Selon des chercheurs présents à la conférence Black Hat sur la sécurité qui se tient cette semaine à Las Vegas (les 3 et 4 août), il sera bientôt possible, à partir d'une photo d'une personne prise avec un smartphone, de connaître, en quelques minutes, son numéro de sécurité sociale, plus une série de données privées, comme ses centres d'intérêts, sa préférence sexuelle et son niveau d'endettement. « La technique consiste à associer les visages d'individus pris au hasard à des images contenues dans des bases de données qui recèlent d'autres renseignements à leur sujet, et d'utiliser cette information pour trouver leurs numéros de sécurité sociale », explique Alessandro Acquisti, professeur à l'Université Carnegie Mellon, chargé de présenter ces recherches à la conférence et interrogé par nos confrères de Network World. Il doit prendre la parole demain jeudi lors d'une des nombreuses sessions proposées à Black Hat USA 2011.

S'il dispose du support logistique nécessaire, Alessandro Acquisti compte même faire la démonstration de cette technique pendant son intervention, en utilisant une application installée sur un smartphone qui exploite des bases de données hébergées dans le cloud et des logiciels de reconnaissance faciale. « La démonstration s'attachera à montrer comment trouver des numéros de sécurité sociale, mais d'autres informations comme la tendance sexuelle et l'endettement peuvent être également déduites », a t-il affirmé.

Ce que permet la surveillance numérique


Selon le chercheur, il s'agit de montrer qu'aujourd'hui, la surveillance numérique offre une passerelle qui permet, à partir de l'image d'une personne, d'accéder à des données personnelles. Selon lui, la technique ne peut aller qu'en s'améliorant du fait de l'évolution des technologies, et à mesure que ces outils de surveillance seront accessibles au plus grand nombre. Avec pour effet une réduction de plus en plus grande de l'espace privé. « C'est, je le crois et je le crains, l'avenir vers lequel nous nous dirigeons », a t-il déclaré. S'il admet que la méthode est loin d'être infaillible, il estime que les éléments pour aboutir à cette technologie se développent rapidement et pourraient être prêts pour être utilisés dans le monde réel dans un avenir prévisible. Il travaille sur des projections afin d'estimer le temps qu'il faudra pour que les technologies concernées soient assez développées pour être suffisamment fiables.

Trois orientations de recherches


Alessandro Acquisti fonde sa présentation sur trois orientations de recherches menées par son équipe. La première part des images postées sur Facebook par les utilisateurs pour faire état de leur identité. L'équipe a comparé les images de Facebook en utilisant les logiciels de reconnaissance faciale de PittPatt pour repérer d'autres photos de la même personne dans une autre base de données, celle d'un service de rencontres en ligne où les personnes s'inscrivent en général sous de faux noms. Une fois que le logiciel a établi le rapprochement, l'équipe a demandé aux intéressés de regarder les photos afin de déterminer le degré de précision du résultat. Ceux-ci ont retenu le meilleur choix réalisé par le logiciel de PittPatt pour chaque photo. Le logiciel a correctement identifié 1 membre sur 10 du site de rencontres, ce qui est, selon les chercheurs, une assez bonne performance compte tenu du fait que l'expérience s'est appuyée sur une photo unique, celle du profil Facebook « pour identifier la personne dont on connaissait l'identité ». En outre, l'étude n'a pris en compte que la meilleure reconnaissance faciale établie par PittPatt. « Si nous avions retenu les deuxièmes et troisièmes choix, cela aurait augmenté la précision », a t-il déclaré.

Dans la seconde expérience, l'équipe de chercheurs a photographié des étudiants au hasard et leur a demandé de répondre à un questionnaire. En attendant, leur photo a été comparée à d'autres bases de données en ligne pour identifier les étudiants en temps réel et trouver d'autres photos d'eux. Ils ont ensuite demandé aux étudiants de vérifier les photos trouvées : dans un cas sur trois, ils ont constaté que le rapprochement était correct.

La troisième expérience, qui est repartie des profils Facebook, a consisté à prédire les cinq premiers chiffres du numéro de sécurité sociale, puis de prédire les centres intérêts et les activités des individus. Cette dernière étape repose sur la mise en oeuvre d'un algorithme de prédiction du numéro de sécurité sociale qu'Alessandro Acquisti avait présenté au Black Hat il y a deux ans. A partir du lieu et de la date de naissance d'une personne, l'algorithme peut trouver les cinq premiers chiffres du numéro. L'algorithme essaye ensuite de deviner les chiffres restants, mais pour l'instant, il lui faut encore effectuer une centaine de tentatives pour obtenir un résultat fiable.