PimEyes, une petit site polonais, vous propose de trouver sur le web toutes les photos similaires à une photo que vous lui confiez. Comme de nombreuses apps de reconnaissance faciale, le nombre de dérives potentielles effraie.

« Téléchargez votre photo et trouvez où votre image apparaît en ligne. Commencez à protéger votre vie privée. » Avec son slogan, l’outil de reconnaissance faciale PimEyes affiche une devanture de défenseur de la vie privée.

Son fonctionnement est enfantin : connectez-vous au site, acceptez les conditions d’utilisation, puis téléchargez une photo de vous (ou de quelqu’un d’autre). Le moteur de recherche affichera toutes les photos qu’il pense être de la même personne. Il analyse les données biométriques (la forme du visage) de votre photo, puis parcourt le web à la recherche de données similaires. Vous retrouverez donc des photos de vous ou de personnes qui vous ressemblent.

PimEyes peut donc, en théorie, vous alerter lorsqu’une nouvelle photo de vous est publiée en ligne. Et c’est ainsi qu’il se présente publiquement. Mais dans les faits, les dérives potentielles de l’outil dépassent largement ces bienfaits, d’autant plus que l’entreprise polonaise n’a pas mis en place les garde-fous suffisants.

Imaginez un instant : un homme croise une femme qui lui plait dans les transports en commun. Il l’aborde, elle le repousse. L’homme se vexe, s’éloigne, mais parvient tout de même à prendre une photo d’elle avec son smartphone, discrètement, par-dessus l’épaule d’un autre passager. Il la télécharge sur PimEyes, et trouve d’autres photos d’elle, avec le contexte dans lequel elles ont été prises. En quelques clics sur différentes réseaux sociaux, il a pu retrouver son identité, et éventuellement obtenu des informations sur son travail, ses loisirs et toutes sortes d’informations personnelles. Il peut entamer un harcèlement documenté et ciblé, et cela à partir d’une seule photo volée. Certes, il violera les conditions d’utilisation de l’app, mais personne ne le saura.

Voilà un des nombreux scénarios catastrophes, réalisable à l’insu de la victime, auxquels PimEyes expose toute personne. Pour vérifier à quel point l’app s’approche de la catastrophe dystopique, je l’ai testée, donnant — à contre-cœur, mais en connaissance de cause — plusieurs photos à l’outil.

Bilan : si PimEyes est effrayant, il n’est pas encore assez précis et puissant pour engendrer une catastrophe généralisée. Mais il ouvre une porte malsaine dans laquelle d’autres entreprises plus solides pourraient s’engouffrer.

PimEyes, inquiétant tant qu’on est de face

J’ai donné à l’app polonaise toute une collection de photos de moi, prises au smartphone. À chaque nouvelle photo, l’outil isole mon visage du reste de l’image pour effectuer sa recherche. Lorsque je suis de face, et à moins de 3 mètres, il parvient à récupérer entre 8 et 11 photos différentes de moi. La plupart viennent du site de Numerama, une semble venir de Twitter, d’autres du site de mon ancien employeur. Difficile de savoir réellement la source : pour connaître l’adresse précise de l’image, il faut sortir la carte de crédit et payer 16,79 par mois. Mais même dans sa version gratuite, PimEyes donne suffisamment d’informations pour que n’importe qui puisse retrouver a minima mon identité et ma profession à partir d’une photo volée dans la rue. Inquiétant.

J’ai ensuite essayé de pousser un peu l’application pour voir ses limites, mais je n’ai pas eu besoin d’aller bien loin dans mes prises de vue. Une photo de profil ? Raté, l’app ne me reconnaît pas. En me plaçant à 5 mètres de l’objectif ? Encore loupé. En mettant des lunettes ? Beaucoup moins de résultats. PimEyes ne cache pas ces lacunes dans son tutoriel « comment avoir de bons résultats de recherche » : il conseille d’effectuer la recherche à partir d’une image de face, de bonne qualité et sans accessoire. Cette limitation technique limite, en partie, certains usages malveillants.

Des dérives à portée de clic

Pour finir mon test, j’ai regardé quels résultats l’app était capable de trouver avec des photos de personnes de mon entourage moins exposées publiquement que moi. J’ai bien sûr recueilli leur consentement au préalable. Dans certains cas, je ne trouvais aucune image d’eux, car PimEyes ne sillonne que partiellement le web. À l’inverse de Clearview, qui aspire les images publiques des réseaux sociaux, l’app polonaise semble se limiter à certains sites et blogs. Elle aura donc des difficultés à retrouver des personnes qui n’ont pas une vie en ligne très documentée. Des photos publiques sur Instagram ou Facebook n’apparaîtront pas systématiquement sur PimEyes, bien que j’en ai trouvé quelques rares exemples.

En revanche, l’app semble indexer correctement plusieurs sites pornographiques. En plus d’éventuels résultats corrects, PimEyes affiche des photos d’autres personnes — en très grande majorité d’Europe de l’Est — avec un niveau de ressemblance noté sur 5. Avec les photos de femmes que nous avons testées — de vraies personnes et de personnes qui n’existent pas –, quasi systématiquement des images pornographiques apparaissent dans les résultats. Le phénomène est bien moins courant avec les photos d’hommes.

Comme One Zero le rappelle, d’autres apps de reconnaissance faciale accessible au grand public ont déjà ouvert la boîte de Pandore. En 2016, un outil russe, FindFace, proposait de trouver des femmes ressemblantes à « une célébrité » ou « à son ex », puis de les contacter. Cette entreprise s’est depuis recyclée dans l’industrie de la surveillance… Mais c’est le genre de fonctionnalité glauque que pourrait permettre PimEyes s’il était plus précis.

Le danger d’un PimEyes suffisamment puissant plane

La technologie de reconnaissance faciale de PimEyes n’a donc rien de révolutionnaire. C’est un algorithme de « deep learning », comme il en existe des milliers, relativement peu performant. Dans sa FAQ, l’entreprise polonaise précise : « PimEyes se concentre uniquement sur les visages (…). Notre moteur ne compare pas les coiffures, seuls les traits du visage importent. » Leur algorithme tire de l’image certains paramètres comme l’écartement des sourcils, l’épaisseur de la bouche ou la forme du menton. Il va les traduire en paramètres statistiques, puis il va comparer ceux d’autres images en ligne.

D’autres outils de reconnaissance faciale, comme ceux de Clearview, sont encore plus inquiétants, car bien plus précis. Ils sont capables d’identifier des personnes à partir de photo en basse qualité, ou de seulement une partie du visage. Sauf qu’à l’inverse de PimEyes, Clearview n’est pas accessible au grand public. Son éventuel usage malveillant est donc limité à un faible nombre d’utilisateurs (le problème étant qu’il s’agit des forces de l’ordre).

PimEyes propose publiquement et gratuitement une technologie dangereuse, mais facile à reproduire. Des groupes comme Google ou Microsoft (via Bing), capables d’élaborer des outils bien plus puissants, se contentent de mettre à disposition des outils de recherche inversée limités : ils comparent à partir de la composition des images, mais ignorent les données biométriques. Ce qui les rend moins précis… et moins dangereux.

En garanties de l’usage légal de l’app, trois cases cochées

Si PimEyes ne se distingue pas techniquement, il se démarque par ses faibles considérations éthiques. Lorsque vous vous apprêtez à utiliser l’application, un message s’affiche avec trois cases à cocher. Il faut accepter : les conditions d’utilisation du site (un classique), « e traitement de [ses] données biométriques (…) afin de rechercher sur Internet les photos qui contiennent [son]visage », et enfin confirmer qu’il s’agit bien de soi sur la photo. Et c’est tout.

Une fois ces cases cochées, vous avez porte ouverte pour un usage illimité de l’app, même en tant qu’utilisateur non enregistré et donc anonyme. Vous vous en doutez, aucune barrière technique n’empêche de chercher une photo de quelqu’un d’autre, malgré l’engagement de façade. L’offre payante de l’app s’appuie d’ailleurs sur la possibilité d’avoir un système d’alerte sur 25 photos différentes…

Pour se protéger, PimEyes se présente — à juste titre — comme un moteur de recherche, qui ne télécharge pas les données privées des utilisateurs. Cette distinction lui permet de se dédouaner de certains problèmes. À la question « que faire quand je trouve une photo utilisée sans ma permission ? », l’entreprise polonaise répond par exemple qu’il faut contacter le site qui héberge la photo.

Un utilisateur peut tout de même demander à ce qu’une des photos soit désindexée de PimEyes en « signalant un abus ». Il lui suffit d’indiquer un email et la « raison de la suppression. » Et la petite société semble s’en contenter. Interrogé par la BBC, PimEyes déclarait : « notre politique de vie privée empêche les personnes d’utiliser notre outil à des fins malveillantes, avant de minimiser tout dommage causé par une généralité,Tout outil pourrait être utilisé de la mauvaise manière. » Quand la mauvaise manière mène tout droit à des scénarios dystopiques, peut-être faut-il discuter de la nécessité de l’outil, avant de le publier.

Crédit photo de la une : Matrix À propos d'ExpressVPN ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché. Plus d’informations sur la solution VPN d'ExpressVPN