Clearview AI, la startup de reconnaissance faciale aux trois milliards d’images aspirées sur les réseaux sociaux, cela vous rappelle quelque chose ? Après de premiers ennuis juridiques, la voilà confrontée à un nouveau problème de taille. D’après un email consulté par le Daily Beast le 26 février 2020, un « intrus » a volé l’intégralité de la liste des clients de la startup, ainsi que le nombre de comptes utilisateurs créés par chacun d’entre eux, et le nombre de recherches effectuées sur le logiciel. Mais la startup refuse de qualifier l’opération de hack.
Parmi les clients de Clearview se trouvent des poids lourds du renseignement. // Source : WIkimedia Commons
Dans la liste de clients volée se trouve le FBI
Clearview revendique entre 600 et 1 000 clients — selon ses différentes déclarations — parmi les forces de l’ordre américaine, canadienne ou encore indienne. Elle a séduit de petites polices locales comme celles de Green Bay, mais aussi des poids lourds du renseignement comme le FBI et le département de la sécurité intérieure des États-Unis, d’après le New York Times. La startup affirme qu’elle ne vend son logiciel qu’à des représentants des forces de l’ordre, et elle a laissé tomber (sous la pression) son projet de rendre public l’accès à l’application.
« Les failles de données font partie de la vie » se défend Clearview
En revanche, l’entreprise de reconnaissance faciale assure que ses serveurs n’ont pas été attaqués, et que ses systèmes et son réseau ne sont pas compromis. Elle ajoute ensuite qu’elle a réparé la vulnérabilité et que l’intrus n’aurait pas obtenu l’historique de recherche des forces de l’ordre (mais seulement le nombre de requêtes).
Interrogée par le Daily Beast, l’avocate de l’entreprise a tenté de minorer l’ampleur du problème : « malheureusement, les fuites de données font partie de la vie du 21e siècle. Personne n’a accédé à nos serveurs. Nous avons réparé le défaut et nous continuons de renforcer notre sécurité. »
La pile de problèmes s’agrandit pour Clearview
Depuis que le New York Times a pointé ses projecteurs sur Clearview, les ennuis s’accumulent. Twitter et Facebook, sur lesquels la startup se servait en images, ont envoyé des mises en demeure. Dans certains états américains, les consommateurs ont lancé des recours collectifs pour violation des lois sur la vie privée. Quant aux forces de l’ordre, certaines ont découvert l’usage abusif de la technologie par certains de leurs agents, encouragés par la startup.
Ce problème de sécurité pourrait calmer l’intérêt des forces de l’ordre. Elles trouvaient dans Clearview une efficacité inégalée par rapport à leurs propres logiciels de reconnaissance faciale, le tout pour un prix ridicule à leur échelle. Mais si les adresses email professionnelles des agents de la police ou du renseignement aboutissent entre de mauvaises mains, elles pourraient servir à lancer des campagnes massives de phishing. Avec comme objectif final pour les assaillants de déployer un logiciel espion, ou un rançongiciel.
En janvier, le sénateur démocrate Edward J. Markey avait réclamé que l’entreprise lui dresse la liste de ses clients publics comme privés. D’autres se seront donc servis avant, sans le consentement de Clearview.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
