La semaine dernière, lorsque Mark Zuckerberg a été auditionné par le comité américain de l’énergie et du commerce à la suite du scandale Cambridge Analytica, il a essayé de décrire la différence qui existe entre « la surveillance et ce que nous faisons » : « Cette différence est très claire. Sur Facebook, vous pouvez contrôler vos informations. C’est vous qui choisissez les informations que nous pouvons collecter ».

Mais aucun des membres du comité n’a questionné le PDG milliardaire sur les sociétés de surveillance qui exploitent les données de Facebook pour leur propre compte. Forbes a découvert un cas qui aurait pu choquer le comité : depuis cinq ans, une société discrète de surveillance fondée par un ancien officier des services de renseignement israéliens assemble une immense base de données pour un système de reconnaissance faciale, en collectant des visages sur le réseau social, YouTube et de nombreux autres sites internet. Les militants de la cause de la protection des données personnelles sont sur le pied de guerre.


Cette base de données représente le socle d’un service de reconnaissance facial nommé Face-Int. Il est désormais détenu par le vendeur israélien Verint, qui l’a racheté à son créateur Terrogence en 2017. Ces deux entreprises ont longtemps fourni des services au gouvernement américain, comme une technologie d’espionnage de pointe pour la NSA, la marine et de nombreuses agences de sécurité et de renseignement.

Comme le précise Terrogence sur son site internet, la base de données regroupe des profils de milliers de suspects collectés sur différentes sources, notamment YouTube, Facebook et de nombreux forums dans le monde entier. « Ces visages sont extraits de près de 35 000 vidéos et photos de camps d’entraînement de terroristes, de clips promotionnels et d’attaques terroristes ». Cette page marketing était déjà en ligne en 2013, selon les archives internet de Wayback Machine, ce qui indique que ce produit a au moins cinq ans. L’âge de ce produit laisse également entendre que bien plus de 35 000 vidéos et photos ont été scannées par Face-Int depuis. Le cofondateur et responsable de la recherche de Terrogence, Shai Arbel, a refusé de commenter ces chiffres.


 

Mettre en avant l’enjeu de la reconnaissance faciale

Bien que la principale activité de Terrogence soit d’aider les services de renseignement et les autorités policières à combattre le terrorisme en ligne, les profils LinkedIn des employés actuels ou passés, indiquent également un certain engagement politique. Une ancienne employée indique par exemple, que lorsqu’elle était analyste chez Terrogence, elle conduisait des « opérations de gestion de perception publique pour des clients gouvernementaux étrangers ou intérieurs », et qu’elle utilisait « les pratiques de renseignement open source, ainsi que des méthodes d’ingénierie des réseaux sociaux, afin d’enquêter sur des groupes sociaux ou politiques ».

Il reste maintenant à savoir quelles méthodes ont été utilisées par Terrogence pour recueillir tous ces visages sur Facebook et d’autres sources. Cependant, il est évident que Terrogence fait partie des sociétés qui ont frauduleusement su tirer profit de l’ouverture d’esprit de Facebook. Cela n’est pas sans rappeler l’affaire Cambridge Analytica, qui a obtenu des informations sur 87 millions d’utilisateurs de la plateforme en 2014, via un chercheur installé au Royaume Uni, Aleksandr Kogan, pour faciliter les campagnes électorales de Donald Trump et Ted Cruz.

« Cela fait ressortir l’enjeu de la reconnaissance faciale et augmente la possibilité de conséquences négatives », prévenait Jay Stanley, analyste politique pour l’union américaine pour les libertés civiles (ACLU). « Les systèmes de reconnaissance faciale sont sur le point d’envahir notre quotidien, nous devons donc réfléchir aux conséquences de ce changement. Si les entreprises privées obtiennent des photos et les combinent pour établir un jugement sur ces personnes, si vous êtes susceptible d’être terroriste, pickpocket ou autre, alors tout le monde encourt le risque d’être mal identifié, ou d’être victime d’une méprise ».

Jennifer Lynch, avocate senior pour Electronic Frontier Foundation, explique que si la base de données pour la reconnaissance faciale était partagée avec le gouvernement américain, les droits des utilisateurs de réseaux sociaux en matière de liberté d’expression et de protection des données personnelles seraient alors menacés. « Il est extrêmement difficile d’appliquer de manière efficace ce système de reconnaissance faciale à des vidéos, et nous savons que cette technologie fonctionne très mal sur les peaux noires et plus particulièrement avec les femmes, précise Jennifer Lynch. À cause de ces deux lacunes, l’utilisation de cette technologie pourrait conduire à des méprises en identifiant les mauvaises personnes ».

« Cela pourrait affecter les déplacements et menacer les droits civils de dizaines de milliers de voyageurs en règle, qui devront alors prouver qu’ils ne sont ni terroristes ni criminels, contrairement à ce qu’affirme le système ».

La méthode utilisée par Face-Int pour récupérer des visages n’est pas encore très claire, bien qu’elle semble similaire à celle d’un projet conduit par la NSA, révélé par le lanceur d’alertes Edward Snowden en 2014. L’agence de renseignement avait rassemblé 55 000 images de reconnaissance facile de haute qualité sur internet en 2011. Shai Arbel, le cofondateur de Face-Int, un ancien membre des services de renseignements pour l’armée israélienne, a refusé de répondre aux questions portant sur le fonctionnement de cette technologie, bien qu’il ait qualifié Face-Int de « génial », et qu’il ait confirmé qu’elle continue de fonctionner depuis le rachat de l’entreprise par Verint.

Facebook utilise sa propre technologie de reconnaissance faciale pouvant identifier les visages des utilisateurs sur les photos présentes sur le plateforme. Un porte-parole de l’entreprise a rapporté que Terrogence ne respecterait pas la politique de Facebook, notamment l’interdiction de ponctionner des données de la plateforme si elles doivent par la suite être utilisées par des services de renseignement. Facebook interdit également d’accéder ou de collecter des données via des méthodes automatisées. Le porte-parole a cependant tenu à dire qu’aucune application Facebook n’était gérée par cette entreprise.

 

Le contrôle du réseau social

Il n’existe actuellement pas de preuves que le gouvernement américain utilise Face-Int, mais il a pu bénéficier par le passé d’autres services conçus par Terrogence. En effet, l’entreprise a vendu au moins deux applications à la marine américaine pour une valeur de 148 000 $ (120 000 €) chacune. Achetées respectivement en 2014 et 2015, il s’agit de Mobius et TGAlertS.

Mobius regroupe les dernières tendances en matière d’appareils explosifs artisanaux employés pour les attaques terroristes. Ces informations reposent sur des données récupérées sur différentes plateformes de réseaux sociaux « où les organisations terroristes recrutent, radicalisent et organisent de nouvelles attaques », selon la brochure du produit. De son côté, TGAlertS fournit un aperçu en temps réel des informations concernant des problèmes urgents rapportés par les employés de Terrogence qui quadrillent la toile.

Ces employés regroupent des informations en partie grâce à de faux profils. Comme l’explique une autre brochure, ils « obtiennent des informations en orientant soigneusement des discussions en ligne, en suscitant l’intérêt et en facilitant la communication en employant diverses identités virtuelles pour une même opération ».

On est loin des premiers pas de Shai Arbel dans le secteur des renseignements. Il est cofondateur de SenseCy, qui a été achetée par Verint en 2017. Cette entreprise utilise également des identités virtuelles pour obtenir des renseignements. « Perfectionnée grâce à des années d’entraînement, SenseCy gère des dizaines d’identités virtuelles, qui présentent des histoires solides et plausibles à l’aide de méthodes de communication élaborées, qui permettent d’obtenir des renseignements inestimables sur toutes les plateformes pertinentes ». Curieusement, cette entreprise semble davantage centrée sur la cybersécurité que sur les renseignements gouvernementaux.

 

La publicité des blacklists

Si, en effet, Terrogence ne se focalise pas seulement sur le terrorisme, et que l’entreprise s’implique politiquement, alors son système de reconnaissance faciale pourrait balayer de nombreuses personnes. Cela soulève un autre aspect particulièrement inquiétant des activités de Terrogence : le début de la mise à disposition des blacklists, qui inquiète particulièrement Jay Stanley. « Nous nous battons depuis des années avec le gouvernement pour la gestion de ces listes. Des personnes sont parfois ajoutées à ces listes sans même savoir pourquoi ou dans quel but ces listes sont utilisées ».

« Ces problèmes pourraient s’intensifier si les entreprises privées commencent à faire leurs propres blacklists ». Par exemple, ce mois-ci, Verint a sorti un produit de reconnaissance faciale entièrement indépendant, FaceDetect. Il promet de pouvoir identifier des individus « même avec seulement une partie du visage, malgré le vieillissement, un camouflage ou leurs origines », en plus de permettre « aux opérateurs d’ajouter immédiatement des suspects à la liste ».

Jay Stanley remet également en question la politique de Facebook en matière de contrôle des photos de profil. Le réseau social dispose de la plus grande collection de visages au monde, et pourtant les photos de profil ne peuvent pas être entièrement protégées. Un porte-parole de Facebook a précisé que les photos de profil sont toujours publiques, mais qu’il est possible de modifier les paramètres des photos de profil précédentes pour qu’elles ne soient plus visibles par les autres utilisateurs.

Les groupes de défense des informations privées, tels que ACLU, veulent que les utilisateurs puissent contrôler entièrement ces images. Étant donné le récent scandale impliquant Cambridge Analytica, il serait souhaitable que ces changements soient opérés rapidement.