Archives par mot-clé : cybersécurité

Les cybermenaces et l’OTAN 2030 : un nouveau rapport du CCDCOE

Le Centre d’excellence de cyberdéfense coopérative de l’OTAN (CCDCOE), en coopération avec le King’s College London et William & Mary, a publié un nouveau rapport intitulé “Cyber Threats and NATO 2030 : Horizon Scanning and Analysis“.

Le rapport comprend 13 chapitres qui examinent comment l’OTAN peut faire face au mieux aux cybermenaces, ainsi que les possibilités et les défis liés aux technologies émergentes et perturbatrices dans le domaine cybernétique au cours de la prochaine décennie.

PREMIÈRE PARTIE

Le présent rapport aborde les exigences conceptuelles et pratiques et contribue de manière significative aux discussions sur l’OTAN 2030. L’ouvrage est divisé en cinq courtes parties, qui commencent par ” Les adversaires du cyberespace et la réponse de l’OTAN “.

Cette partie s’ouvre sur deux articles consacrés à l’internet et aux cybercapacités russes. Juha Kukkola explore les implications stratégiques des plans russes pour un réseau national fermé, identifiant les avantages défensifs et offensifs pour la Russie dans les asymétries structurelles ainsi promues.

Joe Cheravitch et Bilyana Lilly attirent l’attention sur les contraintes qui pèsent sur la capacité cybernétique de la Russie en raison de problèmes de recrutement et de ressources au niveau national, et suggèrent comment l’OTAN pourrait tirer parti de ces limitations pour atteindre ses propres objectifs en matière de cybersécurité.

Martin C. Libicki et Olesya Tkacheva proposent une nouvelle perspective sur les cyberconflits avec un adversaire comme la Russie, en analysant les possibilités d’escalade horizontale dans d’autres domaines ainsi que d’escalade verticale dans un même domaine, et les conséquences pour la doctrine et la gestion des risques de l’OTAN.

DEUXIÈME PARTIE

La deuxième partie, intitulée ” Les nouvelles technologies et la réponse de l’OTAN “, s’ouvre sur un chapitre consacré à la 5G. Les auteurs proposent une série de mesures que l’OTAN et ses partenaires peuvent mettre en œuvre pour sécuriser les technologies 5G et leurs chaînes d’approvisionnement, notamment des formes de gestion des risques, de normalisation et de certification qui permettront de maximiser les avantages militaires et sociaux de cette nouvelle génération de systèmes mobiles.

À l’aide d’une base de données étendue, Jacopo Bellasio et Erik Silfversten identifient une série de technologies nouvelles et émergentes susceptibles de façonner le futur paysage des cybermenaces et proposent des moyens par lesquels l’OTAN peut se préparer et s’adapter à ces éventualités.

Simona R. Soare et Joe Burton démontrent les vulnérabilités de l’hyperconnectivité à travers le scénario hypothétique d’une ville intelligente soumise à une cyberattaque concertée, en tirant les leçons que l’OTAN doit tirer de la relation entre la sécurité locale et supranationale dans des conditions de haute technologie.

TROISIÈME PARTIE

La troisième partie, intitulée ” Le combat, le domaine cybernétique et la réponse de l’OTAN “, contient deux chapitres consacrés aux opérations multi-domaines (MDO), le concept de combat adopté par l’OTAN.

James Black et Alice Lynch étudient les implications des dépendances en réseau des MDO et la manière dont les adversaires espèrent les exploiter. Ils suggèrent que l’OTAN doit mieux comprendre l’interaction des menaces externes et des vulnérabilités internes pour lutter contre les cybermenaces qui pèsent sur les activités multi-domaines.

Franz-Stefan Gady et Alexander Stronell effectuent une analyse comparative de l’intégration par les Alliés de l’OTAN de leurs cybercapacités aux opérations cinétiques dans le cadre des MDO et formulent des propositions pour améliorer les performances de l’OTAN dans un futur conflit de haute intensité avec un concurrent proche.

QUATRIÈME PARTIE

La quatrième partie, intitulée ” Partage de l’information, renseignement sur les cybermenaces et exercices “, commence par un point de vue du secteur de la cybersécurité, présenté par Michael Daniel et Joshua Kenway de la Cyber Threat Alliance. Ils proposent un programme de partage de la CTI entre l’OTAN et ses parties prenantes, qui vise à corriger certaines des hypothèses erronées des cadres CTI existants.

L’analyse comparative de Chon Abraham et Sally Daultrey sur le partage des CTI au Japon, aux États-Unis et au Royaume-Uni suggère que des facteurs contextuels nationaux peuvent inhiber cette fonction coopérative essentielle et propose une série de changements organisationnels pour y remédier.

Andreas Haggman apporte une contribution méthodologique distincte au débat de l’OTAN sur la cybersécurité en promouvant le wargaming comme un outil permettant d’imaginer et d’anticiper des futurs conflictuels dans leurs diverses dimensions sociales, politiques et techniques.

CINQUIÈME PARTIE

La cinquième partie est consacrée aux “Réponses réglementaires et politiques aux défis de la cybersécurité”. Cindy Whang s’intéresse à la manière dont les régimes de contrôle des exportations devraient être redynamisés pour répondre aux préoccupations en matière de cybersécurité dans l’ensemble de l’Alliance.

Laurin B. Weissinger conclut l’ouvrage en lançant un appel pour que l’OTAN améliore sa compréhension de la complexité des réseaux, notamment par la modélisation des menaces et des attaques, afin de fournir des solutions de cybersécurité plus efficaces et mieux adaptées.

Tous les chapitres de ce rapport ont fait l’objet d’un examen par les paies en double aveugle par au moins deux experts externes.

L’US Air Force se protège contre les attaques EMP

Une base de l’armée de l’air américaine au Texas a pris les premières mesures pour se protéger contre une attaque par impulsion électromagnétique (EMP). Mais qu’est-ce qu’une EMP, et quelle est l’ampleur de la menace ?

Les responsables de la base interarmées de San Antonio à Lackland, au Texas, ont lancé un appel d’offres pour effectuer une étude d’une installation appelée Petroleum, Oil and Lubrication Complex. L’étude permettra d’identifier tout équipement qui pourrait être vulnérable à une EMP avant de procéder à des tests de vulnérabilité plus détaillés, selon la demande. Après cela, les responsables trouveront des moyens de protéger ces équipements en cas d’attaque EMP.

Qu’est-ce qu’une EMP ?

Une EMP est une explosion massive d’énergie électromagnétique qui peut se produire naturellement ou être générée délibérément à l’aide d’armes nucléaires. Bien que de nombreux experts ne pensent pas que les EMP constituent une grande menace, certaines personnes affirment que ces types d’armes pourraient être utilisés pour perturber considérablement les sociétés dépendant de l’électricité.

“Vous pouvez utiliser une seule arme pour effondrer l’ensemble du réseau électrique nord-américain”, a déclaré l’analyste de la défense Peter Pry, qui a fait partie de la commission EMP du Congrès, créée pour évaluer la menace d’attaques EMP mais qui a fermé en 2017.

“Une fois que le réseau électrique tombe en panne, tout s’effondrerait”, a déclaré Pry à Live Science. “Tout dépend de l’électricité : les télécommunications, les transports, même l’eau”.

Selon la demande, les tests à Lackland viennent en réponse à un décret de 2019 émis par l’ancien président Donald Trump, pour que le gouvernement fédéral renforce ses infrastructures contre les EMP. Pry, qui a été consulté sur le projet, a déclaré que l’enquête et les mises à niveau qui en découlent font partie d’une initiative plus large de l’armée de l’air américaine visant à renforcer ses défenses contre ce type de menace.

Pourquoi les EMPs sont si dangereuses ?

Une EMP libère d’énormes ondes d’énergie électromagnétique, qui peuvent agir comme un aimant géant en mouvement. Un tel champ magnétique changeant peut faire bouger les électrons d’un fil à proximité, induisant ainsi un courant. Avec une telle explosion d’énergie, une EMP peut provoquer des surtensions dommageables pour tout appareil électronique se trouvant à proximité.

Selon Pry, si une arme nucléaire explosait dans l’atmosphère, le rayonnement gamma qu’elle libérerait pourrait arracher des électrons aux molécules d’air et les accélérer à une vitesse proche de celle de la lumière. Ces électrons porteurs de charges seraient encerclés par le champ magnétique de la Terre et, en se déplaçant, ils généreraient un courant électrique puissant et fluctuant qui, à son tour, produirait une EMP massif. L’explosion pourrait également déformer le champ magnétique de la Terre, provoquant une impulsion plus lente similaire à une EMP naturel.

Le déclenchement d’une arme nucléaire à environ 300 kilomètres au-dessus des États-Unis pourrait créer une EMP qui couvrirait la majeure partie de l’Amérique du Nord, a déclaré Pry. L’explosion et les radiations de la bombe se dissiperaient avant d’atteindre le sol, mais l’EMP qui en résulterait serait suffisamment puissante pour détruire les appareils électroniques dans toute la région, selon Pry. “Si vous vous trouviez sur le sol directement sous la détonation, vous ne l’entendriez même pas”, a déclaré Pry. “L’EMP passerait inoffensivement à travers votre corps.”

“Nous sommes arrivés à un point où un seul individu peut renverser les piliers technologiques de la civilisation d’une grande zone métropolitaine, tout seul, armé d’un dispositif comme celui-ci”, a-t-il déclaré.

La technologie requise pour se protéger des EMP est similaire à celle qui est déjà utilisée pour prévenir les dommages causés par les surtensions provoquées par la foudre, a déclaré Pry. Ces technologies devraient être adaptées pour faire face à des tensions plus élevées, mais des dispositifs tels que les protecteurs de surtension, qui détournent l’excès de tension vers la terre, ou les cages de Faraday, qui protègent les appareils des rayonnements électromagnétiques, pourraient faire l’affaire.

Pry a déclaré que la Commission EMP a estimé qu’il en coûterait entre 2 et 4 milliards de dollars pour protéger les pièces d’équipement les plus importantes du réseau national, mais qu’il souhaiterait idéalement que les normes soient modifiées de manière à ce que la protection EMP soit intégrée aux appareils.

Spencer Rogers, Live Science, Forbes

Réglementation de la biométrie : Approches globales et questions urgentes

L’AI Now Institute a publié un recueil d’études de cas sur les approches réglementaires de la technologie de reconnaissance biométrique, les leçons tirées et les futures actions de sensibilisation

Dans un contexte de surveillance publique accrue, l’intérêt pour la réglementation des technologies biométriques telles que la reconnaissance faciale et vocale s’est considérablement accru dans le monde entier, sous l’impulsion de la recherche et de la défense des intérêts des communautés. Il se dégage de ce moment un sentiment croissant que des technologies comme la reconnaissance faciale ne sont pas inévitables, et peut-être même pas nécessaires ou utiles.

“Regulating Biometrics: Global approaches and urgent questions”, par Amba Kak, présente huit études de cas détaillées d’universitaires, avocats et experts politiques qui examinent les tentatives actuelles de réglementation des technologies biométriques et donnent un aperçu des promesses et des limites de ces approches. Dans quels domaines la réglementation est-elle capable de déterminer si et comment les technologies biométriques sont utilisées, et dans quels domaines est-elle insuffisante ? En examinant ces questions, ces auteurs experts éclairent les domaines d’engagement, de défense et de réglementation futurs.

Ces essais brossent un tableau du paysage mondial complexe de la réglementation de la biométrie, en mettant en évidence les nombreuses approches adoptées par les partisans de la biométrie, qui réclament un contrôle accru de ces technologies, ainsi que la manière dont les gouvernements ont utilisé la loi comme outil pour étendre ou consolider l’utilisation de la biométrie.

Projet de loi australien sur les services de rapprochement des identités (p.44)

Jake Goldenfein (Faculté de droit de Melbourne) et Monique Mann (Université Deakin) suivent les manœuvres institutionnelles et politiques qui ont conduit l’Australie à créer une grande base de données centralisée de reconnaissance faciale (“The Capability”) à l’usage de divers acteurs gouvernementaux. Ils examinent les échecs de la réglementation pour remettre en cause de manière significative la construction de ce système, voire pour façonner son architecture technique ou institutionnelle.

L’économie (et la pratique réglementaire) que la biométrie inspire : Une étude du projet Aadhaar (p.52)

Nayantara Ranganathan (avocate et chercheuse indépendante, Inde) explique comment le droit et la politique autour du projet indien d’identification biométrique (“Aadhaar”) ont finalement servi à construire des données biométriques comme ressource pour l’extraction de données de valeur par des entreprises privées. Elle explore comment la réglementation a été influencée par les logiques et les cultures du projet qu’elle cherchait à réglementer.

Une première tentative de réglementation des données biométriques dans l’Union européenne (p.62)

Els Kindt (KU Leuven) fournit un compte-rendu détaillé de l’approche du Règlement général sur la protection des données (RGPD) de l’Union européenne en matière de réglementation des données biométriques. Comme de nombreux pays sont sur le point de mettre en œuvre des lois nationales rédigées de manière similaire, elle identifie les lacunes potentielles et souligne les domaines clés pour la réforme.

Réflexion sur la politique biométrique du Comité international de la Croix-Rouge : Réduire au minimum les bases de données centralisées (p.70)

Ben Hayes (Agence AWO, conseiller juridique consultant auprès du Comité international de la Croix-Rouge [CICR]) et Massimo Marelli (chef du Bureau de la protection des données du CICR) expliquent le processus décisionnel du CICR pour formuler sa première politique en matière de biométrie, qui visait à éviter la création de bases de données et à minimiser les risques pour les populations vulnérables dans les contextes humanitaires.

Utilisation par la police de la reconnaissance faciale en live au Royaume-Uni (p.78)

Peter Fussey (Université d’Essex) et Daragh Murray (Université d’Essex), principaux auteurs de l’étude empirique indépendante du procès de la police métropolitaine de Londres sur la reconnaissance faciale en live (LFR-Live Facial Recognition), expliquent comment les normes juridiques et les outils de régulation existants n’ont pas réussi à empêcher la prolifération d’un système dont les effets néfastes ont été démontrés. Ils tirent ainsi des enseignements plus larges pour la réglementation de la LFR au Royaume-Uni et des technologies similaires ailleurs.

Une taxonomie des approches législatives pour la reconnaissance faciale aux États-Unis (p.86)

Jameson Spivack et Clare Garvie (Georgetown Center on Privacy and Technology) écrivent sur les dizaines de lois d’interdiction et de moratoires sur l’utilisation de la reconnaissance faciale par la police aux États-Unis, la plupart d’entre elles menées par des avocats et des organisations communautaires. Les auteurs fournissent une taxonomie détaillée qui va au-delà des grandes catégories d’interdiction et de moratoire, et réfléchissent aux leçons tirées de leur mise en œuvre.

BIPA : La plus importante loi biométrique sur la protection de la vie privée aux États-Unis ? (p.96)

Woodrow Hartzog (Northeastern University) explore les promesses et les pièges de la loi sur la confidentialité des informations biométriques (BIPA) de l’État de l’Illinois et, plus largement, du droit des particuliers à engager leurs propres actions contre des entreprises privées. Il s’interroge sur les limites inévitables d’une loi centrée sur le “consentement éclairé”, un système qui donne l’illusion d’un contrôle tout en justifiant des pratiques douteuses que les gens n’ont pas assez de temps ou de ressources pour comprendre et agir.

Réglementation biométrique ascendante : La réponse de la Communauté à l’utilisation de la surveillance faciale dans les écoles (p.104)

Stefanie Coyle (NYCLU) et Rashida Richardson (Rutgers Law School ; AI Now Institute, NYU) examinent la décision controversée d’un district scolaire de Lockport, New York, de mettre en place un système de reconnaissance faciale et d’objets pour surveiller les élèves. Elles mettent en lumière la réponse de la communauté qui a suscité un débat national et a conduit à une législation à l’échelle de l’État réglementant l’utilisation des technologies biométriques dans les écoles.

Lire le rapport complet (PDF)

Un projet de loi américain vise à interdire l’utilisation de la reconnaissance faciale par la police

Les législateurs américains ont présenté un projet de loi, The Facial Recognition and Biometric Technology Moratorium Act, qui interdirait l’utilisation de la technologie de reconnaissance faciale par les agences fédérales de maintien de l’ordre.

Plus précisément, il rendrait illégal pour toute agence fédérale ou tout fonctionnaire “d’acquérir, de posséder, d’accéder ou d’utiliser” la technologie de surveillance biométrique aux États-Unis. Il exigerait également que les services de police des États et des collectivités locales instaurent des interdictions similaires afin de pouvoir bénéficier d’un financement fédéral.

La proposition de loi est arrivée à un stade où l’utilisation de la technologie de reconnaissance faciale par la police fait l’objet d’une attention accrue dans le cadre des protestations qui ont suivi l’assassinat de George Floyd fin mai. Des études ont montré à plusieurs reprises que la technologie est moins précise pour les Noirs, et au début de cette semaine, le New York Times a rapporté qu’un homme noir innocent du Michigan avait été arrêté après avoir été mal identifié par un logiciel de reconnaissance faciale.

L’activisme fonctionne

La décision de restreindre l’utilisation de la technologie de reconnaissance faciale est en partie due à la pression exercée par les entreprises technologiques elles-mêmes, après avoir été soumises au lobbying des militants pendant des années.

Il y a deux semaines, Amazon a annoncé qu’elle imposerait un moratoire d’un an sur l’utilisation par la police de son système de reconnaissance faciale, Rekognition, après qu’IBM ait décidé de mettre fin à son système de reconnaissance faciale à usage général. Le lendemain, Microsoft a annoncé qu’il cesserait de vendre son système aux services de police jusqu’à ce que la loi fédérale réglemente la technologie.

Il appartient maintenant aux législateurs de décider s’ils peuvent obtenir un soutien suffisant pour l’adopter.

On en sait plus sur les algorithmes de Palantir

UCIPT, CNET, Fortune, MIT

L’UE vient de publier de nouvelles lignes directrices pour réglementer l’IA

Le nouveau livre blanc de l’Union européenne contenant des lignes directrices pour la réglementation de l’intelligence artificielle reconnaît que l’intelligence artificielle peut entraîner la violation des droits fondamentaux, comme la partialité, la suppression de la dissidence et l’absence de vie privée. Il suggère des exigences légales telles que :

– S’assurer que l’IA est formée sur des données représentatives
– L’obligation pour les entreprises de conserver une documentation détaillée sur la manière dont l’IA a été élaborée
– Apporter des informations aux citoyens lorsqu’ils interagissent avec une IA
– Exiger une surveillance humaine des systèmes d’IA

La critique

Les nouveaux critères sont beaucoup plus faibles que ceux suggérés dans la version du livre blanc qui a fait l’objet d’une fuite en janvier. Ce projet suggérait un moratoire de cinq ans sur la reconnaissance faciale dans les espaces publics, alors que celui-ci n’appelle qu’à un “large débat européen” sur la politique de reconnaissance faciale. Michael Veale, professeur en droits numériques à l’University College London, note que la commission adopte souvent des positions plus extrêmes dans les premières ébauches comme tactique politique, il n’est donc pas surprenant que le document officiel ne suggère pas de moratoire. Cependant, il estime que c’est quand même décevant parce que cela fait suite à un rapport tout aussi terne du groupe d’experts de haut niveau sur l’intelligence artificielle, qui a été considéré comme “fortement influencé par l’industrie”.

En attendant, les lignes directrices du document pour l’IA ne s’appliquent qu’aux technologies qu’il considère comme des technologies “à haut risque”, explique Frederike Kaltheuner, chargé de la politique technologique chez Mozilla. Le terme “à haut risque” peut inclure certaines industries, comme le secteur de la santé, ou certains types de technologies, comme la surveillance biométrique. Mais les suggestions ne s’appliqueraient pas à la technologie de la publicité ou à la vie privée des consommateurs, qui, selon Kaltheuner, peuvent avoir des effets importants et qui ne sont pas pris en compte dans le cadre du RGPD.

Le livre blanc n’est qu’un ensemble de lignes directrices. La Commission européenne commencera à élaborer une législation basée sur ces propositions et commentaires à la fin de l’année 2020.

L’UE a également publié un document sur la “stratégie européenne pour les données” qui suggère qu’elle veut créer un “espace européen unique des données” – c’est-à-dire un géant européen des données qui défiera les grandes entreprises technologiques de la Silicon Valley.

L’UE abandonne l’idée d’interdire la reconnaissance faciale dans les lieux publics

Selon le dernier draft de la stratégie de l’UE en matière d’intelligence artificielle vu par Reuters et EURACTIV, l’Union européenne n’est plus intéressée par la possibilité d’une interdiction de la reconnaissance faciale dans les espaces publics ; cependant, il devrait y avoir des “critères clairs” dans le futur déploiement à grande échelle des systèmes d’identification biométriques dans l’UE.

Un précédent projet de la Commission européenne avait évoqué l’idée d’un moratoire pouvant aller jusqu’à cinq ans afin de se donner le temps de réfléchir aux moyens de prévenir les abus.

Selon EURACTIV, le document indique “Cette évaluation dépendra de l’objectif pour lequel la technologie est utilisée et des garanties mises en place pour protéger les personnes. Dans le cas où des données biométriques sont utilisées pour la surveillance de masse, il doit y avoir des critères clairs quant aux personnes qui doivent être identifiées”.

L’utilisation de la reconnaissance faciale dans les investigations policières a suscité des inquiétudes, car les défenseurs des libertés civiles et de la vie privée craignent que cette technologie ne soit utilisée pour une surveillance massive et discriminatoire, violant ainsi les droits des personnes à la confidentialité des données.

Le projet de moratoire faisait partie d’un ensemble de mesures plus larges visant à réglementer l’intelligence artificielle et ses défis, en particulier dans les secteurs à haut risque, tels que les domaines de la santé et des transports. La proposition est actuellement en cours de révision et la Commission a l’intention de la présenter le 19 février.

Au début du mois, le gouvernement américain a dévoilé ses propres lignes directrices en matière de réglementation de l’IA, visant à limiter la portée excessive des autorités et a exhorté l’Europe à éviter les approches agressives.

Le président de Microsoft, Brad Smith, a déclaré qu’une interdiction de l’IA par reconnaissance faciale équivaut à utiliser un hachoir au lieu d’un scalpel pour résoudre des problèmes potentiels, tandis que le PDG d’Alphabet, Sundar Pichai, a exprimé son soutien.

Reconnaissance faciale : L’UE envisage une interdiction jusqu’à cinq ans

La Commission européenne a révélé qu’elle envisageait d’interdire l’utilisation de la reconnaissance faciale dans les lieux publics pour une durée maximale de cinq ans. Les autorités de réglementation veulent disposer de temps pour trouver des moyens d’empêcher les abus de cette technologie.

Cette technologie permet de vérifier en temps réel les visages capturés par les caméras de surveillance en les comparant à des listes de surveillance, souvent établies par la police. Des exceptions à l’interdiction pourraient être faites pour les projets de sécurité ainsi que pour la recherche et le développement.

Selon un projet de livre blanc sur l’intelligence artificielle obtenu par EURACTIV, la Commission a présenté ses plans dans un document de 18 pages, suggérant que de nouvelles règles soient introduites pour renforcer la réglementation existante en matière de droits à la vie privée et aux données.

Elle a proposé d’imposer des obligations aux développeurs et aux utilisateurs d’intelligence artificielle, et a exhorté les pays de l’UE à créer une autorité chargée de contrôler les nouvelles règles. Dans le cadre de l’interdiction, qui durerait entre trois et cinq ans, “une méthodologie solide pour évaluer les impacts de cette technologie et les mesures possibles de gestion des risques pourrait être identifiée et développée”.

Ces propositions font suite à une période de débat public sur la manière de relever les défis futurs de l’intelligence artificielle. Les militants affirment que la technologie actuelle est inexacte, intrusive et qu’elle porte atteinte au droit à la vie privée des individus. Une étude récente a suggéré que les algorithmes de reconnaissance faciale sont beaucoup moins précis pour identifier les visages noirs et asiatiques que les visages blancs.

Les systèmes de reconnaissance faciale sont racistes

Entre-temps, le gouvernement chinois a commencé à mettre en place un système de reconnaissance faciale dans les pharmacies de Shanghai pour les personnes qui achètent certains médicaments. Les personnes qui achètent des médicaments contrôlés, comme ceux qui contiennent des substances psychotropes, seront invitées à vérifier leur identité en balayant leur visage.

Il s’agit de la dernière d’une série de mesures prises par l’État chinois pour empêcher les usagers de mettre la main sur certains médicaments pouvant être utilisés pour produire des drogues illégales.

Le pays est un grand partisan de la reconnaissance faciale, et si l’Occident reste prudent, la Chine continue d’adopter cette technologie.

Euractiv, The Guardian, BBC, Capital

> Reuters : Le PDG d’Alphabet soutient l’interdiction temporaire de la reconnaissance faciale, mais Microsoft n’est pas d’accord.

Les systèmes de reconnaissance faciale sont racistes

Une étude du gouvernement américain confirme que la plupart des systèmes de reconnaissance faciale sont racistes

Près de 200 algorithmes de reconnaissance faciale – la majorité dans l’industrie – ont de moins bonnes performances sur les visages non blancs, selon une étude qui fait autorité. Les résultats saisis dans le rapport, Face Recognition Vendor Test (FRVT) Part 3 : Demographic Effects (NISTIR 8280), sont destinés à informer les décideurs politiques et à aider les développeurs de logiciels à mieux comprendre la performance de leurs algorithmes. La technologie de reconnaissance faciale a inspiré le débat public en partie en raison de la nécessité de comprendre l’effet de la démographie sur les algorithmes de reconnaissance faciale.

Ce qu’ils ont testé :

Le National Institute of Standards and Technology (NIST) des États-Unis a testé chaque algorithme sur deux des tâches les plus courantes de la reconnaissance faciale.

La première, connue sous le nom de comparaison 1 : 1 ou “one-to-one matching”, consiste à faire correspondre la photo d’une personne à une autre photo de la même personne dans une base de données. Elle est utilisée pour déverrouiller les téléphones intelligents ou vérifier les passeports, par exemple.

La seconde, appelée recherche un-à-plusieurs ou “one-to-many”, consiste à déterminer si la photo de cette personne a une correspondance avec une autre dans une base de données. Cette méthode est souvent utilisée par les services de police pour identifier des suspects dans le cadre d’une enquête.

L’agence a étudié quatre ensembles de données sur les visages actuellement utilisés dans les formalités du gouvernement américain : les photos d’identité de personnes vivant aux États-Unis, les photos des personnes qui déposent une demande d’immigration, les photos de demandes de visas et les photos de personnes traversant la frontière américaine. Au total, les ensembles de données comprenaient 18,27 millions d’images de 8,49 millions de personnes.

Pour évaluer la performance de chaque algorithme, l’équipe du NIST a mesuré les deux classes d’erreurs que le programme peut faire : les faux positifs et les faux négatifs. Un faux positif signifie que le logiciel a considéré à tort que des photos de deux personnes différentes montraient la même personne, tandis qu’un faux négatif signifie que le logiciel n’a pas réussi à faire correspondre deux photos qui, en fait, montrent la même personne.

Le NIST a partagé certains résultats importants de l’étude. Voici les principaux :

1. Pour ce qui est de la comparaison 1 : 1, la plupart des systèmes affichaient un taux de faux positifs plus élevé pour les visages asiatiques et afro-américains que pour les visages caucasiens, parfois par un facteur de 10 allant même jusqu’à 100. En d’autres termes, il y avait plus de chances de trouver une correspondance alors qu’il n’y en avait pas.

2. Cela a changé pour les algorithmes de reconnaissance développés dans les pays asiatiques, qui ont produit très peu de différence de faux positifs entre les visages asiatiques et caucasiens.

3. Les algorithmes développés aux États-Unis étaient tous systématiquement mauvais pour faire correspondre les visages asiatiques, afro-américains et amérindiens. Les Amérindiens ont subi les taux de faux positifs les plus élevés.

4. Les systèmes de correspondance un-à-plusieurs présentaient les pires taux de faux positifs pour les Afro-Américains, ce qui fait que cette population est la plus à risque d’être faussement accusée d’un crime.

On en sait plus sur les algorithmes de Palantir

Pourquoi c’est important ?

L’utilisation des systèmes de reconnaissance faciale se développe rapidement dans les domaines de la lutte contre la criminalité, du contrôle des frontières et d’autres applications dans la société. Bien que plusieurs études universitaires aient déjà démontré que les systèmes commerciaux populaires étaient biaisés en fonction de la race et du sexe, l’étude du NIST est l’évaluation la plus complète à ce jour et confirme les résultats antérieurs. Les conclusions remettent en question la nécessité de continuer à utiliser ces systèmes à une aussi grande échelle.

Prochaines étapes :

Il appartient maintenant aux décideurs politiques de trouver la meilleure façon de réglementer ces technologies. Le NIST exhorte également les développeurs de reconnaissance faciale à mener davantage de recherches sur la façon dont ces biais pourraient être atténués.

Qui a besoin de la démocratie quand on a des données ?

Registres distribués, l’évolution de la chaîne de blocs

L’Institut de gouvernance numérique dépose un livre blanc

Après plusieurs mois de travail, l’Institut de gouvernance numérique (IGN) dévoile aujourd’hui son livre blanc, Registres distribués, l’évolution de la chaîne de blocs entourés d’acteurs impliqués et concernés par cette innovation de rupture, dont le Scientifique en chef du Québec, M. Rémi Quirion. Les travaux de ce livre blanc ont été menés par un comité directeur composé d’universitaires, d’entrepreneurs, d’avocats et d’administrateurs publics.

Le livre blanc Registres distribués, l’évolution de la chaîne de blocs vise à éclairer les décideurs publics et la communauté d’affaires sur cette technologie transformatrice. Les registres distribués bouleversent le domaine de l’archivage et de l’échange sécuritaire des informations, des transactions électroniques, des identités numériques, des dossiers patients, etc. Ils amènent des innovations comme les “contrats intelligents” qui permettent d’automatiser des transactions générant des gains de productivité importants pour les organisations et facilitant la vie des consommateurs, membres, clients, citoyens; la technologie est aussi utilisée de plus en plus par des gouvernements et institutions pour la mise en place de mécanismes de votation électronique ou de consultation populaire.

“À l’heure où les vols de données sont un fléau à travers le monde, à la veille de l’arrivée de la connectivité 5G qui décuplera les données en circulation, au moment où s’amorce la révolution de l’intelligence artificielle, la technologie des registres distribués apparaît comme un élément incontournable. Elle devient un nouveau symbole de cette ère numérique qui fait des données une ressource, et de la sécurité des renseignements personnels, une condition de succès”, explique M. Rémi Quirion, Scientifique en chef du Québec et l’un des parrains du projet.

Les registres distribués permettent la décentralisation de la gestion de l’information d’une manière transparente, traçable et inviolable offrant aux États, aux entreprises et aux organisations les plus diverses un moyen d’assurer la sécurité des données et des échanges. “À brève échéance, les registres distribués pourraient devenir l’ossature technologique des transactions numériques à l’échelle mondiale avec un champ d’application illimité”, estime le professeur Kaiwen Zhang du département de génie logiciel de l’École de technologie supérieure.

Le potentiel est tel que l’une des études citées dans le livre blanc, émanant du Forum économique mondial, indique que 10 % du PIB mondial pourrait être stocké dans des registres distribués d’ici 2027.

Ce livre blanc se veut donc un premier pas afin d’aider le Québec à se positionner. Il a ainsi pour objectifs :

• De présenter cette technologie de manière simple;
• D’aider à la compréhension du potentiel transformateur et parfois perturbateur des applications qui en découlent;
• De cerner certains enjeux plus spécifiques au Québec en regard du développement et de l’utilisation des registres distribués;
• De décrire les forces et les faiblesses de l’écosystème québécois en la matière;
• De définir des pistes d’action adaptées à la réalité québécoise pour le développement de cet écosystème.

Le livre blanc recommande notamment au gouvernement du Québec de reconnaître le phénomène des registres distribués comme un enjeu économique et stratégique incontournable et d’agir en conséquence. Le comité directeur recommande ainsi au gouvernement de s’inspirer du modèle mis sur pied avec le Comité d’implantation de la grappe en intelligence artificielle, et de soutenir un groupe réunissant des experts, des entrepreneurs, des universitaires, des investisseurs pour l’aider à déterminer les meilleurs gestes à poser pour soutenir le développement de l’écosystème, développer les connaissances, stimuler l’innovation et lancer des projets pilotes.

Dans cette foulée, l’IGN propose une démarche d’appropriation des registres distribués crédible et concrète, soutenue par des experts, pour faciliter au moyen de cette technologie, la transformation numérique de l’État, de ses institutions et de l’économie. “Pour le Québec, qui est un leader de premier plan dans plusieurs technologies de pointe, qui compte une communauté d’entrepreneurs très dynamique dans les technologies numériques, la maîtrise des registres distribués devient un atout stratégique essentiel pour affirmer notre leadership dans les créneaux de la prochaine vague d’innovations”, soutient M. Jean-François Gauthier, président-directeur général de l’IGN.

Les travaux de ce livre blanc ont été menés par un comité directeur composé d’universitaires, d’entrepreneurs, d’avocats et d’administrateurs publics. L’Autorité des marchés financiers, Québec Blockchain, Catallaxy (une filiale de Raymond Chabot Grant Thornton), Bitfarms, l’Université Laval, l’École de technologie supérieure ainsi que La Capitale ont aussi contribué à l’exercice. Le Scientifique en chef du Québec, Hydro-Québec, le gouvernement du Québec, Finance Montréal et le Hub Saguenay–Lac-Saint-Jean ont rendu possible l’élaboration de ce livre blanc par leurs contributions financières respectives.