Si la technologie de reconnaissance faciale est toujours un sujet de controverse dans certains pays, d’autres n’ont pas hésité à la déployer à grande échelle. Cela a permis à des sociétés comme Clearview AI de se lancer et de créer des bases de données de millions de photos d’individus appartenant à n’importe quel rang de la société. Plusieurs personnes ont dénoncé ces agissements, mais sans beaucoup de succès. D’autres comme Thomas Smith ont essayé d’obtenir le fichier que Clearview AI possède sur eux et ce ont trouvé des éléments qui les ont surpris.
Clearview AI est une entreprise fondée en 2017, mais qui s’est révélée récemment au monde par le biais de nombreux scandales de violation de données. Clearview AI crée des applications de reconnaissance faciale et les commercialise à l’endroit des organismes d’application de la loi. L’une des plus connues de ces applications est Clearview.ai. Selon l’entreprise, c'est un outil de recherche pour identifier les auteurs et les victimes de crimes. Elle a d’ailleurs écrit sur son site Web que la technologie a déjà aidé les forces de l'ordre à traquer des terroristes et des trafiquants sexuels.
Selon Hoan Ton-That, cofondateur de la société, le système s'appuie sur une base de données de plus de 3 milliards d'images que son équipe et lui ont récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web. Chose légale ou pas, plusieurs rapports depuis le début de l'année ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, selon un rapport du Times datant de mars, avant les forces de l’ordre, Clearview aurait été librement utilisé par les investisseurs et les clients de la start-up pour espionner le public.
Clearview.ai est une illustration de la facilité de créer des outils invasifs de surveillance et de suivi à l'aide de l'apprentissage en profondeur.
Alors, comment pouvons-nous nous protéger contre des tiers non autorisés qui construisent des modèles de reconnaissance faciale pour nous reconnaître où que nous allions ? Les réglementations peuvent et aideront à restreindre l'utilisation de l'apprentissage automatique par les entreprises publiques, mais auront un impact négligeable sur les organisations privées, les individus ou même d'autres États-nations ayant des objectifs similaires.
Le SAND Lab de l'Université de Chicago a développé Fawkes (du masque de Guy Fawkes qu'il imaginait dans V pour Vendetta et qui est d'ailleurs devenu le symbole du groupe de hackers Anonymous), un algorithme et un outil logiciel (s'exécutant localement sur votre ordinateur) qui donne aux individus la possibilité de limiter la façon dont leurs propres images peuvent être utilisées pour les suivre.
À un niveau élevé, Fawkes prend vos images personnelles et leur apporte de minuscules modifications au niveau des pixels qui sont invisibles à l'œil humain, dans un processus que les chercheurs ont appelé le camouflage d'image. Vous pouvez ensuite utiliser ces photos « masquées » comme vous le feriez normalement, les partager sur les réseaux sociaux, les envoyer à des amis, les imprimer ou les afficher sur des appareils numériques, comme vous le feriez pour toute autre photo. La différence, cependant, est que si et quand quelqu'un essaie d'utiliser ces photos pour créer un modèle de reconnaissance faciale, des images « masquées » enseigneront au modèle une version très déformée de ce qui vous ressemble. L'effet de cette « cape d'invisibilité » n'est pas facilement détectable et ne provoquera pas d'erreurs dans la formation du modèle. Cependant, lorsque quelqu'un essaie de vous identifier en utilisant une image inchangée de vous (par exemple, une photo prise en public) et va tenter de vous identifier, le système n'y parviendra pas.
Voyez-vous une différence entre l'image de gauche (l'originale) et l'image de droite (la « masquée ») ?
En savoir plus
L'algorithme ajoute de minuscules modifications indétectables à l’œil nu. Devant les services de reconnaissance faciale les plus avancés tels que l'API Microsoft Azure Face, Amazon Rekognition et l'API Megvii Face Search, l'effet « furtif » de Fawkes a atteint les 100%. Les chercheurs assurent que Fawkes a été testé de manière approfondie et s'est avéré efficace dans divers environnements, en plus de montrer une efficacité à 100% par rapport aux modèles de reconnaissance faciale de pointe.
Ainsi, même si vos photos sur Internet sont récupérées illégalement et vendues pour alimenter une IA, le modèle de visage formé avec ces données ne peut pas vraiment permettre à un algorithme de reconnaître votre visage avec succès.
Le but de cette recherche est d'aider les internautes à protéger efficacement leur vie privée tout en partageant leurs photos. Par conséquent, la « cape d'invisibilité » elle-même doit être « invisible » pour éviter d'affecter l'effet visuel de la photo. Raison pour laquelle la modification mineure est faite au niveau du pixel de la photo pour tromper l'analyse de l'IA.
En fait, pour les réseaux de neurones profonds, certaines petites perturbations avec des balises spécifiques peuvent changer la « cognition » du modèle. Par exemple, en ajoutant un peu de bruit à une image, un système prendra un panda pour un gibbon.
Fawkes profite de cette fonctionnalité. Les chercheurs ont fait une publication technique et proposé en téléchargement les codes source des binaires (sur Windows, macOS et Linux ainsi que sur GitHub pour développement et évaluation).
Fawkes n'est pas la première initiative de cet ordre
Il existe d'autres initiatives comme les projets de « cape d'invisibilité » à UMaryland, dirigés par Tom Goldstein, mais toutes n'ont pas la même perspective. Les éditeurs assurent que Fawkes fonctionne très différemment de ces efforts antérieurs et sont persuadés que c'est le premier outil pratique que l'internaute moyen peut utiliser. Ils rappellent que des projets antérieurs comme celui-là impliquent des utilisateurs portant un pull à motifs spécialement imprimé, qui empêche ensuite le porteur d'être reconnu par les modèles de détection de personne. Dans d'autres cas, l'utilisateur est invité à porter une pancarte imprimée ou un chapeau à motif spécial.
Une différence fondamentale est que ces approches ne peuvent protéger un utilisateur que lorsque celui-ci porte le pull / chapeau / pancarte : « Même si les utilisateurs étaient à l'aise à l'idée de porter ces objets inhabituels dans leur vie quotidienne, ces mécanismes sont spécifiques au modèle, c'est-à-dire qu'ils sont spécialement codés pour empêcher la détection contre un seul modèle spécifique (dans la plupart des cas, il s'agit du modèle YOLO). Quelqu'un qui essaie de vous suivre peut soit utiliser un modèle différent (il y en a beaucoup), soit simplement cibler les utilisateurs dans des environnements où ils ne peuvent pas porter ces accessoires remarquables. En revanche, Fawkes est différent, car il protège les utilisateurs en ciblant le modèle lui-même. Une fois que vous avez perturbé le modèle qui tente de vous suivre, la protection est toujours active, peu importe où vous allez ou ce que vous portez, et s'étend même aux tentatives de vous identifier à partir de photos statiques de vous prises, partagées ou envoyées numériquement ».
Et pour ceux qui se demandent si Fawkes a été conçu pour répondre à Clearview.ai, les chercheurs répondent par la négative :
« Cela pourrait en surprendre certains d'apprendre que nous avons lancé le projet Fawkes peu de temps avant l'article du New York Times qui profilait Clearview.ai en février 2020. Notre objectif initial était de servir de mesure préventive pour que les internautes se vaccinent contre la possibilité de certains modèles tiers non autorisés. Imaginez notre surprise lorsque nous avons appris 3 mois après le début de notre projet que de telles entreprises existaient déjà et avaient déjà construit un modèle puissant formé à partir d'énormes trésors de photos en ligne. Nous pensons que Clearview.ai n'est probablement que la pointe (assez grande) de l'iceberg.
« Fawkes est conçu pour augmenter considérablement les coûts de construction et de maintenance de modèles précis pour la reconnaissance faciale à grande échelle. Si nous pouvions réduire la précision de ces modèles pour les rendre non fiables, ou forcer les propriétaires du modèle à payer des coûts par personne importants pour maintenir la précision, alors nous aurions largement réussi. Par exemple, quelqu'un examinant attentivement un grand nombre de photos d'un seul utilisateur pourrait être en mesure de détecter que certaines d'entre elles sont masquées. Cependant, cette même personne est très probablement capable d'identifier la personne cible en un temps égal ou inférieur en utilisant des moyens traditionnels (sans le modèle de reconnaissance faciale). »
Source : Fawkes
Et vous ?
Que pensez-vous de ce type de projet ?