Une femme entre dans un supermarché, son attention sur des pommes. Avant même d’atteindre le rayon des fruits, une caméra de sécurité a déjà enregistré son visage. Que ce soit pour détecter d’éventuels voleurs ou simplement pour suivre son arrivée, son identité s’ajoute à un registre numérique presque indélébile.
Des institutions comme les banques, aéroports, stades et bureaux mettent en œuvre des systèmes similaires.
La question se pose alors : que se passe-t-il si ses données faciales sont volées ou détournées ? Contrairement à un mot de passe, que l’on peut modifier, ou à un numéro de carte bancaire, que l’on peut annuler, le visage est immuable et reste exposé.
Les systèmes de reconnaissance faciale ne conservent pas les images réelles. Ils transforment un visage en un modèle mathématique qui cartographie les proportions des traits. Lorsqu’une autre caméra scanne une personne, le système compare son visage en direct à ces modèles pour confirmer son identité.
En tant que professeur de cybersécurité à l’Institut de technologie de Rochester, j’ai constaté que même si ces modèles sont plus sûrs que des photos, ils ne sont pas à l’abri du vol. Une fois que cela se produit, cette clé numérique constitue une vulnérabilité permanente. En cas de violation d’une base de données de reconnaissance faciale, les « serrures » que ce modèle ouvre – accès à des applications bancaires, sécurité à l’aéroport, entrée dans des bâtiments – ne peuvent pas être réinitialisées. Le visage d’une personne, tout comme la menace, est permanent.
Ce risque n’est pas théorique. Des données biométriques ont été volées lors de violations de données. Par exemple, en 2024, des données biométriques d’un système de reconnaissance faciale utilisé dans des bars et clubs en Australie ont été piratées. En 2019, un incident similaire a touché un système de reconnaissance faciale géré par les douanes et la protection des frontières des États-Unis, à la suite d’une attaque sur le réseau d’un sous-traitant. Cependant, il reste flou de savoir si ces données biométriques volées ont été exploitées.
Suivi de votre visage
Tous les identifiants biométriques présentent des risques. Les empreintes digitales et les scans de rétines sont généralement utilisés dans des contextes contrôlés, comme déverrouiller un téléphone ou accéder à un bâtiment. Dans ces situations, une personne doit exprimer une volonté consciente de passer devant un scanner. À l’inverse, des caméras dans des espaces publics capturent des visages à l’insu des personnes, à distance.
Si une base de données d’empreintes digitales ou de scans d’iris est violée, un voleur doit encore présenter physiquement l’organe, ou une réplique. Cependant, il est plus simple de faire correspondre un modèle facial volé avec des images provenant de caméras de surveillance ou de photos disponibles en ligne, facilitant ainsi l’identification d’une personne ou le suivi de ses mouvements.
Il existe une différence significative, tant sur le plan technique qu’éthique, entre conserver une image sur un téléphone et la soumettre à une base de données. Sur des appareils modernes, qu’ils soient Apple ou Android, les données biométriques sont stockées localement dans une puce matérielle dédiée et ne sont pas partagées avec le fabricant ni les services cloud pour l’authentification. Par conséquent, une violation des systèmes d’entreprise ou du cloud n’exposerait pas ces modèles biométriques propres à l’appareil.
Certaines caméras de sécurité publiques sont passives, observant simplement les passants, sans enregistrement à long terme. D’autres, en revanche, suivent les personnes, liant les visages à des bases de données et créant ainsi une traçabilité numérique permanente. Les risques augmentent lorsque des organisations utilisent des systèmes pour suivre des individus à travers de multiples bases de données. Les systèmes d’aéroport peuvent comparer un visage à ceux de bases de données de passeports ou de compagnies aériennes, tandis que les stades peuvent croiser des visages avec des listes d’observation de sécurité.
Des grandes chaînes de distribution telles que Wegmans et Target utilisent également la reconnaissance faciale pour prévenir le vol, chaque nouvel enregistrement contribuant à un historique permanent.
La rencontre entre un visage et ses données
Un visage peut agir comme une clé primaire – un identifiant unique relié à des enregistrements. Si une base de données associe un modèle facial à une adresse email, et qu’une violation de données connecte cette adresse à des informations financières ou personnelles, un voleur d’identité disposant d’un modèle volé pourrait accéder à toutes ces données. De plus, l’association d’un modèle à des outils d’IA, tels que les deepfakes ou les modèles faciaux tridimensionnels, peut parfois permettre à un criminel d’usurper l’identité d’un individu dans des systèmes requérant la preuve d’un visage vivant.
En combinant des modèles biométriques avec d’autres données compromises, comme des identifiants de profils sur des réseaux sociaux ou des adresses personnelles, les criminels peuvent établir des « super-profils » intégrant de nombreuses activités d’un individu. Étant donné que le visage agit comme une clé reliant ces informations, ce niveau de vol d’identité est difficile à inverser.
Minimiser la menace
Les individus apprennent encore à naviguer dans la collecte biométrique généralisée. Si le confort d’un passage sécurisé ou d’un achat simplifié est séduisant, cela engendre souvent des risques permanents pour la vie privée et la sécurité.
Pour atténuer cette menace, des organisations peuvent adopter plusieurs pratiques de confidentialité des données. Elles peuvent limiter la conservation des informations nécessaires, effacer rapidement les données superflues et chiffrer chaque modèle mathématique. Il est préférable de stocker uniquement des modèles chiffrés plutôt que des photos brutes. Elles peuvent également mettre en œuvre des techniques de protection modernes, comme celles permettant de détecter la présence réelle d’un individu plutôt que celle d’une photographie, d’un masque ou d’un deepfake. Enfin, adopter une approche de confidentialité dès la conception implique de ne conserver les données que le temps nécessaire, de documenter clairement leur utilisation et de restreindre l’accès.
Les consommateurs peuvent également prendre des mesures. Dans les régions où des lois sur la protection de la vie privée existent, comme en Californie, en Illinois et dans l’Union européenne, les personnes peuvent soumettre une demande d’accès aux données pour voir quelles données biométriques une entreprise détient et, dans certains cas, demander leur suppression. Elles peuvent également interroger les détaillants sur les données collectées, leur durée de conservation et les mesures de protection mises en place.