Écrit parTonya Riley 26 janv. 2022 | CYBERSCOOP
La société de vérification d'identité ID.me utilise un type de reconnaissance faciale puissante qui recherche des individus dans des bases de données de masse de photos, a expliqué mercredi le PDG Blake Hall dans un article sur LinkedIn.
Le message fait suite à un communiqué de presse de la société la semaine dernière déclarant directement que : « Notre correspondance faciale 1: 1 est comparable à la prise d'un selfie pour déverrouiller un smartphone. ID.me n'utilise pas la reconnaissance faciale 1:many, qui est plus complexe et problématique. La publication de Hall mercredi confirme qu'ID.me utilise effectivement la technologie 1:many.
Les défenseurs de la vie privée affirment que les deux versions de la reconnaissance faciale constituent une menace pour les consommateurs. En plus de nombreuses études démontrant que la technologie est moins précise sur les tons de peau non blancs, la collecte de données biométriques peut s'avérer un énorme risque pour la sécurité.
"Les gouvernements et les entreprises accumulent ces bases de données de vos informations biométriques personnelles, qui, contrairement aux bases de données de cartes de crédit, ne peuvent pas être remplacées", a expliqué Caitlin Seeley-George, directrice de campagne à but non lucratif Fight for the Future. "Et ce sont des bases de données très ciblées par les pirates et des informations qui peuvent absolument être utilisées de manière préjudiciable aux personnes."
Dans le post de mercredi sur LinkedIn, Hall a déclaré que la vérification 1:many est utilisée "une fois lors de l'inscription" et "n'est pas liée à la vérification d'identité".
"Il n'empêche pas les utilisateurs légitimes de vérifier leur identité, et il n'est pas utilisé à d'autres fins que pour empêcher le vol d'identité", écrit-il.
"Nous évitons de divulguer les méthodes que nous utilisons pour arrêter le vol d'identité et le crime organisé car cela compromet leur efficacité", écrit Hall. Il a souligné la récente inculpation d'un homme du New Jersey la semaine dernière par le FBI après que l'homme ait contourné le système de vérification d'ID.me et volé près d'un million de dollars en allocations de chômage.
La publication sur LinkedIn fait suite à des discussions internes exprimant des inquiétudes quant au fait que les déclarations publiques de l'entreprise étaient inexactes.
"Nous pourrions désactiver la recherche de visages 1: plusieurs, mais perdre alors un précieux outil de lutte contre la fraude. Ou nous pourrions changer notre position publique sur l'utilisation de la recherche 1: plusieurs visages », a écrit un ingénieur dans un message publié mardi sur une chaîne Slack de l'entreprise. "Mais il semble que nous ne pouvons pas continuer à faire une chose et à en dire une autre, car cela nous mettrait dans l'eau chaude."
Les messages internes, obtenus par CyberScoop, impliquent également que l'entreprise a discuté de l'utilisation de 1:many avec l'IRS lors d'une réunion.
"J'étais dans une conversation avec l'IRS le 1/19 où nous avons explicitement discuté de l'utilisation d'AWS Recognition pour la recherche de visages 1: plusieurs", a écrit l'ingénieur. "Cela semble être gênant, alors je voulais poster ceci ici pour discuter des prochaines étapes."
Alors que ID.me répertorie Paravision et iProov comme partenaires technologiques biométriques, il ne semble pas divulguer sa relation avec le produit de reconnaissance faciale d'Amazon. Amazon n'est pas mentionné dans un livre blanc récemment publié expliquant la technologie d'ID.me.
ID.me a confirmé jeudi dans un e-mail à CyberScoop que la société utilise le produit de reconnaissance faciale Rekognition d'Amazon.
La base de données d'ID.me se compose d'images téléchargées directement sur ID.me et non de sources externes, a déclaré un porte-parole de la société à CyberScoop dans un e-mail. ID.me conserve les selfies téléchargés pendant le processus de vérification pendant sept ans et demi après la fermeture d'un compte, conformément aux directives fédérales. Les informations biométriques sont partagées avec une agence gouvernementale "lorsqu'il y a une fraude apparente et un vol d'identité liés au compte associé à l'agence", selon la réponse de l'entreprise.
Seeley-George dit que le fait qu'ID.me induit le public en erreur sur le type de technologie qu'il utilise soulève de sérieuses inquiétudes quant aux agences gouvernementales utilisant la technologie de reconnaissance faciale.
"Ce n'est qu'un autre exemple où ID.me décrit faussement son outil et comment il sera utilisé par des millions de personnes", a déclaré Seeley-George. "Ce n'est pas le type de produit que nous devrions demander à des millions de personnes d'utiliser s'ils doivent mentir sur ce qu'il fait."
Jay Stanley, analyste principal des politiques pour le projet Speech, Privacy and Technology de l'American Civil Liberties Union, a déclaré que l'utilisation de 1:many soulève encore plus de questions sur l'exactitude de la technologie, ce qui détermine si un individu est placé sur une liste noire et quelle est la procédure régulière. en place pour les personnes bloquées.
"Ils disent que ce n'est pas lié à la vérification d'identité, que cela n'empêche pas les utilisateurs humains d'identifier leur identité, mais si vous êtes quelqu'un sur cette liste, comment cela ne peut-il pas vous causer de problèmes ?" Il a dit.
En référence à sa correspondance 1: 1, ID.me a déclaré dans un communiqué de presse qu '"il n'y avait pas de différence statistiquement significative dans la propension à réussir ou à échouer l'étape de correspondance du visage entre les groupes démographiques, y compris les groupes avec des tons de peau différents, comme corroboré par NIST, ID.me et une agence gouvernementale de l'État. » Les technologies de reconnaissance faciale 1:1 ou 1:many de la société n'ont pas été mises à la disposition des audits publics.
ID.me a refusé de partager le nombre de tentatives effectuées par un utilisateur avant qu'une photo potentiellement frauduleuse ne soit transmise à l'examen. "Jusqu'au 25 janvier 2022, 20 901 406 comptes ont été sécurisés contre le vol d'identité avec 1: de nombreux contrôles de fraude", a écrit le porte-parole. "Pour 10 000 tentatives de vérification d'identité, en moyenne 8 tentatives auraient été signalées pour examen."
"Tout est très opaque", a déclaré Stanley. "Et c'est une recette pour l'injustice."
De nombreuses études ont montré que, même dans des conditions de laboratoire idéales, la technologie de reconnaissance faciale entraîne de manière disproportionnée des faux positifs lorsqu'elle est utilisée sur des personnes de couleur. Certains législateurs ont demandé l'interdiction de l'utilisation de la technologie de reconnaissance faciale par les forces de l'ordre en raison de problèmes d'inexactitude importants conduisant à de fausses arrestations.
Les nouvelles informations renforcent l'examen minutieux de la décision récemment annoncée par l'IRS d'utiliser la technologie pour vérifier les informations d'identification de son portail Web en ligne. Cette décision a été remise en question par des défenseurs de la vie privée ainsi que par des législateurs, dont le sénateur Ron Wyden (D-Ore.).
Les inquiétudes avec l'entreprise ne sont pas nouvelles. Les utilisateurs naviguant dans la technologie de l'entreprise pour recevoir des allocations de chômage pendant la pandémie ont signalé des heures d'attente pour la vérification, des correspondances incorrectement rejetées et des mois d'attente pour rectifier les refus.
Le journaliste en cybersécurité Brian Krebs a rapporté une expérience similaire en utilisant la technologie de l'entreprise pour créer des informations d'identification IRS via le système.
En plus de l'IRS, ID.me a des contrats avec le département des anciens combattants et l'administration de la sécurité sociale. ID.me dit divulguer son utilisation de la reconnaissance faciale 1:many aux partenaires gouvernementaux "lorsqu'ils sont actifs".
L'IRS n'a pas répondu aux questions envoyées par CyberScoop.
Mise à jour le 26/01/22 : pour inclure des informations supplémentaires sur les discussions internes de l'entreprise et les commentaires de l'ACLU.
Mise à jour le 27/01/22 : pour inclure les réponses d'ID.me.