L'IRS, l’agence américaine de collection des impôts, a fait volte-face sur la reconnaissance faciale. Qu'en est-il de l'utilisation du même prestataire par la Social Security Administration ou le California Department of Motor Vehicles ?

Ces dernières semaines, l'Internal Revenue Service (IRS) américain a commis une erreur de jugement manifeste en annonçant un partenariat avec la société d'authentification ID.me afin de mettre en œuvre la reconnaissance faciale pour authentifier les contribuables lorsqu'ils accèdent à leurs comptes IRS. Dans le but de lutter contre la fraude fiscale et l'usurpation d'identité qui rongent le système fiscal américain chaque année, la solution proposée, à savoir l'utilisation de la technologie de reconnaissance faciale pour vérifier l'identité du contribuable, a été assombrie lorsque le PDG d'ID.me, Blake Hall, a admis que les images faciales pouvaient être soumises à une comparaison de type « un à plusieurs » (mieux connu comme étant le one-to-many), plutôt qu’individuellement (La comparaison utilisant le one-to-many utilise une grande base de données d'images par opposition à une comparaison directe avec la seule image stockée de l'utilisateur individuel).

Comme on pouvait s'y attendre, le mouvement de défense de la vie privée s'est emparé de la question de la reconnaissance faciale comme étant une violation du droit à la vie privée des individus et l'IRS a fait marche arrière par rapport à la solution proposée.

Une chaîne de connexion

La conversation s'est centrée sur l'utilisation de la reconnaissance faciale pour valider l'identité, et si je suis sensible à cette cause, je suis également sensible à la nécessité d'améliorer l'authentification pour mettre fin à la fraude fiscale. Le partenaire pour l'authentification, ID.me, a de nombreux contrats avec des gouvernements et des États qui permettent aux titulaires d'un compte ID.me de se connecter. Parmi les autres partenaires notables, citons la Social Security Administration, le US Department of Veterans Affairs, et bien d'autres au niveau des États. Pour moi, le plus pratique est le California Department of Motor Vehicles (DMV).

La commodité d'une solution d'authentification unique pour plusieurs services gouvernementaux, tant au niveau fédéral qu'au niveau des États, présente des avantages : un seul mot de passe, un seul compte, une seule configuration d'authentification multifactorielle, etc. Il suffit de créer un seul compte de confiance avec ID.me pour être opérationnel. Il suffit de créer un compte de confiance unique avec ID.me et vous êtes opérationnel. Attendez - il y a des options, ID.me vous permet de créer un compte en utilisant une identité préexistante de l'un de ses partenaires tels que Facebook (Meta), Google ou LinkedIn, qui sont tous désireux d'être la solution d'authentification unique pour les utilisateurs. Cette situation de proxy crée une chaîne d'authentification : en se connectant au California DMV et en sélectionnant « login with ID.me » (ou me connecter via ID.me), une option s'affiche permettant de saisir mes informations d'identification et mon mot de passe, ou de se connecter en utilisant l'un de leurs partenaires.

Pour tester l'expérience, j'ai créé un compte ID.me, via l'option permettant de connecter un compte Facebook en utilisant Facebook Connect, qui est la solution d'authentification unique de Meta. Je peux maintenant accéder à mon compte DMV en utilisant mes informations d'identification Facebook, via ID.me. Pensez-y en termes logiques : Facebook approuve ma connexion à ID.me, puis ID.me approuve ma connexion à CA-DMV.

   

Par curiosité, j'ai poussé cette chaîne de connexion un peu plus loin, en connectant un compte LinkedIn. J'ai créé un compte LinkedIn en utilisant l'option permettant de lier mes informations d'identification uniques de Google. J'ai ensuite connecté le compte LinkedIn au compte ID.me et supprimé l'association avec Facebook. Je me suis connecté à LinkedIn en utilisant l'option de connexion Google, puis j'ai ouvert mon compte ID.me et j'ai pu accéder à mon compte DMV. Si quelqu'un lisant ceci a déjà eu affaire à la ligne d'assistance DMV, pouvez-vous imaginer expliquer la chaîne de connexion - Google, LinkedIn, ID.me, puis finalement le DMV ? Si vous avez un problème d'accès à votre compte, le représentant peut vous remettre en attente indéfiniment.

Les données de mes amis

En tant que défenseur de la vie privée, j'ai également lu la très longue politique de confidentialité d'ID.me (version 6.3.1., mise à jour le 4 février 2022) pour vérifier les autorisations que j'ai accordées à ID.me lorsque j'ai accepté la politique lors de la création du compte. L'article 11.4 stipule : « S'il existe des informations sur les "amis" de l'utilisateur ou sur les personnes auxquelles l'utilisateur est associé via le compte Facebook, les informations que nous obtenons sur ces "amis" ou personnes auxquelles l'utilisateur est associé peuvent également dépendre des paramètres de confidentialité de ces personnes sur Facebook ». Par défaut, la liste d'amis d'un compte Facebook est accessible au public.

Extrait de la politique de confidentialité d'ID.me

Paramètres par défaut de Facebook

Dans le but de simplifier la connexion et d'améliorer la sécurité des agences fédérales et des agences d'État, pourquoi la société fournissant ces services déclarerait-elle qu'elle peut, si les autorisations de Facebook sont toujours par défaut, collecter des informations sur mes amis et à leur sujet ? Qu'elle le fasse ou non n'est pas pertinent - l'autorisation est accordée par l'utilisateur lorsqu'il accepte la politique de confidentialité, et l'intention de le faire doit être présente. Dans le cas contraire, pourquoi l'indiquer dans la politique ? Cela soulève une question intéressante en matière de protection de la vie privée : les données personnelles dérivées de ma liste d'amis sont-elles classées comme des données non personnelles ou personnelles ? Si c'est le cas, leur partage avec des tiers est moins restreint et elles peuvent éventuellement être partagées.

Cette volonté de s'emparer des données des amis peut s'expliquer si l'on tient compte des autres services proposés par ID.me - par exemple, des achats à prix réduits, ce qui n'est pas souvent associé à une société spécialisée dans l'authentification sécurisée. En tant qu'utilisateur d'ID.me, vous avez accès à des remises basées sur l'âge ou la profession chez les détaillants. Ces remises sont des relations d'affiliation génératrices de revenus entre ID.me et les détaillants et semblent fonctionner de la même manière que la plupart des relations d'affiliation sur Internet - vous êtes transféré vers le site du détaillant grâce à un identifiant d'affiliation dans l'URL ou par le biais d'un cookie par l'introducteur, en l'occurrence ID.me, ce qui lui rapporte une commission sur votre transaction.

Je m'attends, comme beaucoup d'autres, j'en suis sûr, à ce qu'une entreprise d'authentification sécurisée qui souhaite devenir le partenaire de confiance des agences gouvernementales pour sécuriser l'accès à des données extrêmement sensibles et personnelles se concentre sur une seule chose : l'authentification sécurisée. Tenter de monétiser la relation avec le consommateur qui a été poussé, peut-être même obligé, de créer un compte afin d'accéder au système d'une agence fédérale ou d'un État, par le biais d'une activité secondaire telle que des achats à prix réduit, ne me remplit pas d'un sentiment chaleureux et de confiance. En fait, cela me semble étrange.

Il est clairement nécessaire de disposer d'une connexion sécurisée et vérifiée pour réduire la fraude et le vol d'identité. La volte-face de l'IRS devrait toutefois inciter toutes les agences fédérales et d'État à faire preuve de beaucoup de considération et de réflexion, non seulement pour la vie privée de l'individu, mais aussi pour un partenaire qui s'engage à offrir un sentiment de sécurité et de confiance à l'utilisateur. Une connexion via mes comptes LinkedIn ou Facebook pour accéder à mon compte DMV, sans parler de mon compte de l'administration de la sécurité sociale, ne permet pas d'atteindre cet objectif.