Non, FaceApp ne prend pas des photos de votre visage pour les envoyer à la Russie à des fins machiavéliques. Du moins c’est ce que suggèrent les preuves à ce jour.

Après avoir fait le buzz en 2017 et avoir rassemblé plus de 80 millions d’utilisateurs actifs, sa popularité explose à nouveau grâce au fameux FaceApp Challenge, dans lequel des célébrités (et à vrai dire tout le monde) ajoutent des années à leur visage avec le filtre vieillissant de l’application. Celle-ci utilise l’intelligence artificielle pour afficher sur votre iPhone ou smartphone Android une évocation de ce à quoi vous pourriez ressembler dans quelques dizaines d’années.

Mais un tweet avait déclenché une petite panique sur Internet cette semaine, lorsqu’un développeur avait averti les internautes que l’application pouvait prendre toutes les photos de leur téléphone et les télécharger sur ses serveurs sans aucune permission explicite de l’utilisateur.

L’auteur du tweet, Joshua Nozzi, avait par la suite indiqué qu’il avait voulu donner l’alerte sur le fait que FaceApp avait accès à toutes les photos, même si l’application ne les envoyait pas sur un serveur détenu par l’entreprise russe.

Une tempête dans un verre d’eau ?

Tout cela s’avère finalement être un autre de ces moments propres au Web que l’on pourrait qualifier de « beaucoup de bruit pour rien ». Un chercheur en sécurité exerçant sous le pseudonyme de Elliot Alderson (de son vrai nom Baptiste Robert) a téléchargé l’application et vérifié la destination que prenait les visages des utilisateurs. Le cyber-expert français a alors découvert que FaceApp transmettait aux serveurs de la société uniquement les photos envoyées – c’est-à-dire celles que vous autorisez à être transformées par le logiciel.

Et où sont donc basés ces serveurs ? Pour la plupart aux États-Unis, et non en Russie. Un coup d’œil rapide aux registres d’hébergement a confirmé à Forbes que c’était effectivement le cas : les serveurs de FaceApp.io sont basés dans les centres de données Amazon aux États-Unis. L’entreprise a indiqué à Forbes que quelques-uns des serveurs étaient également hébergés par Google, dans d’autres pays dont l’Irlande et Singapour. En outre, comme le fait remarquer Alderson, l’application utilise aussi un code tiers lui permettant d’accéder à ses serveurs, mais là encore, ces derniers sont basés aux États-Unis et en Australie.

Bien entendu, étant donné que la société de développement se trouve à St Pétersbourg, les visages seront vus et traités en Russie. Il est en effet possible que les données de ces centres Amazon soient renvoyées à des ordinateurs en Russie. Il est encore impossible de savoir dans quelle mesure les employés de FaceApp ont accès à ces images, et Forbes n’a encore reçu aucun commentaire de la part de la société à propos de ce qu’elle fait des visages enregistrés.

Par conséquent, et bien que les renseignements ou la police russes pourraient exiger de FaceApp qu’elle leur fournisse des données, ces derniers rencontreraient bien plus de difficultés s’ils cherchaient à obtenir ces informations de la part d’Amazon aux États-Unis

Permission d’atterrir sur votre téléphone

Au final, doit-on s’inquiéter pour sa vie privée ? FaceApp pourrait fonctionner différemment. L’application pourrait, par exemple, traiter les images directement sur le téléphone plutôt que d’envoyer les photos enregistrées sur un serveur extérieur. Comme l’a fait remarquer Will Strafach, chercheur en sécurité iOS : « Je suis certain que ça dérange beaucoup de gens. »

Il n’est pas certain que la qualité de traitement des photos par l’intelligence artificielle de FaceApp directement sur les appareils soit aussi bonne que sur des serveurs plus puissants.  FaceApp améliore ses algorithmes de modification du visage en apprenant des photos que les utilisateurs envoient. Cela pourrait être fait sur un smartphone ou une tablette, plutôt que sur un serveur, étant donné que des fonctionnalités de machine learning sont disponibles sur Android et iOS ; mais il est possible que FaceApp veuille continuer à utiliser ses propres ordinateurs pour entraîner son intelligence artificielle.

Les utilisateurs étant inquiets (et c’est compréhensible) du fait que l’application ait la permission d’accéder à n’importe laquelle de leurs photos, enregistrées dans l’application ou non, devraient probablement jeter un œil à tous les outils présents sur leur smartphone. Il est probable que beaucoup d’entre eux aient accès aux photos et à bien d’autres choses encore. À tous vos déplacements, par exemple, grâce à la géolocalisation. Pour modifier les permissions de vos applications, il vous faut soit les désinstaller, soit vous rendre dans les paramètres de votre iPhone ou Android et changer ce à quoi les outils utilisant des données ont accès.

La réponse de FaceApp

Forbes a contacté le fondateur de FaceApp, Yaroslav Goncharov, qui avait publié une déclaration ce mercredi matin. Il avait déclaré que les données des utilisateurs n’étaient pas transmises à la Russie et que « la plupart des photos sont traitées dans le cloud. »

 « Nous téléchargeons uniquement les photos sélectionnées par les utilisateurs pour l’édition de celles-ci. Nous ne transférons jamais aucune autre image du téléphone vers le cloud, » avait ajouté Goncharov.

 « Il est possible que nous stockions dans le cloud une photo enregistrée. La principale raison pour ceci est un souci de performance et de trafic : nous voulons être certains que l’utilisateur n’enregistre pas la même photo plusieurs fois de suite pour chaque opération d’édition. La plupart des images sont supprimées de nos serveurs dans un délai de 48 heures à partir de la date de téléchargement. »

Il a indiqué que les utilisateurs peuvent également demander que toutes leurs données utilisateur soient supprimées. Et ils peuvent effectuer cette demande en allant dans les paramètres, puis dans « aide », et choisir de signaler un problème, en prenant soin d’utiliser les termes « vie privée » dans l’objet du message. Goncharov a mentionné que cela aiderait à accélérer le processus.

Il a finalement ajouté : « Nous ne vendons ni ne partageons aucune donnée utilisateur à aucun tiers. »