Des chercheurs mettent au point Fawkes, un « masque » numérique

Pour protéger les photos de la reconnaissance faciale grâce à de minuscules modifications au niveau des pixels

Des chercheurs mettent au point Fawkes, un « masque » numérique pour protéger les photos
de la reconnaissance faciale grâce à de minuscules modifications au niveau des pixels

2020 est une année charnière pour l'apprentissage automatique. Cette année a vu être banalisé l'apprentissage automatique, où les modèles et algorithmes d'apprentissage en profondeur sont facilement accessibles aux internautes. Les GPU sont moins chers et plus facilement disponibles que jamais, et de nouvelles méthodes de formation comme l'apprentissage par transfert (l'un des champs de recherche de l'apprentissage automatique qui vise à transférer des connaissances d'une ou plusieurs tâches sources vers une ou plusieurs tâches cibles) ont permis de former de puissants modèles d'apprentissage en profondeur en utilisant des ensembles de données plus petits.

Si la technologie de reconnaissance faciale est toujours un sujet de controverse dans certains pays, d’autres n’ont pas hésité à la déployer à grande échelle. Cela a permis à des sociétés comme Clearview AI de se lancer et de créer des bases de données de millions de photos d’individus appartenant à n’importe quel rang de la société. Plusieurs personnes ont dénoncé ces agissements, mais sans beaucoup de succès. D’autres comme Thomas Smith ont essayé d’obtenir le fichier que Clearview AI possède sur eux et ce ont trouvé des éléments qui les ont surpris.

Clearview AI est une entreprise fondée en 2017, mais qui s’est révélée récemment au monde par le biais de nombreux scandales de violation de données. Clearview AI crée des applications de reconnaissance faciale et les commercialise à l’endroit des organismes d’application de la loi. L’une des plus connues de ces applications est Clearview.ai. Selon l’entreprise, c'est un outil de recherche pour identifier les auteurs et les victimes de crimes. Elle a d’ailleurs écrit sur son site Web que la technologie a déjà aidé les forces de l'ordre à traquer des terroristes et des trafiquants sexuels.

Selon Hoan Ton-That, cofondateur de la société, le système s'appuie sur une base de données de plus de 3 milliards d'images que son équipe et lui ont récupérées sur Facebook, YouTube, Venmo et des millions d'autres sites Web. Chose légale ou pas, plusieurs rapports depuis le début de l'année ont montré que de nombreuses autorités américaines s’en sont servis dans le cadre d’une enquête ou même à des fins personnelles. De même, selon un rapport du Times datant de mars, avant les forces de l’ordre, Clearview aurait été librement utilisé par les investisseurs et les clients de la start-up pour espionner le public.

Clearview.ai est une illustration de la facilité de créer des outils invasifs de surveillance et de suivi à l'aide de l'apprentissage en profondeur.

Alors, comment pouvons-nous nous protéger contre des tiers non autorisés qui construisent des modèles de reconnaissance faciale pour nous reconnaître où que nous allions ? Les réglementations peuvent et aideront à restreindre l'utilisation de l'apprentissage automatique par les entreprises publiques, mais auront un impact négligeable sur les organisations privées, les individus ou même d'autres États-nations ayant des objectifs similaires.

Le SAND Lab de l'Université de Chicago a développé Fawkes (du masque de Guy Fawkes qu'il imaginait dans V pour Vendetta et qui est d'ailleurs devenu le symbole du groupe de hackers Anonymous), un algorithme et un outil logiciel (s'exécutant localement sur votre ordinateur) qui donne aux individus la possibilité de limiter la façon dont leurs propres images peuvent être utilisées pour les suivre.

À un niveau élevé, Fawkes prend vos images personnelles et leur apporte de minuscules modifications au niveau des pixels qui sont invisibles à l'œil humain, dans un processus que les chercheurs ont appelé le camouflage d'image. Vous pouvez ensuite utiliser ces photos « masquées » comme vous le feriez normalement, les partager sur les réseaux sociaux, les envoyer à des amis, les imprimer ou les afficher sur des appareils numériques, comme vous le feriez pour toute autre photo. La différence, cependant, est que si et quand quelqu'un essaie d'utiliser ces photos pour créer un modèle de reconnaissance faciale, des images « masquées » enseigneront au modèle une version très déformée de ce qui vous ressemble. L'effet de cette « cape d'invisibilité » n'est pas facilement détectable et ne provoquera pas d'erreurs dans la formation du modèle. Cependant, lorsque quelqu'un essaie de vous identifier en utilisant une image inchangée de vous (par exemple, une photo prise en public) et va tenter de vous identifier, le système n'y parviendra pas.


En savoir plus

L'algorithme ajoute de minuscules modifications indétectables à l’œil nu. Devant les services de reconnaissance faciale les plus avancés tels que l'API Microsoft Azure Face, Amazon Rekognition et l'API Megvii Face Search, l'effet « furtif » de Fawkes a atteint les 100%. Les chercheurs assurent que Fawkes a été testé de manière approfondie et s'est avéré efficace dans divers environnements, en plus de montrer une efficacité à 100% par rapport aux modèles de reconnaissance faciale de pointe.


Ainsi, même si vos photos sur Internet sont récupérées illégalement et vendues pour alimenter une IA, le modèle de visage formé avec ces données ne peut pas vraiment permettre à un algorithme de reconnaître votre visage avec succès.

Le but de cette recherche est d'aider les internautes à protéger efficacement leur vie privée tout en partageant leurs photos. Par conséquent, la « cape d'invisibilité » elle-même doit être « invisible » pour éviter d'affecter l'effet visuel de la photo. Raison pour laquelle la modification mineure est faite au niveau du pixel de la photo pour tromper l'analyse de l'IA.

En fait, pour les réseaux de neurones profonds, certaines petites perturbations avec des balises spécifiques peuvent changer la « cognition » du modèle. Par exemple, en ajoutant un peu de bruit à une image, un système prendra un panda pour un gibbon.


Fawkes profite de cette fonctionnalité. Les chercheurs ont fait une publication technique et proposé en téléchargement les codes source des binaires (sur Windows, macOS et Linux ainsi que sur GitHub pour développement et évaluation).

Fawkes n'est pas la première initiative de cet ordre

Il existe d'autres initiatives comme les projets de « cape d'invisibilité » à UMaryland, dirigés par Tom Goldstein, mais toutes n'ont pas la même perspective. Les éditeurs assurent que Fawkes...