à la vérification d’identité. Elle n’empêche pas les utilisateurs légitimes de vérifier leur identité, ni est-il utilisé à d’autres fins que la prévention du vol d’identité ? »
Il a affirmé que les données montrent que l’abandon du contrôle 1: plusieurs « conduirait immédiatement à un vol d’identité important et au crime organisé. L’étape 1: 1 Face Match est la seule étape utilisée pour vérifier l’identité, comme expliqué dans nos rapports précédents ».
Selon Cyberscoop, certains employés d’ID.me ont exprimé leur inquiétude quant au fait que les déclarations publiques de l’entreprise ne correspondaient pas à ce qu’elle faisait réellement. « Nous pourrions désactiver la recherche de visage 1: plusieurs, mais perdre alors un précieux outil de lutte contre la fraude. Ou nous pourrions changer notre position publique sur l’utilisation de la recherche de visage 1: plusieurs », aurait posté un ingénieur sur une chaîne ID.me Slack. cette semaine. « Mais il semble que nous ne pouvons pas continuer à faire une chose et à en dire une autre, car cela nous mettrait dans l’eau chaude. »
« Si les entreprises et le gouvernement doivent mentir sur la reconnaissance faciale dans le but d’éviter l’examen public, ils ne devraient pas l’utiliser », a déclaré la directrice de la campagne Fight for the Future, Caitlin Seeley George, dans un communiqué. «Nous savons déjà que cette entreprise est prête à dire n’importe quoi pour obtenir plus de contrats gouvernementaux. Le PDG d’ID.me a colporté des chiffres erronés sur la fraude aux allocations de chômage, mais le fait que l’IRS ait été au courant de cet écart est un gros problème. La seule chose responsable pour l’IRS et toute autre agence étatique ou fédérale utilisant ID.me est d’arrêter ces contrats immédiatement.
ID.me est revenu sous les projecteurs récemment après que le journaliste de cybersécurité Brian Krebs a tenté de créer un compte, qui devra se connecter au portail en ligne de l’Internal Revenue Service d’ici cet été. Krebs a rencontré des difficultés lors du processus de vérification, et ID.me l’a placé dans une file d’attente pour rejoindre un appel vidéo avec un agent en direct. Le système a donné à Krebs un temps d’attente estimé à trois heures et 27 minutes.
Hall a déclaré qu’ID.me travaille avec 10 agences fédérales, 30 États et 540 entreprises. L’année dernière, certains utilisateurs ont déclaré avoir dû attendre des mois pour recevoir leurs prestations après que le système n’a pas réussi à vérifier leur identité. Dans certains cas, les gens ont dit qu’ils n’avaient pas non plus réussi avec le système de chat vidéo.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.