Les groupes de protection de la vie privée exigent la transparence suite à l’annonce d’ID.me, le système de vérification d’identité biométrique utilisé par l’IRS et plus de 27 États – n’a pas été entièrement transparent sur le fonctionnement de sa technologie de reconnaissance faciale.
Dans un LinkedIn Publier publié mercredi, le fondateur et PDG d’ID.me, Blake Hall, a déclaré que la société vérifie les selfies des nouveaux utilisateurs inscrits par rapport à une base de données de visages dans le but de minimiser le vol d’identité. Cela va à l’encontre des manières plus respectueuses de la vie privée qu’ID.me a présentées ses produits biométriques dans le passé et a attiré l’attention des défenseurs qui soutiennent que les membres du public contraints d’utiliser ID.me pour des tâches gouvernementales de base ont des informations peu claires.
Sur le site Web de l’entreprise et dans les livres blancs partagés avec Gizmodo, ID.me suggère que ses services reposent sur des systèmes de correspondance de visage 1: 1 qui comparent la biométrie d’un utilisateur à un seul document. Cela s’oppose aux soi-disant 1: plusieurs systèmes de reconnaissance faciale (du type déployé par des entreprises désormais notoires comme Clearview AI) qui comparent les utilisateurs à une base de données de (nombreux) visages.
Les experts en protection de la vie privée ont généralement tendance à s’accorder sur le fait que beaucoup d’autres sont susceptibles d’erreurs et de biais (bien que des groupes comme l’Electronic Frontier Foundation aient exprimé préoccupations plus de 1:1 également). Cependant, alors qu’ID.me s’est principalement appuyé sur la correspondance faciale 1: 1, de nouveaux commentaires du fondateur de l’entreprise montrent, au moins dans certains scénarios, que l’entreprise compare les visages de certains utilisateurs à une base de données plutôt qu’à un seul document. . Cela implique potentiellement des millions d’Américains à qui le gouvernement fédéral et les gouvernements des États demandent de s’inscrire sur le site pour consulter leurs impôts en ligne ou demander des allocations de chômage.
Plus précisément, ID.me a déclaré à Gizmodo qu’il utilise la reconnaissance faciale 1: plusieurs lorsque les utilisateurs s’inscrivent pour la première fois dans son système pour empêcher le vol d’identité, ce qui s’ajoute à la vérification 1: 1 des utilisateurs pour vérifier l’identité de quelqu’un. En d’autres termes, ID.me utilise 1:1 pour s’assurer que vous êtes bien vous, et 1:many pour s’assurer que vous n’êtes pas quelqu’un d’autre.
La révélation de l’utilisation par ID.me de la reconnaissance faciale 1:many a suscité des critiques immédiates de la part d’un large éventail de groupes de protection de la vie privée. L’un d’entre eux, l’organisation à but non lucratif Fight For the Future, a publié un déclaration accusant l’entreprise de « mentir sur l’étendue de sa surveillance par reconnaissance faciale ». Dans une déclaration envoyée par e-mail, la directrice de la campagne Fight for the Future, Caitlin Seeley George, a déclaré que les révélations devraient inciter les agences gouvernementales à reconsidérer leur partenariat avec ID.me.
« L’IRS doit immédiatement arrêter son projet d’utiliser la vérification par reconnaissance faciale, et toutes les agences gouvernementales devraient mettre fin à leurs contrats avec ID.me », a écrit Seeley George. « Nous pensons également que le Congrès devrait enquêter sur la manière dont cette entreprise a pu remporter ces contrats gouvernementaux et sur les autres mensonges qu’elle pourrait promouvoir. »
Ils n’étaient pas seuls. Dans une interview avec Gizmodo, l’analyste principal des politiques de l’ACLU, Jay Stanley, a exprimé sa profonde inquiétude face à ce qu’il a décrit comme un manque de transparence de la part d’ID.me, en particulier compte tenu de sa relation étroite avec les services gouvernementaux.
« Le fait qu’ils [ID.me] n’étaient pas transparents à ce sujet est juste un autre signe que nous élaborons des politiques importantes sur la façon dont les Américains se rapportent à leur gouvernement en laissant les entreprises privées inventer des choses au fur et à mesure en secret », a déclaré Stanley. « Si cette entreprise était une agence gouvernementale, elle serait soumise à la FOIA et à la loi sur la protection des renseignements personnels et à d’autres freins et contrepoids qui ont été développés au cours de nombreuses décennies pour prévenir les types de problèmes qui peuvent survenir. »
Stanley a également exprimé des inquiétudes concernant la base de données ID.me maintenue pour prévenir la fraude et dont le visage peut s’y retrouver et qui peut s’y trouver.
Pendant ce temps, dans un e-mail à Gizmodo, le projet de surveillance des technologies de surveillance (STOP) qui a soulevé précédent les inquiétudes concernant la relation d’ID.me avec l’IRS, ont fait écho aux préoccupations de Stanley concernant la transparence et ont averti que la nouvelle d’ID.me utilisant la reconnaissance faciale 1: beaucoup signifie que le système pourrait être plus sensible aux biais qu’on ne le savait auparavant.
« Cela augmente considérablement le risque de préjugés raciaux et sexistes sur la plate-forme », a déclaré le directeur exécutif de STOP, Albert Fox Cahn, à Gizmodo. « Plus fondamentalement, nous devons nous demander pourquoi les Américains devraient faire confiance à cette entreprise avec nos données s’ils ne sont pas honnêtes sur la façon dont nos données sont utilisées. L’IRS ne devrait donner à aucune entreprise autant de pouvoir pour décider comment nos données biométriques sont stockées.
Dans des déclarations de suivi, ID.me a réitéré qu’il vérifie les nouveaux utilisateurs inscrits par rapport à sa propre base de données de selfies, « pour vérifier les attaquants prolifiques et les membres du crime organisé qui volent plusieurs identités ». La société affirme que moins de 0,1 % de tous les utilisateurs sont signalés comme des voleurs d’identité potentiels. Si un utilisateur est signalé par le système de reconnaissance faciale, il n’est pas carrément bloqué, mais est plutôt redirigé vers une vérification de chat vidéo avec l’un des membres de l’équipe de l’entreprise.
« Sans ce contrôle en place pour détecter les attaquants répétés, les criminels victimiseraient des milliers de personnes innocentes par jour », a déclaré ID.me. « Compte tenu de l’environnement de menace, l’alternative est soit d’accepter des quantités massives de fraudes, soit de simplement mettre les programmes hors ligne. »
La nouvelle de la base de données de reconnaissance faciale d’ID.me arrive une semaine après Gizmodo et autre prises électriques a écrit sur la décision de l’IRS d’imposer le processus de vérification d’ID.me à toute personne essayant d’accéder à son compte IRS.com. Depuis lors, de nombreux groupes d’activistes, dont l’ACLU et STOP, se sont prononcés publiquement contre le problème.
La question a également attiré l’attention du sénateur démocrate Ron Wyden. Dans un tweet, Wyden a déclaré qu’il était « très perturbé » que certains contribuables puissent avoir l’impression qu’ils doivent se soumettre à une scène de reconnaissance faciale. « Bien que les déclarations de dépôt électronique ne soient pas affectées, je pousse l’IRS pour une plus grande transparence sur ce plan. »
Bien que ce cas particulier se concentre étroitement sur l’identification, Stanley, l’avocat de l’ACLU, a déclaré que les problèmes de transparence mis en évidence sont la preuve d’un système global nécessitant une révision de haut en bas.
« L’infrastructure ici d’avoir une entreprise à but lucratif qui fait ce qui est probablement une fonction gouvernementale essentielle [verifying identities] est une façon cassée de construire ce type de système de vérification d’identité.