BUSINESSLes dernières actualités de la techTECH

[DECODE] Reconnaissance faciale: une technologie qui vous veut du bien?

Le gouvernement français compte s’emparer très rapidement de la reconnaissance faciale. Il teste en ce moment l’application Alicem qui permettra à chaque citoyen de se créer une identité numérique en ligne en passant par cette technologie. Que faut-il savoir sur Alicem? Et où en est-on réellement en France vis-à-vis de l’utilisation de la reconnaissance faciale?

Décryptage avec Martin Drago, chargé d’analyses juridiques et politique pour La Quadrature du Net, l’association de défense des droits et libertés des citoyens sur Internet, et Guillaume Vassault-Houlière, CEO de la plateforme de bug bounty Yes We Hack.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.

La newsletter hebdo

Recevez chaque lundi l'actualité de notre écosystème

« Première solution d’identité numérique régalienne sécurisée »

Pour rappel, le but d’Alicem est de simplifier les démarches administratives en se créant une identité numérique authentifiée. Le ministère de l’Intérieur parle de «la première solution d’identité numérique régalienne sécurisée». Grâce à elle, plus besoin de saisir différents identifiants et mots de passe pour accéder aux services de l’État en ligne: impôts, Sécurité sociale, Assurance retraite… En résumé, cela concerne tous les services partenaires de France Connect, plus de 500 selon le gouvernement.

L’identité délivrée par Alicem sera basée sur les informations contenues dans la puce de son titre biométrique (passeport ou titre de séjour). Mais pour vérifier qu’il s’agit bien de vous, l’authentification définitive se fera par reconnaissance faciale dynamique. L’utilisateur devra ainsi enregistrer une vidéo que l’application comparera à la photo du passeport. La Cnil a déjà pointé du doigt le fait que l’application ne respecte pas le RGPD puisqu’aucune alternative n’est proposée aux utilisateurs pour se créer cette identité numérique sécurisée.

Elle préconisait par exemple que soit aussi proposé un rendez-vous en préfecture pour la valider. Pour l’instant, le gouvernement n’a pas retenu cette proposition et l’application pourrait être lancée sans autre alternative. Mais au-delà de ce premier point, non négligeable, faut-il s’inquiéter du fait que le gouvernement s’empare de cette technologie? Quels sont les points de vigilance à avoir?

Toute technologie est-elle bonne à prendre?

«Pour nous, la reconnaissance faciale est une technologie extrêmement dangereuse et on lutte pour son interdiction en France», explique d’emblée Martin Drago de la Quadrature du Net. En se basant notamment sur l’avis de la Cnil, l’association a d’ailleurs déposé un recours devant le Conseil d’Etat pour demander l’annulation du décret autorisant la création de l’application.

«Il y a plusieurs technologies de reconnaissance faciale. Soit vous faites de l’authentification, c’est-à-dire que la caméra vérifie que c’est bien vous par rapport à la photo, c’est le cas par exemple d’Alicem, soit vous faites de l’identification. Là, il s’agit de vous reconnaître et de vous identifier dans la rue, dans l’espace publique», commence Martin Drago. «Ce qui nous fait peur avec l’identification c’est que la reconnaissance faciale, si on la prend dans son plus grand fantasme, en temps réel dans l’espace publique, il s’agit d’un outil parfait de surveillance de masse. Il s’agit d’une atteinte extrêmement grave à nos libertés, notre droit à la vie privée mais aussi à notre liberté d’expression, de manifestation. Vous ne sortirez pas dans la rue de la même façon si vous savez que vous êtes identifié».

Même si nous n’en sommes pas encore là, pour l’association, les dispositifs d’authentification posent aussi problème: «Ils représentent quand même un risque de banalisation, de normalisation de cette technologie», développe Martin Drago. Surtout, pour La Quadrature du Net, le gouvernement met la charrue avant les bœufs en passant tout de suite à l’étape de l’utilisation de la reconnaissance faciale sans qu’un réel débat n’ait eu lieu pour savoir s’il faut même se saisir de cette technologie.

Cela revient en fait à se demander si toute technologie est vraiment bonne à prendre? « Il y a aussi quelque chose de plus philosophique. Est-ce normal que petit à petit notre corps devienne un moyen d’authentification? Est-ce qu’il y a une réflexion là-dessus? Que se passe-t-il par exemple en cas d’attaque sur un tel système?

Que se passe-t-il si on vous vole votre visage? Votre visage vous ne pouvez pas le refaire, ni le cacher dans la rue.

Il y a plein de questionnements comme cela, éthiques et philosophiques qui ne sont pas du tout pris en compte», ponctue Martin Drago.

En route vers la banalisation?

Un appel à débat que La Quadrature du Net n’est pas la seule à demander. La Cnil l’avait déjà fait dès septembre 2018 en appelant à «la tenue d’un débat démocratique sur les nouveaux usages des caméras vidéo». «De nouveaux outils de captation et d’exploitation vidéo se développent pour prévenir notamment des troubles à l’ordre public. Face aux enjeux qu’ils posent et à la nécessaire mise à jour du cadre juridique, la Cnil demande au Législateur de se saisir de ces questions», expliquait-elle alors. Cette dernière citant pêle-mêle: caméras-piétons, utilisation des terminaux mobiles de particuliers, systèmes de vidéo « intelligente », dispositifs de suivi et de reconnaissance d’individus à l’aide de données biométriques, reconnaissance faciale, etc.

En effet, si ce sont souvent les exemples de la Chine où le gouvernement a lancé l’expérimentation de son programme de «crédit social» ou celui de l’Inde qui a récemment communiqué sur son appel d’offres pour bâtir un système de reconnaissance faciale à visée sécuritaire qui sont cités comme exemple de dystopies, les déploiements ou expérimentations en France- certes moins généralisés- vont aussi bon train.

L’installation discrète de la reconnaissance faciale dans les aéroports, gares…

Depuis juin 2018, par exemple, les aéroports d’Orly et Roissy Charles-de-Gaulle sont équipés du système Parafe (passage automatisé rapide aux frontières extérieures) qui intègre la technologie de reconnaissance faciale pour accéder à la zone d’embarquement. Alors que les premiers portiques fonctionnaient avec un capteur d’empreinte digitale, ils sont en train d’être remplacés. Un fait qu’écrit noir sur blanc le ministère de l’Intérieur sur sa page dédiée à Parafe:

Parafe se décline en version à empreintes digitales, et est remplacé majoritairement par la reconnaissance faciale.
Site du ministère de l’Intérieur

Cette technologie est jugée plus rapide. D’ailleurs, la totalité du parcours des voyageurs pourrait bientôt se dérouler de cette manière. En effet, comme l’a récemment révélé L’Express, Aéroports de Paris va lancer début 2020 à Orly une expérimentation d’un an en partenariat avec deux compagnies, dont Air France, pour étendre la reconnaissance faciale au dépôt de bagage et à l’embarquement. Autres endroits où les sas Parafe avec la reconnaissance faciale sont installés: Gare du Nord, au sein des aéroports Marseille-Provence, Lyon-Saint Exupéry et Nice Côte d’Azur, et également au départ d’Eurotunnel pour les autocars. La reconnaissance faciale est donc déjà en train d’équipée d’importants lieux de transit.

Sas Parafe avec reconnaissance faciale au sein de l’aéroport Marseille-Provence.
Crédit: Aéroport Marseille-Provence.

L’imbroglio de l’expérimentation niçoise

On peut également citer l’expérimentation de reconnaissance faciale sur la voie publique via ses caméras de vidéosurveillance qu’a lancé la ville de Nice en février pendant deux jours lors de la dernière édition du Carnaval de Nice. Confinée à une partie de l’événement et sur la base du volontariat, le but était de juger de l’efficacité du dispositif sous différents scénarios: retrouver un enfant perdu ou tout simplement une personne en fuite. Cette expérimentation a d’ailleurs fait l’objet d’un imbroglio avec la Cnil qui a remis un coup de projecteur sur la façon dont sont entourées ses expérimentations.

Le Maire de la Ville, Christian Estrosi, avait dans un premier temps affirmé avoir reçu l’autorisation de la Cnil pour expérimenter le dispositif décrit plus haut. Une déclaration qu’a vivement réfuté la Cnil rappelant que depuis l’entrée en vigueur du RGPD, les dispositifs biométriques (l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales) ne sont plus soumis à autorisation préalable…

L’expérimentation est uniquement soumise au RGPD et doit donc reposer sur le consentement des personnes volontaires. La Cnil a ainsi juste accompagné la ville sur ce point. En revanche, pour que le dispositif puisse réellement être «utilisé à des fins de sécurité ou de prévention (prévention et détection des infractions pénales, enquêtes et poursuites, protection contre les menaces pour la sécurité publique), il y aurait lieu de faire application non pas du RGPD, mais de la directive Police Justice du 27 avril 2016 », a rappelé la Commission. Il faudrait donc un décret ou une loi dédiée. Mais cela pourrait arriver plus vite qu’il n’y paraît, Christian Estrosi annonçant par exemple à l’époque sa volonté de déposer une « proposition de loi qui doit permettre de faire évoluer les lois Informatique et Liberté de 1978 et celle sur la vidéosurveillance de 1995». Le but, permettre l’utilisation de la reconnaissance faciale couplée à des fichiers de sécurité par exemple.

Et cette liste n’est pas exhaustive. Des expérimentations étaient prévues dans deux lycées à Nice et Marseille avec des portiques équipés de reconnaissance faciale. Le projet a dans un premier temps été retardé, la région Paca attendant l’avis de la Cnil. Quatre associations- la Quadrature du Net, la Ligue des droits de l’Homme, CGT Educ’Action des Alpes-Maritimes et la Fédération des Conseils de Parents d’Élèves des écoles publiques des Alpes-Maritimes- se sont associées pour contester devant le tribunal administratif de Marseille la délibération du conseil régional autorisant l’expérimentation.

Fait intéressant, comme argument supplémentaire en faveur du dispositif, le proviseur du lycée concerné à Nice, mettait aussi en avant «l’aspect pédagogique » du dispositif. Le fabricant de la solution, Cisco, s’engageait ainsi à mettre à disposition des sections Bac Pro électronique une maquette identique au portail pour que les élèves travaillant sur les projets « smart city » et de façon générale autour des nouvelles technologiques puisse s’approprier la technologie… 

Saisie par la région PACA d’une demande de conseil, la Cnil c’est cette fois-ci prononcée contre cette expérimentation. Elle estime que « le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD« . Il existe en effet, selon la Commission, des moyens moins intrusifs « en termes de vie privée et de libertés individuelles » comme le contrôle par badge pour sécuriser et fluidifier l’accès aux établissements.

Elle rappelle également que « les traitements de données biométriques sont d’une sensibilité particulière, justifiant une protection renforcée des personnes« , d’autant plus quand elles sont mineures. Face aux divisions que génèrent cette expérimentation, la Région a décidé de se ranger pour le moment derrière l’avis de la Cnil mais ne renonce pas complètement à son projet.  Elle prévoit de déposer un nouveau dossier pour ce même projet.

Un technologie qui jouit d’importants soutiens

Récemment, dans une interview accordée au Monde, le secrétaire d’Etat au numérique Cédric O a reconnu que la technologie est en avance sur la régulation. Pour l’instant, il a déclaré souhaiter la création, avec la Cnil, d’une instance d’évaluation des projets de reconnaissance faciale en France. Il s’est également dit favorable à un débat citoyen avec les parlementaires et les élus locaux. Mais rien de plus concret. En ce qui concerne Alicem, ce dernier estime «qu’il y a beaucoup de fantasmes» sur cette application. Surtout, il pense qu’ « expérimenter [la reconnaissance faciale] est nécessaire pour que nos industriels progressent« . 

Ainsi, les expérimentations vont aussi bon train du côté de l’usage de la reconnaissance faciale par les forces de l’ordre. Son utilisation par les policiers se fait pour l’instant surtout autour du fichier TAJ (Traitement des antécédents judiciaires) pour de la comparaison d’images. Mais l’idée est d’aller plus loin. La Quadrature du Net a d’ailleurs lancé une page dédiée, appelée Technopolice, qui recense les projets d’expérimentations. On peut par exemple citer le projet SafeCity qui devrait être lancé à Nice et dans le quartier de la Défense.

« Le projet SafeCity, d’une durée de 3 ans, labélisé par le Comité de la filière des industries de sécurité (CoFIS), propose un système complet de sécurité incluant un système collaboratif de gestion des données et des volets liés à l’exploitation de la vidéo protection pour la sécurité routière, la sécurité des écoles, la patrouille connectée, ou encore les postes de commandement et les moyens de communications« , explique Bpifrance qui finance le projet. « Les marchés visés sont ceux de la sécurité des villes et des zones d’intérêt commun, de la sécurité des écoles (biométrie wearable, analyse comportementale par vidéo), des patrouilles de police, des systèmes de commandement et de contrôle, des systèmes vidéo de sécurité routière et des systèmes de simulation de déplacement de foule« , poursuit plus loin l’établissement.

Le financement s’élève à 10,9 millions d’euros. Il faut dire que du côté des partisans de la reconnaissance faciale, on retrouve d’importants soutiens comme des industriels et certains membres des forces de l’ordre. Les premiers pour pouvoir tester leurs technologies et ainsi se positionner sur des marchés qui s’annoncent prometteurs au niveau international. C’est d’ailleurs un point mis en avant par Bpifrance pour le programme SafeCity. « Le projet permettra à chaque partenaire d’atteindre le marché plus rapidement avec un contenu fonctionnel plus riche sur des marchés mondiaux où la concurrence est exacerbée». Dans le cas présent, une quinzaine d’entreprises sont impliquées comme Thales/Gemalto, Arclan Systems (spécialisé dans la sécurité, la vidéoprotection et le contrôle d’accès) Geol Semantics (développe une technologie d’analyse sémantique multilingue) ou encore Deveryware (opérateur de géolocalisation en temps réel)…

Côté forces de l’ordre, la technologie a notamment le soutien du Creogn (Centre de recherche de l’École des officiers de la gendarmerie nationale). « Si tant est qu’elle atteigne un niveau de fiabilité acceptable, la plus-value policière de cette technologie ne fait aucun doute », peut-on par exemple lire dans la note de septembre de l’organisme rédigée par le Colonel Dominique Schoenher. « Elle vient consacrer la démarche d’anthropométrie judiciaire entamée il y a 150 ans pour identifier les fauteurs de troubles qui, auparavant, étaient marqués au fer rouge pour les plus dangereux», peut-on lire dans la suite de la publication.

Pendant ce temps, aux Etats-Unis le cadre législative avance plus vite. Et contrairement à toutes attentes, certaines communes ont déjà pris des décisions radicales pour certains usages de la reconnaissance faciale. Des villes l’ont par exemple interdit pour leur service de police. C’est le cas de San Francisco, qui a été pionnière en la matière, et a depuis été suivie par des communes comme Oakland (Californie) ou encore Somerville (Massachusetts).

Quid de la sécurité: aucun système n’est infaillible 

Si on en revient à Alicem, que faut-il savoir sur cette application? «Alicem vise le niveau de garantie ‘élevé’ au sens du règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques, dit règlement ‘eIDAS’», explique le ministère de l’Intérieur. Pour rappel, celui-ci a pour but de fournir un socle commun pour évaluer le niveau de confiance en matière d’identification électronique. Il en existe trois: faible (il s’agit de de réduire le risque d’utilisation abusive ou d’altération de l’identité), substantiel (réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité) et élevé (empêcher l’utilisation abusive ou l’altération de l’identité). «Le risque zéro n’existe pas, même sur un niveau élevé», rappelle tout de même Guillaume Vassault-Houlière, CEO de la plateforme de bug bounty Yes We Hack. Cependant, pour pouvoir prétendre au niveau élevé, il existe, à distance en tout cas, selon ce dernier peu d’autres alternatives que la reconnaissance faciale.

«’Empêcher’, cela veut dire que vous allez obligatoirement utiliser un moyen d’authentification qui est infalsifiable. On pourrait aussi imaginer que les gens se connectent avec leur passeport et un lecteur d’empreintes. Mais chaque citoyen n’en possède pas un, alors que tout le monde à une webcam par exemple», développe Guillaume Vassault-Houlière. Autre solution: «Vous auriez très bien pu faire la vidéo sur votre téléphone qui génère techniquement un token et qui va s’authentifier, ainsi la vidéo reste sur votre téléphone. Mais le problème, c’est que vous ne vous acquittez pas des vulnérabilités qui sont clientes de votre téléphone. Si vous vous le faites pirater, vous avez le même problème même si le risque est réduit. Mais vous ne pouvez pas empêcher l’altération». En acceptant le système d’Alicem, vous consentez donc à déplacer la confiance vers l’Agence Nationale des Titres Sécurisés.

Mais niveau sécurité, que sait-on vraiment sur cette application? «La vidéo de reconnaissance faciale réalisée lors de la création du compte est effacée immédiatement après la vérification», explique le ministère de l’Intérieur. Sinon, il existe très peu d’informations. «Une personne de la communauté des hackers a trouvé l’application en bêta privé et a émis des alertes au ministère de l’Intérieur. De plus, on sait désormais qu’il s’agit d’une application développée par Gemalto [propriété de Thales depuis avril 2019, NDLR]. Elle est déjà utilisée aux Etats-Unis pour tester des digital driver’s licence. Elle a ainsi été aussi subventionnée par le gouvernement  américain via le US National Institute of Standards and Technology (NIST)». Le hacker en question est le spécialiste en cybersécurité Baptiste Robert, aussi connu sur Twitter via le pseudo Elliot Alderson. Ce dernier a résumé ses découvertes dans une note de blog.

Il ne s’agit donc pas à l’origine d’une application française. Dans l’avis d’attribution à la suite de l’appel d’offres, on apprend que le gouvernement a déboursé plus de 2,8 millions d’euros pour l’appli, mais aussi qu’en plus de la «réalisation», Gemalto sera responsable du «maintien en condition opérationnelle et « en condition de sécurité» de la solution Alicem. Et les choses ne commencent pas vraiment bien. Baptiste Robert a réussi à trouver des vulnérabilités dans le test de la version démo causées par l’utilisation d’une ancienne version de Tomcat: 9.0.0M9. Après que l’expert ait interpellé Gemalto à ce propos sur Twitter, le domaine qui hébergeait la version bêta a été fermé.


Pour rappel, c’est également Baptiste Robert qui était parvenu à infiltrer Tchap, la messagerie sécurisée de l’État. Et comme le rappelle Guillaume Vassault-Houlière, «aujourd’hui, il n’y a aucun système d’information qui est infaillible. Si on prend l’exemple de Tchap, vous allez sur le site de Yes We Hack, tous les chercheurs de sécurité que l’on a sur notre plateforme, les plus de 10 000 hackers, peuvent trouver des failles et aider le système à se sécuriser. Même si derrière l’Anssi [Agence nationale de la sécurité des systèmes d’information, Ndlr] avait fait certains tests, on n’est jamais à l’abri, les systèmes évoluent».

Réduction des coûts

Pourquoi le gouvernement semble-t-il si pressé? À côté des bénéfices qu’il peut y avoir en termes de sécurité pour la reconnaissance faciale à des fins d’identification dans l’espace publique, en ce qui concerne l’authentification, il s’agit surtout d’un enjeu de réduction des coûts. «La question, c’est jusqu’où l’on veut arrêter notre numérisation?», appuie Guillaume Vassault-Houlière. Dans le cas d’Alicem par exemple, «il en découlera d’autres services comme le fait de pouvoir générer sa carte d’identité, son passeport à distance. Le but étant de désengorger l’administration, de réduire le temps de génération de documents… », rappelle le CEO de Yes We Hack.

Une perspective que ne cache d’ailleurs pas le ministère de l’Intérieur: «Le niveau élevé permettra de donner progressivement la possibilité d’accéder à des services qui imposent actuellement une vérification ‘physique’ de l’identité des personnes soit à un guichet soit par l’examen de copies de plusieurs pièces envoyées par l’usager. Les champs d’application pourraient concerner : l’exercice de droits pour lesquels la certitude de l’identité du titulaire est indispensable, les demandes de certains titres et leurs modifications, l’accès à des données dans le domaine de la justice, des prestations sociales». Avec des applications si vastes à venir, il y a de fortes chances pour que vous n’ayez pas vraiment le choix de faire autrement. Mais face à la lenteur de la mise en place d’un réel débat, vous a-t-on donné l’opportunité de vous demander si votre visage devait devenir une donnée comme les autres?

Suivez nous:
Découvrez WE, le nouveau media d'intelligence économique consacré à l'innovation en europe. Retrouvez les informations de plus de 4500 startups et 600 fonds d'investissements Pour en savoir plus, cliquez ici
Bouton retour en haut de la page
Share This