Serveur d'impression

Réglementations laxistes et surveillance insuffisante de l'utilisation des données de reconnaissance faciale – Bien choisir son serveur d impression

Le 6 juillet 2019 - 23 minutes de lecture

Pendant des années, les activistes des communautés de la vie privée et de la sécurité ont averti que les données biométriques, notamment les identifiants d'identité avec photo, les empreintes digitales et d'autres informations, pourraient être piratées par de mauvais acteurs. La semaine dernière, ces craintes ont été confirmées lorsque l’agence américaine des douanes et de la protection des frontières a annoncé que les pirates informatiques avaient désormais accès à une base de données contenant des pièces d’identité avec photo et des plaques d’immatriculation gérées par le sous-traitant Perceptics. Au cours des dernières années, la CPB a demandé aux voyageurs étrangers des données de reconnaissance faciale, des empreintes digitales et d’autres informations biométriques. Il est donc possible que ces informations risquent également d’être obtenues par des pirates.

Si les données de reconnaissance faciale (FR) sont compromises, ainsi que d’autres informations personnelles, telles que les noms et les numéros de sécurité sociale, l’identité d’une personne peut facilement être volée pour fraude financière. Au-delà de ce type d’activité criminelle, il existe un spectre de risques physiques, tels que la révélation de la localisation d’un individu à un harceleur ou la transmission de données de sécurité à domicile à un cambrioleur. Et, bien sûr, si un gouvernement tient une base de données d’analyses faciales, elle peut être utilisée pour identifier et contrôler les activistes, ce qui est la méthode utilisée actuellement par la Chine pour surveiller sa communauté minoritaire musulmane ouïgoure.

Dave Maass, chercheur en chef à la Electronic Frontier Foundation, explique que les agences s’empressent de collecter le plus d’informations possible, ce qui dépasse leur capacité de protection. Il en va de même pour les vendeurs biométriques vendant leurs systèmes à des entreprises du secteur privé.

"Pour être honnête, ils devraient avoir vu cela arriver, sachant que le système biométrique indien avait été violé juste un an auparavant", déclare Maass. «Nous avons également constaté que les forces de l’ordre appliquaient mal la confiance aux fournisseurs, pour qui la sécurité publique et la cybersécurité ne constituaient peut-être pas leur principale préoccupation.»

Maass s'attend à ce que les violations des systèmes de surveillance, telles que la technologie de reconnaissance faciale, continuent à se développer. Il y a plusieurs années, l'Electronic Frontier Foundation a découvert que des lecteurs de plaques d'immatriculation automatisés étaient exposés en ligne, un problème que les journalistes ont récemment confirmé est en train de proliférer.

"En cas de violation des systèmes du CBP, quelles menaces pèseront sur tous ces systèmes de surveillance gérés par les forces de l'ordre locales dans tout le pays et qui ne disposent pas des ressources du gouvernement fédéral?", Déclare Maass. «Perceptics utilise ses contrats avec le CBP pour établir sa crédibilité. Nous ne savons pas encore qui d'autre a passé un contrat avec eux sur la base de cet avenant. "

Jay Stanley, analyste principal des politiques à l’Union américaine des libertés civiles (ACLU), ne sait pas si les entreprises biométriques utilisent les données de visage obtenues dans le secteur privé au-delà de la simple identification de personnes. Mais, dit-il, ces données pourraient être vendues à des chaînes de magasins de détail, dont les systèmes de reconnaissance faciale pourraient identifier les clients dès leur arrivée dans le bâtiment. Le système peut utiliser l’analyse vidéo pour enregistrer d’autres informations, telles que la durée de leur séjour dans le magasin et le lieu de leur attention.

En raison de la réglementation laxiste et de la faiblesse du contrôle gouvernemental, ajoute Stanley, nous ne savons pas vraiment comment les entreprises de technologie biométrique traitent et sécurisent les données FR.

«C’est chaque entreprise pour elle-même, c’est le Far West – il n’existe pas de règles, il n’existe pas de meilleures pratiques de l’industrie», déclare Stanley. «Rien n'empêche une entreprise d'utiliser une caméra de surveillance à très haute résolution dans un magasin, de prendre des empreintes faciales de tous ceux qui entrent, de les stocker dans une base de données et de les utiliser à toutes les fins que leur imagination peut imaginer. L’appétit du monde de la publicité pour l’information sur les gens est sans bornes. "

«Une fois que vous avez créé ces grandes bases de données, explique Stanley, elles deviennent des pots de miel qui attirent les pirates. Et en fin de compte, il est plus facile de pirater le système que de garder les pirates. Mais il n’ya pas que les pirates qui s’intéressent à ces bases de données. Avec le «glissement de mission», FR se normalise, ce qui le propage depuis l'enregistrement à l'aéroport vers une agence publique comme CPB, chargée d'identifier et d'expulser les immigrants clandestins des États-Unis.

«Quand vous créez ces grands [biometric] bases de données, c’est juste une recette pour les intrusions dans la vie privée et les abus commis par les pirates, en plus des abus dont sont victimes les personnes qui collectent les données », déclare Stanley.

Opérer dans l'ombre

Aux États-Unis, des dizaines d'entreprises mettent au point des systèmes de reconnaissance faciale, destinés à la fois aux gouvernements et aux entreprises. Ces entreprises construisent leurs systèmes en l'absence de toute réglementation réelle.

Selon Electronic Frontier Foundation, Idemia (anciennement MorphoTrust), fabricant du système FR IdentoGO, est l’un des plus importants fournisseurs de technologie de reconnaissance biométrique et d’identification biométrique aux États-Unis. La société a conçu des systèmes pour les services répressifs fédéraux et des États, les DMV des États, les contrôles aux frontières et les aéroports, ainsi que pour le département d'État. «Parmi les autres fournisseurs courants figurent 3M, Cognitec, DataWorks Plus, les systèmes d'imagerie dynamique, FaceFirst et NEC Global», écrit l'EFF.

Lynch de EFF a sonné l'alarme à propos d'Idemia en 2017 lorsque la TSA a annoncé son intention d'utiliser FR pour suivre les personnes autour des aéroports. Idemia est le fournisseur du programme PreCheck de la TSA, qui, selon Lynch, avait déjà dépassé les aéroports pour inclure une entrée accélérée pour les «voyageurs approuvés par PreCheck» lors de concerts et de stades aux États-Unis.

"Idemia dit qu'il équipera les stades avec une technologie basée sur la biométrie, non seulement pour la sécurité, mais aussi" pour aider les supporters dans l'expérience des fans ", écrit Lynch. "En ajoutant la reconnaissance faciale, Idemia permettrait de suivre les fans qui se déplacent dans le stade, comme le fait déjà une autre société, NEC, dans un stade de football professionnel à Medellin, en Colombie, et lors d'un événement du championnat de la LPGA en Californie plus tôt cette année."

En avril, Idemia a annoncé un partenariat avec les Red Sox de Boston. Fenway Park, première équipe de la MLB à collaborer avec Idemia, sera équipée de la voie Fast Pass de la société, que les fans ne peuvent utiliser que s’ils se soumettent à la numérisation des empreintes digitales. La société se vante de fournir une large gamme de «services liés à l'identité» aux clients commerciaux par le biais de ses centres IdentoGo. «Notre principal service est la capture et la transmission sécurisées d'empreintes digitales électroniques à des fins d'emploi, de certification, de licence et à d'autres fins de vérification», indique la société. «Des services supplémentaires, tels que des photos de passeport, des vérifications d’historique d’identité et des cartes à empreinte digitale sont disponibles dans les établissements participants aujourd’hui, et de nouveaux produits et services liés à l’identité sont en cours de développement pour l’avenir.»

En 2016, le conglomérat multinational 3M, basé au Minnesota, a annoncé son entrée dans le jeu de reconnaissance de visage avec le système d'identification de visage Live 3M. Contrairement au produit Idemia, le système utilise la vidéo en direct pour faire correspondre les identités en temps réel aux clients des secteurs public et privé. Dans un communiqué de presse, 3M Cogent a noté que le système «reconnaît automatiquement plusieurs visages à partir de séquences en direct ou importées» afin d'identifier des personnes dans «des environnements dynamiques et non contrôlés». En temps réel, les visages sont capturés et appariés, et Un PC ou un appareil mobile peut être immédiatement averti lorsqu'il y a une correspondance dans la base de données.

3M Cogent ne voit pas son système d’identification de visage actif utilisé uniquement pour les forces de l’ordre, les contrôles aux frontières et les forces de sécurité privées. Ils le commercialisent pour l'utiliser dans des espaces tels que les casinos, les zones d'embarquement des lignes de croisière, les stades de sport et les banques.

Alors que de nombreux fournisseurs de logiciels RF s’occupent de la publicité auprès d’agences gouvernementales et de sociétés privées des États-Unis, IBM cherche à l’étranger. En mai, Megha Rajagopalan, de BuzzFeed, a annoncé que le géant de la technologie, Hikvision et Huawei, en Chine, vendait une technologie de reconnaissance faciale aux Émirats arabes unis, un régime bien connu pour avoir utilisé des logiciels espions (spywares) contre les dissidents. Le produit, connu sous le nom de Oyoon («yeux» en arabe), est en cours de déploiement par la police de Dubaï. Il combine la reconnaissance faciale et l'analyse de l'IA, avec l'objectif déclaré d'identifier les accidents de la route. Cependant, comme l'a souligné Rajagopalan, les documents relatifs aux marchés publics et à la réglementation indiquent clairement que la police de Dubaï souhaite pouvoir analyser les visages des personnes et les analyser, notamment en enregistrant la voix.

D'autres entreprises françaises, comme le produit Face-Int de Verint, ont suscité des inquiétudes parmi les militants des droits de l'homme. Verint est un fabricant de logiciels espions dont les systèmes de surveillance du smartphone ont été utilisés par des gouvernements soupçonnés de violation des droits de l'homme, tels que les Émirats arabes unis, le Soudan du Sud et le Mexique. Développé par Terrogence, une filiale de Verint, Face-Int utilise des scans de vidéos et de photos de Facebook, YouTube et d’autres médias sociaux pour créer une base de données en français servant à identifier les terroristes. Mais comme ForbesThomas Brewster a rapporté en avril 2018, un ancien membre du personnel de Terrogence a noté sur son profil LinkedIn que Face-Int avait également été utilisé pour profiler des groupes activistes.

Données biométriques à risque

Contrairement à un mot de passe qui peut être changé en cas de vol, le visage ou les iris d’une personne sont impossibles à changer. Stocker et transmettre ces données en toute sécurité devrait revêtir une importance primordiale pour les entreprises de technologie biométrique. Mais, comme le montrent la violation de base de données Perceptics et d’autres expositions, cela ne semble vraiment pas être le cas.

Un peu plus tôt cette année, Victor Gevers, chercheur en sécurité aux Pays-Bas, a découvert que SenseNets, une société chinoise vendant des technologies d’analyse vidéo de la foule et de reconnaissance faciale, avait laissé sa base de données ouverte sur Internet pendant des mois. Le gouvernement chinois utilise la technologie de reconnaissance faciale de la société pour suivre la population musulmane ouïghoure dans la région du Xinjiang. La base de données ouverte a exposé 2.565.724 utilisateurs, selon Gevers, ainsi que les coordonnées GPS.

Après avoir découvert la découverte, Gevers a tweeté que la base de données contenait des informations personnelles: «Cette base de données contient plus de 2.565.724 enregistrements de personnes avec des informations personnelles telles que le numéro de carte d'identité (date d'émission et date d'expiration, sexe, pays, adresse, date de naissance, photo d'identité, employeur et quels endroits avec des traqueurs ils sont passés au cours des 24 dernières heures. "

Mais ce n’est pas la seule base de données de reconnaissance faciale à avoir été exposée en Chine, un pays qui souhaite ardemment utiliser cette technologie pour identifier les personnes en quelques secondes. Il y a deux mois, chercheur en sécurité John Wethington trouvé et accédé à une base de données de villes intelligentes chinoises sur un navigateur Web sans mot de passe. Comme le dit Wethington à TechCrunch, il a trouvé une quantité de données exposées de plusieurs gigaoctets dans une base de données Elasticsearch qui comprenait des scans de reconnaissance faciale de centaines de personnes. La base de données, utilisée par une société anonyme, était hébergée sur le service cloud du géant chinois des technologies Alibaba.

Bien que ces exemples puissent paraître comme des valeurs aberrantes, Wethington raconte Entreprise rapide que les bases de données ne sont pas si difficiles à obtenir. Il explique que les systèmes de reconnaissance faciale reposent sur la technologie de base de données existante (produits tels que Elasticsearch, MySQL, SQL et d'autres solutions de stockage de données) et que la plupart d'entre eux sont sujets à de mauvaises configurations.

«Les sociétés de reconnaissance faciale exploitent souvent le stockage et les services dans le cloud pour évoluer de manière économique et efficace», déclare Wethington. «Très peu de ces organisations mettent l'accent sur la sécurité et la confidentialité. Franchement, l’attitude qui prévaut est que les consommateurs renoncent à ce droit en public. ”

Perceptics, un sous-traitant de la CPB, est une de ces entreprises qui subit actuellement un franc succès. Casey Self, directeur du marketing de la société, a déclaré à Fast Company que Perceptics n’avait pas de base de données de reconnaissance faciale ni n’avait accès à la base de données de reconnaissance faciale du gouvernement. Il a également souligné que la société ne fournit pas de logiciel FR.

«Perceptics a récemment remporté un contrat de démonstration visant à évaluer la capacité d’une caméra à capturer une image faciale de qualité pour chaque occupant du véhicule», déclare Self. "Nous n'avons accès à aucune information personnelle concernant les occupants du véhicule."

Comment trouver une base de données de reconnaissance faciale en quelques secondes

Wethington appelle ces bases de données de reconnaissance faciale des «ressources mal protégées», des ressources faciles à découvrir à l'aide d'éléments tels que BinaryEdge, Shodan et des outils similaires. Il dit que certains de ces systèmes sont même conçus pour être «ouverts» aux utilisateurs par défaut, il appartient donc au déployeur de le sécuriser. Un serveur SQL typique, qui pourrait être utilisé pour stocker des données de reconnaissance faciale, fonctionne sur un ensemble de ports standard facilement numérisables à l'aide d'outils gratuits tels que Masscan. «La découverte de ces bases de données est triviale», déclare Wethington.

Comme il l'a démontré, un pirate informatique malveillant peut effectuer une recherche dans une base de données Elasticsearch avec ces outils en définissant un port, un index et un mot clé. En moins d'une minute, Wethington a trouvé 33 000 bases de données Elasticsearch ouvertes, dont un faible pourcentage serait lié à la reconnaissance faciale ou à l'intelligence artificielle. "Le fait est que les données sont faciles à trouver si elles ne sont même pas sécurisées à distance", dit-il. En peu de temps, Wethington a découvert une base de données en Chine qui utilise la technologie de reconnaissance faciale. Il dit que les outils pour accéder à ces systèmes sont librement disponibles et ne nécessitent souvent aucune authentification. «Techniquement, ils ne sont pas piratés, ils ne sont tout simplement pas sécurisés», déclare Wethington.

Le chercheur en sécurité Gevers, qui travaille pour la GDI Foundation, une organisation qui tente de protéger un Internet libre et ouvert en le rendant plus sûr, a expliqué que de nombreuses bases de données à source ouverte existaient déjà, car elles peuvent être installées rapidement. Le problème, dit-il, est que les ingénieurs ne semblent pas lire le manuel pour sécuriser les données.

"Je pense que c'est la raison principale pour laquelle la Chine est la deuxième cause de fuite de données", a déclaré Gevers. «Le premier se trouve aux États-Unis à cause des services Web Amazon, de Google Online Services et d'Azure. Les gens déploient des systèmes très rapidement, oubliez le pare-feu ou mettez des informations d'identification dessus pour vous connecter. "

«Au moment où vous déployez vos systèmes de prévision dans le cloud en ligne, vous devez vous assurer à deux fois que ces systèmes ne seront pas exposés, car un administrateur système a laissé quelque chose ouvert ou un développeur Web a construit quelque chose qui introduit une vulnérabilité», ajoute-t-il. .

Gevers pense qu'il est très probable que les atteintes à la protection des données subissent une légère hausse, notamment des photos ou d'autres éléments utilisés pour la reconnaissance faciale ou la reconnaissance de l'iris. Et même si les systèmes sont verrouillés avec les informations d'identification de connexion, il ne faut qu'une seule erreur pour créer une vulnérabilité, puis tout pirate informatique a accès à la base de données.

«Le problème avec la reconnaissance faciale est que vous avez besoin de beaucoup de données, et de stocker beaucoup de données et de les rendre rapidement consultables», déclare Gevers. «Nous voyons beaucoup de gens qui ont tendance à utiliser [free, open-source products]. Ce sont de bons produits si vous savez ce que vous faites. Et je pense que c’est le problème: la plupart des gens ne savent pas ce qu’ils font. Ils se contentent de prendre un bloc de construction Lego, de l’empiler et de dire: «Hé, regardez, le produit est fini.»

"Si vous examinez le nombre de fuites de données au cours des trois dernières années et que vous ajoutez le mot" MongoDB "ou" Elasticsearch ", vous verrez que celles-ci ont augmenté très rapidement", explique-t-il. "C’est parce que les produits sont très faciles à utiliser et à configurer, mais il est un peu plus difficile de les rendre plus sûrs."

Gevers attribue la faiblesse de la sécurité des bases de données FR à un marché concurrentiel, dans lequel une preuve de concept est construite et le produit rapidement commercialisé et vendu. Et même si un gouvernement ou une entreprise peut tirer des leçons des vulnérabilités, au fil du temps, lorsque des personnes sont promues ou quittent leur emploi, M. Gevers affirme que les organisations ont tendance à oublier ce qu'elles ont appris sur la sécurité des systèmes. C'est pourquoi il aimerait que les fournisseurs de cloud, tels qu'AWS, Google et Azure, fournissent aux programmeurs des modèles, tels qu'ils sont disponibles dans le projet de sécurité des applications Web ouvertes, afin de pouvoir créer en toute sécurité sur ces plates-formes.

"Protéger correctement les données coûte cher, et les entreprises ne veulent pas payer cet argent", déclare Jay Stanley de ACLU. "Et sauf pour un coup de relations publiques, ils ne paient généralement pas le coût des violations de données. Ce sont les clients qui paient les coûts – des clients qui ne savent peut-être même pas que les données sont collectées, et qui ont encore moins le choix. [to consent]. "

«Une menace existentielle pour les libertés fondamentales»

Lors d'un récent témoignage devant le Comité de surveillance et de la réforme de la Chambre, Clare Garvie, associée principale du Centre on Privacy and Technology de Georgetown Law, a déclaré qu'il y a quelques années à peine, elle estimait qu'une réglementation stricte était suffisante pour protéger les personnes contre le détournement de technologie de reconnaissance faciale. Elle pense maintenant que les gouvernements fédéral, provinciaux et locaux devraient imposer un moratoire sur l'utilisation de la reconnaissance faciale par la police.

«Les communautés ont besoin de temps pour déterminer si elles veulent être reconnues dans leurs rues et leurs quartiers», a déclaré Garvie. «Le pouvoir que cette technologie confère aux forces de l'ordre, combiné au secret avec lequel elle a été déployée, à son imprécision persistante, à son identité ethnique et à son sexe, et à la manière dont elle a été mal utilisée et maltraitée, fait de la reconnaissance faciale une menace existentielle pour les droits fondamentaux. libertés dans notre société. "

À l'exception des lois biométriques de l'Illinois et du Texas et de l'interdiction de San Francisco, aucune restriction légale n'empêche les entreprises de vendre les données collectées, a déclaré John Verdi, vice-président des politiques du Future of Privacy Forum, un think basé à Washington. réservoir axé sur la confidentialité des données.

L’une des raisons est que les systèmes technologiques français ne sont pas interopérables. Autrement dit, il n’existe pas de norme universelle permettant le partage des données FR entre les systèmes. Ainsi, si un détaillant qui a l'impression d'un client d'un système NEC veut vendre son produit à un particulier qui est entré dans un autre magasin utilisant la technologie Hitachi FR, les deux systèmes ne pourraient pas se parler.

«Voici une autre raison: lorsque vous parlez de suivi dans le monde réel à des fins de marketing, la plupart des spécialistes du marketing et des écosystèmes ont déjà un identifiant presque aussi performant, interopérable, bien compris et utilisé souvent. identifiant d'appareil », déclare Verdi. «Donc, si je suis un détaillant ou un courtier en données, je le pourrais. . . essayez de créer un consensus considérable avec un groupe de sociétés de reconnaissance faciale, et je pourrais obtenir des données légèrement plus précises que celles des téléphones mobiles, mais peut-être que je ne le ferai pas. "

Mais le fait que les systèmes FR ne soient pas interopérables ne signifie pas que les sociétés biométriques ne trouveront pas de moyen de vendre des données de visage. Et si les gens ne donnent pas leur consentement aux scanners du visage, la question de la vie privée se pose inévitablement et immédiatement. À l’instar de Garvie, Dave Maass, de EFF, estime qu’il est temps de mettre en place un moratoire sur la reconnaissance faciale.

"Les vendeurs incitent de manière agressive les agences à adopter cette technologie très rapidement, pas nécessairement parce que c'est bon pour la sécurité publique, mais probablement parce qu'elles aspirent à la domination du marché", dit-il. «Ils font des promesses sur tous les crimes qu’ils pourraient résoudre ou prévenir miraculeusement, et les responsables ne demandent pas ce qui pourrait mal tourner. Nous soutenons la décision de San Francisco d’interdire totalement la technologie, mais au minimum, les décisions en matière de surveillance devraient être prises par la communauté et ses représentants élus, et non par la police en partenariat avec les vendeurs de surveillance. "

Le Forum sur l'avenir de la vie privée a récemment publié un document sur la réglementation et les meilleures pratiques en matière de technologie de reconnaissance faciale. Le document propose que la réglementation fondée sur le bon sens doit partir d'une position de «consentement affirmatif explicite et opt-in» pour l'inscription dans les systèmes. Verdi dit qu'il y aura des exceptions, comme dans l'application de la loi, où les criminels ne participeront pas, ce qui nécessitera un autre paradigme. Verdi dit également que l’inscription n’a pas de sens pour les systèmes d’éducation des élèves dans les écoles, ce qui peut signifier qu’il peut arriver que la technologie ne soit pas utilisée du tout. La FPF est favorable à un moratoire dans certains cas, comme dans les écoles, mais pas pour les applications utiles qui soulèvent peu de risques privés, comme le déverrouillage de périphériques mobiles avec des empreintes de visage.

À la fin du mois de mai, lors des audiences du Comité de surveillance et de réforme de la Chambre, les démocrates et les républicains étaient vivement intéressés à freiner la technologie de reconnaissance faciale avant que la technologie américaine ne soit modifiée. "Nous avons appelé à un moratoire [on face recognition technology], ”Dit Stanley. "Et nous avons eu beaucoup de soutien dans la salle lors de ces audiences."

Cette histoire a été mise à jour.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.