L’application de forum et de messagerie, Discord, a mis en place une solution de vérification d’âge pour ses utilisateurs. Pour cela, il est nécessaire que les utilisateurs autorisent la reconnaissance faciale : une mesure qui a suscité une vague de colère et de contestations… ainsi que l’intérêt de quelques hackers, qui ont cherché des moyens de la contourner, explique The Rage.
Ceux-ci ont révélé que le système utilisé par Discord pour cette vérification biométrique automatisée reposait sur Persona, une solution de vérification d’identité… financée par Peter Thiel. Ils ont surtout montré qu’une fois que les utilisateurs soumettent leur selfie et la copie de leur pièce d’identité, Persona ne vérifie pas seulement l’âge, mais lance d’innombrables vérifications.
Outre ses services d’estimation d’âge, Persona compare vos selfies à des photos de personnes fichées grâce à la reconnaissance faciale, analyse vos informations d’identité en fonction de 14 catégories de contenus médiatiques à caractère négatif (mention de terrorisme, espionnage, etc.) et étiquette ces rapports avec des noms de code issus de programmes de renseignement actifs. Ces programmes, menés dans le cadre de partenariats public-privé, luttent contre l’exploitation des enfants en ligne, le trafic de cannabis et de fentanyl, les escroqueries sentimentales, le blanchiment d’argent et le commerce illégal d’espèces sauvages. Une fois l’identité d’un utilisateur vérifiée auprès de Persona, le logiciel effectue 269 contrôles distincts et explore Internet et les sources gouvernementales à la recherche de correspondances potentielles, notamment en comparant votre visage à celui de personnes politiquement exposées (PPE), et en générant des scores de risque et de similarité pour chaque individu. Les adresses IP, les informations du navigateur et de l’appareil, les numéros d’identification officiels, les numéros de téléphone, les noms, les visages et même les arrière-plans des selfies sont analysés et conservés pendant trois ans maximum. Les informations analysées par le logiciel sur les images comprennent la « détection d’entités suspectes sur les selfies », une « comparaison d’incohérences d’âge sur les selfies », la « détection d’arrière-plans similaires » (qui semblent correspondre à ceux d’autres utilisateurs de la base de données) et la « détection de poses répétées sur les selfies », qui semble servir à déterminer si vous adoptez la même pose que sur des photos précédentes. En résumé, le logiciel « vous signale comme une « entité suspecte » uniquement sur la base de votre visage », écrivent les chercheurs.
Autant d’éléments qui ont peu à voir avec la vérification et l’estimation d’âge, pour laquelle Persona ne serait d’ailleurs pas bien meilleure que les autres solutions (notamment pour déterminer l’âge des plus jeunes). Bref, vérifier son âge sur une plateforme pourrait avoir d’innombrables conséquences que les fonctionnalités de Persona font entrevoir : allant du signalement d’activités suspectes sur cette plateforme à la communication de ces informations à nombre d’autres acteurs.
« Comparaison du visage visage avec des personnalités politiquement exposées. Recherches automatisées dans les médias pour trouver des concordances liées au terrorisme et à l’espionnage…» Sans compter que les données collectées (numéro de la pièce d’identité, image du visage, adresse IP, numéro de téléphone…) conservées pendant 3 ans. Bref, on est bien loin de ne devoir que prouver qu’on a plus de 18 ans ! Tant et si bien que Discord a annoncé renoncer à l’utilisation de Persona.
Au-delà de la seule vérification d’âge, Persona est une entreprise qui propose des solutions de connaissance du client et de lutte contre le blanchiment d’argent (voir notre article « Dans les algorithmes bancaires »). Valorisée à 2 milliards de dollars, la startup gère les processus de vérification d’identité pour des entreprises comme OpenAI, Roblox, Heritage Bank et le service de covoiturage Lime. Mais a également bien d’autres clients…
Persona s’inscrit dans la tendance croissante des législations sur la vérification de l’âge qui se répandent à travers le monde. De la loi européenne sur le contrôle des conversations en ligne à la loi britannique sur la sécurité en ligne, en passant par les projets de loi américains KOSA et EARN IT aux États-Unis, les gouvernements affirment que la vérification de l’âge sur Internet permet de protéger les enfants des dangers liés à la libre circulation de l’information. Or, il semble que ce ne soit pas le seul objectif si l’on en croit ce que propose Persona.
Des efforts de vérification d’identité comme ceux-ci induisent les utilisateurs en erreur en leur faisant croire qu’ils sont mieux protégés. Au contraire, comme l’explique l’une des hackeuse à The Rage, avec ces systèmes « vous rendez Internet moins sûr, et non plus sûr ». « Les utilisateurs lambda », affirment-ils, « ne pourront pas contourner ces systèmes », tandis que les personnes mal intentionnées « trouveront toujours des moyens de les exploiter ». Les informaticiens tirent la sonnette d’alarme depuis longtemps : une base de données centralisée contenant des milliers de pièces d’identité représente toujours une cible lucrative pour les pirates. Au mieux, Persona peut servir à créer des graphiques de surveillance complets des utilisateurs pour les entreprises clientes, affirment les chercheurs. Au pire, le logiciel pourrait transmettre des rapports automatisés directement au gouvernement.
Le problème n’est pas qu’un enjeu de sécurité, comme l’explique Mick Masnick sur TechDirt. Il n’est pas seulement que les bases de données des opérateurs de la vérification d’âge seront piratées, mais bien la collusion de ces procédures pour démultiplier la surveillance. Comme le disent ceux qui ont révélé le pot aux roses : « L’État veut tout voir. Les entreprises veulent tout voir. Et elles ont appris à collaborer. » Pour Masnick, « nous avons donc conçu un système incapable d’empêcher l’accès aux personnes qu’il est censé cibler, tout en créant des dossiers biométriques permanents sur des millions d’utilisateurs respectueux de la loi. C’est consternant ! » La situation au niveau législatif est peut-être encore plus cynique, explique-t-il : « Partout dans le monde, les gouvernements exercent une pression croissante pour rendre obligatoire la vérification de l’âge en ligne. Et comme ces obligations créent un marché captif de plusieurs milliards de dollars, tout un écosystème de startups « d’identité en tant que service », financées par des investisseurs, a vu le jour pour répondre à cette demande.(…) Elles se sont positionnées comme protectrices des enfants tout en œuvrant activement à étendre les exigences légales qui garantissent leurs revenus. »
Discord a pour l’instant renoncé à déployer un système de vérification d’âge et a assuré chercher à changer de fournisseur. Mais, souligne Masnick, « le problème n’a jamais été de savoir quelle entreprise détient vos données biométriques. Le problème, c’est que n’importe qui soit contraint de les fournir. »
Persona est utilisée par bon nombre d’entreprises. Par exemple, c’est à elle que Linked-in confie sa vérification d’identité, rapporte un spécialiste de la sécurité sur son blog. « Je voulais seulement obtenir la coche bleue sur LinkedIn. Celle qui dit « cette personne est réelle ». Dans un océan de faux recruteurs, de comptes automatisés et de photos de profil générées par IA, cela me semblait une démarche judicieuse ».
En vérité, « j’ai remis à une entreprise américaine mon passeport, mon visage et les données mathématiques de mon crâne. Ils ont recoupé mes informations avec celles d’agences de crédit et de bases de données gouvernementales. Ils utiliseront mes documents pour entraîner leur IA. Et si le gouvernement américain s’en prend à moi, ils leur fourniront tout. »
Parmi les données collectées, outre toutes les informations d’identification disponibles, il semble qu’il y ait même une détection des hésitations (le système détecte vos pauses durant le processus) et une détection du copier-coller (le système détecte si vous copier-coller des informations au lieu de les saisir au clavier), autant d’éléments qui entrent certainement dans le score de risque de chacun. La vérification d’identité conduit donc à une vérification des antécédents et à leur enregistrement.
La base légale de ces vérifications n’est pas le consentement, mais l’intérêt légitime. C’est-à-dire que Linked-in estime, unilatéralement, que toutes ces vérifications sont « acceptables ».
LinkedIn reçoit donc de chacun son nom, son année de naissance, le type de pièce d’identité utilisé et l’autorité émettrice, une version floutée de la pièce d’identité (tout est masqué sauf le nom et la photo) et… le résultat de la vérification. D’autres ont également accès à ces données : les prestataires de services de Persona ; leur « réseau mondial de partenaires de données » (ces bases de données tierces fonctionnent dans les deux sens) ; les filiales et sociétés apparentées ; tout acquéreur de Persona ; et les forces de l’ordre. Parmi les sous-traitants de Persona, 17 entreprises ont accès aux données (dont 16 entreprises américaines et une canadienne, aucune européenne, parmi lesquelles ont trouve Google, OpenAI, Anthropic, Amazon, Stripe…).
« Tout ça pour une petite coche bleue sur un réseau social professionnel. Persona et Linkedin savent très bien ce que vous échangez quand vous scannez votre visage. La seule personne qui ignore ce qui sera fait de son passeport quand il le présente à la caméra, c’est l’utilisateur final ».
Pas sûr que le jeu en vaille la chandelle. Le problème, c’est qu’à mesure que les vérifications vont se déployer, nous risquons surtout de n’avoir plus d’autres choix que de procéder à des contrôles qui ont bien d’autres objets que ce qu’ils nous affirment.
Hubert Guillaud
