Reconnaissance faciale : entre mythes et réalités...
30 janv. 2024
La reconnaissance faciale, une avancée technologique qui a beaucoup fait parler d’elle ces dernières années. Les esprits s’échauffent, les avis se forment et s’opposent; parfois même une forme de crainte se fait sentir. Alors pourquoi tant de divergences ?
De la fiction aux documentaires sur l’utilisation de la reconnaissance faciale, il ne semble y avoir qu’un pas. C’est ici que le flou s’installe. Comment informer la population et lui donner une compréhension exhaustive et concrète de la reconnaissance faciale ?
On fait le point sur les mythes les plus courants autour de cette technologie et leurs réalités.
Mythe 1 : la reconnaissance faciale est facilement dupée
Réalité : Par essence, la technologie de reconnaissance faciale est basée sur un facteur unique à chacun : son visage. En théorie, il paraît impossible de “falsifier” le visage d’une personne. Alors, pourquoi ce système n’est-il pas vu comme la garantie d’une sécurité parfaite dans un monde connecté ? Car aucun système n’est infaillible et logiquement, les techniques de fraudes pour le contourner se sont multipliées et améliorées en même temps que son adoption a grandi.
Ces dernières années, plusieurs techniques ont vu le jour pour duper les technologies de reconnaissance faciale. Parmi elles, on retrouve les attaques de présentation ou “spoofs” (photo imprimée, screenshot ou selfie vidéo pré-enregistré, masques 3D) et plus récemment les attaques par injection et deepfakes. Mais qui dit attaques, dit déploiement de contre-mesures pour les bloquer. C’est ici qu’il est important d’évaluer les types de technologies par reconnaissance faciale selon leur capacité à rejeter les sessions frauduleuses dans des cas bien précis.
Pour ce faire, les systèmes d'authentification biométrique sophistiqués d'aujourd'hui comprennent des capacités de détection du vivant. C’est un dispositif qui permet de vérifier si la personne dont l’identité est vérifiée est bien physiquement présente devant la caméra. La détection du caractère “vivant” peut être active (par exemple l'utilisateur doit cligner des yeux ou tourner la tête), ou passive, c'est-à-dire qu'elle s'effectue en arrière-plan à l'aide d'algorithmes d’intelligence artificielle qui analysent le flux vidéo pour y déceler, le cas échéant, des signes indiquant qu'ils ne proviennent pas d'une personne réelle, comme la détection de papier, d'écrans numériques ou d’un masque imprimé en 3D.
→ Les méthodes dites “active” sont visibles de l’utilisateur et de facto plus facilement étudiées et contournées par un attaquant
→ Tandis que la détection passive du vivant est plus rapide, moins intrusive et comprend des techniques plus avancées pour déterminer la présence d'une personne vivante.
Pour les cas d'utilisation sensibles où les enjeux de vérification d’identité sont élevés tels que les services bancaires, une solution qui combine plusieurs méthodes de détection du vivant et d'anti-spoof est idéale.
Mythe 2 : l’authentification biométrique est synonyme d’intrusion dans la vie privée
Réalité : Le mythe le plus répandu concernant la reconnaissance faciale est celui du contrôle de l’Etat et de l’intrusion dans la vie quotidienne et privée. En effet, l’apparition de différentes séries sur des plateformes comme Netflix, mettant en scène l’utilisation de la technologie par biométrie faciale pour des cas de contrôle étatique, reste gravées dans l’esprit du public. Vous avez sûrement entendu parler de la série Black Mirror ? Evidemment. Dans l’épisode 6 de la saison 3, “Hated in the Nation”, plusieurs situations montrent l’utilisation de l’Intelligence Artificielle à des fins douteuses.
Dans la réalité, tout dépend des gouvernements en place, de leur agenda et du type de relation qu’ils entretiennent avec leur population respective. En France comme en Europe, les législations sont faites pour empêcher un contrôle systématique et dictatorial de la population. Les données récupérées sont exploitées sur la base du consentement comme le mentionne le rapport d’information créé par la commissions des lois du Sénat en octobre 2020 : “S’agissant enfin des usages des technologies de reconnaissance biométrique par les acteurs privés, les rapporteurs considèrent qu’ils doivent être extrêmement limités et se baser, de manière générale, sur le consentement des personnes. En particulier, la mission souhaite interdire toute identification sur la base de données biométriques en temps réel ou en temps différé par des acteurs privés.”
Plus spécifiquement, les technologies de reconnaissance faciale utilisées dans les applications d’authentification sont des cas d'utilisation “opt-in”, où un utilisateur s'inscrit volontairement dans le système pour faciliter la connexion à un compte ou bénéficier d’une sécurité supplémentaire. Cette situation est différente de celle des technologies de reconnaissance faciale dont on parle souvent dans l'actualité, où la technologie a été utilisée dans des espaces publics, et où le consentement individuel n’est pas conditionné.
Plus important encore, l’authentification par biométrie faciale ne stocke pas les photos de référence ni le selfie vidéo à des fins d'identification, mais crée plutôt une représentation mathématique du visage. Celle de référence est conservée à des fins de comparaison lorsque l'utilisateur se connecte, est généralement cryptée et essentiellement inutile pour un attaquant.
Mythe 3 : la reconnaissance faciale, un outil qui ne sert qu’à déverrouiller son smartphone
Réalité : Bien que quelques marques de smartphone proposent la reconnaissance faciale pour le déverrouillage du téléphone, il existe plusieurs autres cas d’usage très peu connus du grand public. En effet, la technologie en elle-même est conçue pour maximiser la sécurité à l’accès de services en ligne. Avec le déploiement rapide des nouvelles technologies et des nouveaux business models, la simple utilisation du mot de passe devient obsolète voire fastidieuse. Voici quelques cas d’usage de la reconnaissance faciale :
La confirmation/vérification d’identité
L’un des cas d’usage les plus connus des initiés à ce jour est l’utilisation de la biométrie faciale pour vérifier l’accès des clients sur les plateformes en ligne. Par exemple, si vous souhaitez ouvrir un compte bancaire en ligne, certaines banques comme Revolut ou Floa Bank utilisent la reconnaissance faciale pour la confirmation d’identité. Vous chargez votre pièce d’identité sur la plateforme, ensuite on vous demande de suivre les instructions et de prendre un selfie. Le système de comparaison faciale s’assure que la personne sur la photo du document est bien celle qui est en train d’ouvrir le compte. Dans d’autres parties du monde, comme l’Asie, on observe divers cas d’usage et le plus populaire est celui du paiement par reconnaissance faciale. En Corée du Sud, c’est un usage très répandu qui a reçu l’aval de la population. Si vous voyagez en Corée du Sud, vous pourrez vous présenter dans un magasin sans caisses, ni vendeurs. Un libre-service où vous pouvez prendre les articles que vous souhaitez et votre compte bancaire sera automatiquement débité sur simple présentation de votre visage.
Avec l’arrivée du Covid-19 et du confinement, toutes les transactions réalisées en ligne ont fait monter le risque de fraude. Les acteurs de ce type de pratiques sont de plus en plus expérimentés et trouvent toujours des zones d’ombre à exploiter. La biométrie faciale serait la meilleure solution pour une sécurité complète.
b. La protection au quotidien
Dans certains pays asiatiques, la narrative en ce qui concerne la biométrie faciale tourne autour de la sécurité de la population. On pourrait discuter de l’emprise que ces gouvernements exercent sur leurs populations, cependant, les crimes ou agressions sont mieux maîtrisés que dans d’autres parties du monde.
Idem en ce qui concerne l’anonymat sur internet, notamment sur les réseaux sociaux ou les forums de discussion. En effet, le harcèlement ne cesse de se multiplier et de nombreux cas de suicides sont enregistrés. C’est devenu une habitude pour certaines personnes de se cacher derrière des pseudonymes pour agresser verbalement et en toute impunité. Ces personnes ne prennent aucune responsabilité pour les dégâts psychologiques causés. Cela peut changer avec un système de vérification d’identité par reconnaissance faciale à chaque ouverture de compte en ligne qui permettrait d’identifier chaque personne. Il ne s’agit pas de surveiller les interactions sur les réseaux mais s’assurer que chaque utilisateur se responsabilise face à ses actions.
Dans cet esprit de sécurité, la population défend l'intégration de la technologie de reconnaissance faciale dans son quotidien. Nous observons deux visions bien distinctes face à l'adoption de cette nouvelle technologie : en Europe, le souhait de garder et protéger sa vie privée; en Asie, c’est le bien commun qui prime sur la liberté individuelle.
Il ne s’agit pas de juger qui fait mieux mais plutôt d’apprendre l’un de l’autre et de prendre les mesures nécessaires dans l’intérêt de tous.
c. L’accès/contrôle aux frontières
Il y a de cela quelques années, nous avons été témoins de l’arrivée des documents d'identité biométriques. Une nouvelle sécurité pour se prémunir de la falsification courante des documents officiels tels que passeports, pièces d’identité, titre de séjour ou permis de conduire. En France, rien que pour la période 2001-2002, le ministère de l’intérieur enregistrait 10.712 faux documents d’identité. En Espagne, les chiffres se rapprochent de ceux de la France avec 8.614 documents d’identité contrefaits et falsifiés, sans compter le nombre de documents perdus et volés qui s’élèvent à 963.951. Les réseaux de délinquance se spécialisent et deviennent de vrais experts en la matière.
Aujourd’hui, le plus important est de pouvoir améliorer les outils de contrôle et la technologie de reconnaissance faciale serait un véritable apport dans ce domaine. De la même manière qu’on enregistre les empreintes digitales pour les passeports biométriques, il serait possible d’y ajouter un enregistrement du visage qui serait systématiquement contrôlé à chaque poste de contrôle aux frontières. Des postes de contrôle équipés de la technologie de reconnaissance faciale permettrait de s’assurer de l’identité de chaque individu en comparant la photo présente sur la pièce d’identité à la base de données où seraient stockées les enregistrements biométriques. Une base de données à laquelle seules les autorités compétentes auraient accès et dont l’utilisation serait encadrée par une législation stricte.
d. La reconnaissance faciale : justice, législation, sécurité étatique
La reconnaissance faciale pour l’accès aux frontières serait un gage de sécurité supplémentaire notamment pour prévenir les attentats terroristes. Prenons le cas de l’Espagne qui a adopté un système de reconnaissance faciale suite aux attentats de l'ETA, le mouvement indépendantiste basque, qui avaient fait plusieurs victimes le 11 mars 2004 dans les gares de la proches banlieues de Madrid. Depuis cet incident, la gare routière de Madrid est équipée de caméras de surveillance avec le système de reconnaissance faciale intégré. Un cas d’usage qui va certainement se généraliser dans les années à venir suite à la recrudescence du risque terroriste. La biométrie faciale utilisée dans le but de prévenir l’insécurité rendrait les enquêtes plus faciles en cas d’incident. En effet, la justice est parfois jugée trop lente, les actions prennent du temps à se concrétiser et cela met à mal la stabilité des états. Contrôler les allers et venues des gares et aéroports ne constitue en rien un contrôle de la population ou une intrusion dans la vie privée mais simplement une mesure de protection supplémentaire et très efficace.
Mythe 4 : la reconnaissance faciale n’est développée que par des entreprises américaines ou asiatiques
Réalité : Non, le développement de la technologie de reconnaissance faciale n'est pas réservé qu’à une portion de la population mondiale. Certes, les plus grandes entreprises techs du monde se trouvent soit aux Etats-Unis soit en Chine, mais le savoir-faire se trouve aussi près de nous, en Europe et même en France. Plusieurs startups européennes et françaises développent de puissante technologie de haute sécurité destinées à améliorer le quotidien des usagers. Parmi elles, Unissey se place à une bonne place et est sûrement la plus certifiée de toutes les technologies de biométrie faciale développées en Europe à ce jour.
On distingue deux types de technologies développées :
La détection du vivant, qui consiste à s’assurer que la personne derrière son téléphone est bien présente et vivante;
La comparaison faciale pour la vérification 1:1 (présentation d’une photo contre une autre photo pour vérifier la correspondance/le match) ou 1:N pour l’identification (présentation d’une photo contre une base de données pour trouver une correspondance avec celles présentes dans la base).
Des ingénieurs experts et qualifiés ne cessent de parfaire les algorithmes d’intelligence artificielle pour offrir la meilleure expérience aux clients et aux utilisateurs finaux.
Que ce soit aux Etats-Unis, en Chine ou en Europe, le but de déployer une telle technologie reste le même : offrir un accès sécurisé aux différents services et interactions en ligne. L’ère du numérique demande aux Etats de prendre leurs précautions quant à la souveraineté technologique sur leur sol. Voici un extrait du rapport d’information du sénat sur la question : Les rapporteurs considèrent qu’en matière de reconnaissance biométrique, la protection de notre autonomie technologique et la sauvegarde des libertés publiques sont les deux faces d’une même médaille. L’usage d’algorithmes développés en Europe, à partir de données traçables et hébergées sur notre sol est par exemple largement préférable au recours à des algorithmes étrangers dont l’on ne sait parfois rien des conditions de création et d’entraînement.
Mythe 5 : la reconnaissance faciale est pilotée par des humains à distance
Réalité : Ce qui pourrait être possible et faisable dans un film de science-fiction est de manière générale impossible dans la réalité. La reconnaissance faciale est une technologie développée par des algorithmes d’intelligence artificielle. Bien sûr, ce sont des humains qui manipulent et entraînent les algorithmes pour qu’ils soient robustes et atteignent des niveaux de performances presque parfaits. Cependant, la croyance populaire qui veut que des humains soient entassés dans une grande salle derrière leur ordinateur en train de vérifier ou “surveiller” qui fait quoi est une croyance complètement erronée. Pourquoi ? La première raison est que les données récoltées ne sont pas exploitables librement. En France, la législation veut que ces données soient supprimées au bout de huit jours. Quand on se fie à la quantité de données à analyser, il n’y a pas assez de personnes disponibles pour piloter toutes les caméras munies d’un système de reconnaissance faciale.
Mythe 6 : la reconnaissance faciale ne fonctionne pas sur un visage qui change ou qui prend de l’âge
Réalité : Le visage humain comporte des caractéristiques uniques et inaltérables. En effet, l’une des inquiétudes face à la reconnaissance faciale est que le visage ne soit pas reconnu quand on prend de l’âge ou si on change de sexe par exemple. Il n’y a pas d’inquiétude à avoir de ce côté, le corps humain est parfaitement équipé pour éviter ce type d’erreurs. En effet, les caractéristiques telles que la distance entre les yeux, la longueur du nez, la forme des joues, la profondeur des orbites ou encore la largeur de la mâchoire sont propres à chaque individu. Peu importe les changements qui peuvent survenir au cours de la vie, ces caractéristiques restent inchangées. Par exemple, une personne âgée de 30 ans, qui a la même pièce d’identité depuis ses 18 ans, aura toujours une correspondance à 99% face aux algorithmes de reconnaissance faciale.
Quelques cas isolés peuvent intervenir mais cela reste très rare et souvent dû à un mauvais entraînement des algorithmes. Prenons le cas des personnes transgenres qui sont mal catégorisées dans 30% des cas. Selon les chercheurs, cela est dû à un manque d’entraînement des algorithmes qui ont tendances à confondre un homme aux cheveux longs à une femme dans la majorité des cas. Il faut donc renforcer les entraînements des algorithmes avec les données des populations adaptées pour éviter les biais.
Conclusion
Bien que des enquêtes récentes montrent que la population est de plus en plus à l’aise avec le recours à l’authentification biométrique (notamment dans le secteur bancaire), certains y sont encore réfractaires et s’interrogent sur la sécurité de ce système. Une réaction tout à fait légitime au vu du déploiement rapide des nouvelles technologies. Un temps d'adaptation est nécessaire pour que les personnes soient éduquées sur la création, le fonctionnement et l'utilisation de celles-ci.
La première étape et la plus importante est celle d’éliminer les idées reçues qui tournent autour de la biométrie faciale. Sans pour autant rentrer dans une évangélisation, le but est de partager les véritables informations concernant les avancées que cette technologie aura en termes de sécurité individuelle et collective.