reportage

Quand votre smartphone se connecte à votre cerveau

La Commission européenne a évacué la délicate question de l’usurpation de l’identité sur la technologie de reconnaissance faciale. Le problème prend pourtant de l’ampleur. Une technologie belge, développée dans la Silicon Valley, pourrait changer la donne, et bouleverser toute l’économie numérique.

Elena*, avocate, se souviendra toute sa vie de ce coup de téléphone. Au bout de la ligne, une banque en ligne. Elle confie à l’agent son étonnement de recevoir un courrier mentionnant une carte de crédit émise à son nom sur un compte en ligne et reprenant le décompte de dépenses diverses: des locations de voiture, des nuits d’hôtel, des billets d’avion. Étant donné qu’elle n’a jamais ouvert ce compte, et qu’elle n’a jamais effectué ces dépenses, elle pose la question: peut-on cesser de m’envoyer ce genre de courrier? Impassible, l’agent lui répond: vous ne pouvez pas le nier, Madame, j’ai votre photo sous les yeux qui atteste que c’est bien vous qui avez effectué ces dépenses avec la carte de crédit émise sur votre compte, via notre service en ligne de reconnaissance faciale. Pas de doute, le compte a été ouvert par un pirate qui a usurpé l’identité d’Elena et a ouvert un compte online sans qu’elle n’en soit avertie. Le constat est sans appel: son identité faciale a été volée.

Une mésaventure qui pourrait ne pas être isolée. Lorsqu’en 2017, Samsung a fièrement annoncé l’équipement de reconnaissance faciale disponible sur son modèle S8, les utilisateurs ont eu la mauvaise surprise de constater qu’avec une simple photo d’eux-mêmes, ils pouvaient débloquer leur GSM. Une faille que l’entreprise n’a jamais réussi à contourner dans les modèles qui ont suivi. À l’utilisateur de prendre le risque en connaissance de cause.

Le problème est-il fréquent en Belgique? "Nous n’avons pas connaissance de cas de ce genre, nous dit Olivier Bogaerts, commissaire responsable de la prévention à la Computer Crime Unit. Mais cela ne veut pas dire qu’il n’y en a pas. Selon une analyse l’année passée sur les tendances 2017-2018, seuls 20% des victimes viennent déposer une plainte chez nous lorsqu’ils font face à une cyberattaque." L’année passée, la Computer Crime Unit a lancé une alerte sur tous les smartphones utilisant la technologie Android, reprenant à son compte l’étude du laboratoire G-Data. L’étude en question signalait l’existence d’un "cheval de Troie" qui, une fois installé sur le smartphone, permettait de pirater l’historique WhatsApp et d’atteindre les données sur la caméra du téléphone.

La Commission préfère évacuer le problème

La reconnaissance faciale n’est pas la seule avancée technologique qui présente, dès son origine, de sérieuses failles. Des chercheurs de Tencent ont récemment démontré qu’il ne fallait que 20 minutes pour copier les empreintes digitales déposées sur un verre, afin de pirater le smartphone de leur propriétaire. Une rapidité qui donne froid dans le dos, particulièrement en Belgique où les communes ont déjà commencé à intégrer ces données biométriques sur les cartes d’identité. "Si vous vous faites hacker votre empreinte digitale, ce n’est pas encore trop grave, il vous reste encore neuf doigts, commente Pierre Pozzi, professeur invité à Science-Po et HEC à Paris, dans le cadre d’un master exécutif en ‘Digital Humanities’. Si c’est votre visage, la seule solution, c’est la chirurgie esthétique."

L'Echo Disrupt

L’Echo Disrupt met en avant les technologies qui bouleversent notre rapport au monde, les acteurs à la pointe de l’innovation et les entreprises qui changent les règles du jeu.

Lire nos articles <

Du déblocage d’un smartphone aux contrôles dans les aéroports, en passant par le contrôle de la police dans certains pays, la reconnaissance faciale est déjà largement utilisée. À un tel point que dans son livre blanc sur le numérique présenté ce mercredi, la Commission a préféré évacuer le passage appelant à son interdiction. Selon nos informations, une version initiale du projet indiquait ceci: "L’utilisation de la technologie de reconnaissance faciale par des acteurs privés ou publics dans les espaces publics serait interdite pendant une période définie (par exemple 3 à 5 ans) au cours de laquelle une méthodologie solide pour évaluer les impacts de cette technologie et d’éventuelles mesures de gestion des risques pourrait être identifiée et développée." Ces lignes ont été retirées du document.

De l’armée belge à la Silicon Valley

Acteur bien connu de l’immobilier professionnel européen à partir de Bruxelles, Pierre Pozzi s’est tourné vers la technologie et le numérique. Son cours universitaire sur la concurrence technologique entre l’Europe, la Chine et les États-Unis fait florès à Paris. Aujourd’hui, il a pris son bâton de pèlerin pour dénoncer les risques relatifs aux données biométriques et à l’intelligence artificielle non contrôlée."La reconnaissance faciale, c’est un update constant de votre physionomie, à chaque fois que vous ouvrez votre smartphone. Dans le cas d’Apple, l’information est stockée sur le smartphone. Pour toutes les autres marques, non seulement elle est sur le smartphone, mais elle est aussi transmise sur le cloud. On démultiplie les risques. Le grand problème, que j’explique aux autorités européennes depuis plusieurs mois, c’est qu’on voit apparaître dans le monde les premiers cas d’usurpation d’identité digitale basée sur la reconnaissance faciale."

«On voit apparaître dans le monde les premiers cas d’usurpation d’identité digitale basée sur la reconnaissance faciale.»
Pierre Pozzi
Professeur invité à Science-Po et HEC à Paris

L’investisseur n’en reste pas là. Il y a 5 ans, il a fait la connaissance du Professeur Martin Zizi, directeur scientifique des Forces armées belges. L’homme présente un CV vertigineux : biophysicien, spécialiste en physiologie cardiaque et en neurophysiologie, professeur en neurologie à la KULeuven et à la VUB. Il a surtout imaginé une technologie révolutionnaire: un système de personnalisation totalement unique et impossible à usurper. Il se base sur le dialogue qu’entretient le cerveau avec la main lorsque celle-ci se met en mouvement pour prendre un GSM. Lorsque l’appareil est appréhendé, celui-ci ressent les micro-vibrations musculaires, caractéristiques uniques pour un individu donné, et les traduit pour distinguer si oui ou non, la main appartient au légitime propriétaire du GSM. "La transmission est unique, continue Pozzi. Il y a 7 milliards d’individus sur Terre, et 7 milliards de combinaisons différentes." Le grand attrait de cette trouvaille, c’est qu’une partie de la technologie existe déjà, comme nous l’explique le professeur Zizi: "Les senseurs embarqués sur les mobiles et les tablettes, qui servent à orienter les écrans, ont la sensibilité de pouvoir mesurer les vibrations spontanées qui émanent des fibres musculaires individuelles. Ces nano-contractions, qui ne sont pas des mouvements reflètent les réflexes de ce qu’on appelle la proprioception, qui dépendent de la neuro-anatomie spécifique à chaque individu."

Est-on pourtant sûr que l’appareil ainsi équipé soit à l’abri d’une prise de contrôle externe ? "Nous n’utilisons pas les signaux bruts, mais extrayons des invariants propres à chaque individu. Ces invariants sont le résultat de formules mathématiques et ne peuvent être hackés à moins de connaître exactement ces formules. C’est un peu comme les touches d’un piano: elles représentent les notes et chaque être humain y joue une partition musicale différente. La connaissance seule du clavier ne permet pas de jouer la musique, seule la physiologie de l’individu joue la partition." À partir de ce constat, tout peut devenir personnalisé: le porte-clés, la carte bancaire, le volant de sa voiture, la porte d’entrée de sa maison, etc. Enfin, dernier avantage, la technologie n’utilise pas les clouds, ce qui réduit considérablement le risque de piratage, car elle n’a besoin que d’un senseur (coût: 80 cents) installé sur n’importe quel support.

Un brevet accepté en... 11 jours

"Plus il me parlait de son concept et de la théorie, plus j’en voyais l’aspect entrepreneurial, sociétal et philosophique, s’enthousiasme encore Pierre Pozzi. Nos esprits se sont immédiatement rencontrés." Très vite, l’investisseur rassemble les fonds. En 2015, ils ont créé la société Aerendir, grâce à des fonds issus de la société d’investissement en capital-risque Worldstone Ventures, détenue par Pozzi aux côtés d’un autre investisseur. Le professeur Zizi quitte toutes ses fonctions pour se consacrer à plein-temps à sa technologie qui portera désormais le nom de NeuroPrint. Direction la Silicon Valley où il engage jusqu’à 25 ingénieurs, scientifiques  et informaticiens de très haut vol. Dix-huit mois plus tard suit le premier brevet: "Il faut en général 2 ou 3 ans au minimum pour obtenir l’approbation de l’US Patent and Trademark Office, pose Pozzi. Ils ne font pas de cadeau. Nous, on l’a eu en 11 jours." Il y aura 9 autres brevets acceptés, et 15 autres en cours de développement afin de couvrir tous les secteurs d’application possibles.

Car il y a d’autres applications que la simple authentification. Puisque la technologie permet d’identifier les êtres humains, elle peut également détecter la présence de robots sur les réseaux sociaux, un outil nommé "anti-bot" qui permettrait de lutter contre les fake news et l’influence de certains robots sur les élections. "Cela a frappé l’esprit de certains commissaires européens. Ils sont très inquiets de l’influence étrangère dans les processus électoraux." Il y a aussi l’encryptage des messages privés. Jusqu’à présent, ces encodages basés sur 250 caractères restent la propriété des Facebook, Google, Amazon; ici la clé est neurologique, elle est de 1 million de caractères et reste la propriété absolue de l’individu qui l’utilise. "Ici, il faudra encore compter un an et demi pour que nous arrivions au produit final."

Enfin, quatrième développement: une intelligence artificielle générique, placée au niveau du senseur lui-même. Plus besoin de placer les données dans un cloud, et donc de les céder à des plateformes tierces. "Nous sommes capables d’atteindre une puissance de calcul de données presque équivalente à ce qui se fait dans le cloud, mais localement là où se trouve le senseur et sans céder les données privées."

«L’administration américaine nous a posé un tas de question, puis nous a dit: on veut vous aider.»
Pierre Pozzi
Professeur invité à Science-Po et HEC à Paris

Tous les prototypes sont prêts

Ces performances ne passent pas inaperçues. "Sitôt notre premier brevet introduit et accepté, l’information est arrivée à Washington, continue Pozzi. L’administration américaine nous a posé un tas de questions, puis nous a dit: on veut vous aider. Je ne peux malheureusement pas en dire plus, comme vous pouvez le comprendre."

Autre marque d’intérêt: l’industrie. "On a des contacts avec des intégrateurs de pièces électroniques dans les véhicules automobiles, parmi les plus grandes entreprises au monde." Dans la salle d’attente, il y a aussi 3 grands opérateurs télécoms européens et américains, nous dit Pozzi. Nous n’en saurons pas plus. "Il faut savoir que ça ne fait que 6 mois qu’on est sorti, pendant 3 ans et demi on était complètement invisibles. Aujourd’hui, tous les prototypes fonctionnent et ont été testés."

Place donc maintenant à la diffusion du processus. Pierre Pozzi nous dit avoir été en contact avec des membres de la Commission européenne, dont la commissaire à l’Innovation Mariya Gabriel et la toute puissante vice-présidente Margrethe Vestager, pour les informer de sa technologie. Gageons que, peut-être, cette invention belge redeviendra un peu plus européenne.

*Nom d’emprunt, la victime préférant garder l’anonymat au vu de la procédure judiciaire en cours.

"L'Europe doit avoir un espace technologique unique"

L’investisseur Pierre Pozzi est également professeur invité à Science-Po et HEC à Paris, dans le cadre d’un master exécutif en "Digital Humanities".

Où en est votre business model?

Le projet est financé sur fonds propres. Nous sommes deux, et on aurait pu tout perdre. Ce n’est pas une technologie progressive, c’est du tout ou rien mais les returns potentiels sont immenses. On a "dérisqué" énormément. Le portefeuille de brevets vaut largement plus que l’investissement de départ. Notre premier contrat a été signé avec SiFive, qui est une véritable niche. SiFive est une spin-off d’Intel, un intégrateur d’électroniques de très haut vol qui travaille sur des puces pour seulement trois ou quatre clients mondiaux: Samsung, Qualcomm, Intel… En outre, nous intégrons notre technologie dans des puces qui seront distribuées pour les grands producteurs. On est donc à la source de tout le système futur de l’internet des objetsde la téléphonie mobile, des infrastructures telles que les smart buildings, les smart cities, les infrastructures de santé, de transport,  etc. On avance, on est dans des pourparlers avec de grands groupes dans ces domaines.  Mais il faudra compter 5 ans pour arriver à la commercialisation.

Il faudra donc tout ce temps avant de voir un smartphone équipé de votre technologie?

Ça dépend à quel niveau. Pour l’intégration d’une appli, ça peut être rapide. L’intégration de la technologie dans une puce, on y est bientôt. L’intégration dans le système opérationnel, c’est une autre histoire parce que ça signifie qu’il faut pénétrer dans le cœur de la technologie d’Apple, de Samsung, etc. Pour l’anti-robot, c’est nettement plus rapide, car il faut simplement l’intégrer dans le codage du système de Facebook, Twitter, etc. Si ces entreprises sont d’accord, on peut développer le produit en 2 mois avec une équipe de 4 à 6 personnes.

Mais votre technologie "anti-robot" risque de mettre à terre un énorme pan de l’économie internet: la publicité en ligne. Ces entreprises ont-elles un intérêt à travailler avec vous?

Notre objectif n’est pas de tuer qui que ce soit. Bien sûr, lorsqu’on voit combien les clics envoyés par les robots génèrent de l’argent, notre système risque de les paralyser. Mais nous pouvons distinguer les bons et les mauvais robots. Ceux utilisés par les grandes entreprises sur Facebook, tout à fait légalement, nous pouvons les distinguer pour ne pas tuer le marché de la publicité. Un Unilever ou un Nestlé qui crée sa page Facebook, il envoie un numéro d’identification. Nous pouvons donc faire la différence. Ceci dit, il y a d’autres fournisseurs que Facebook qui ont compris que l’environnement dans lequel on évolue aujourd’hui ne peut plus durer. Ils nous parlent, je ne peux pas en dire plus.

Pourquoi avoir développé une technologie aussi prometteuse aux États-Unis?

En Europe, le problème c’est qu’on n’a pas la mentalité d’une "union" européenne. Elle est fort provinciale, tournée vers les nations alors qu’on vit dans un monde de 3 grands blocs en opposition, dont deux en concurrence pour la suprématie mondiale. L’approche américaine est beaucoup plus efficace et intégrée. Par exemple, aux États-Unis, vous avez deux entités. La Defense Advances Research Projects Agency (Darpa): 8 milliards de dollars par an, qui finance les projets les plus fous, c’est Intel, le GPS, etc. L’autre entité est MITER, 8.000 scientifiques et ingénieurs qui valident toutes les technologies civiles ou militaires qui peuvent être utilisées directement ou indirectement par le gouvernement américain, c’est une machine de guerre. En Europe, il n’y a ni Darpa ni de MITRE européenne. La Défense ne peut même plus compter sur le mastodonte britannique. Comme disait Kissinger: quel numéro de téléphone dois-je composer pour appeler l’Europe? Aujourd’hui plus que jamais, au sein de l’UE, on a besoin d’un espace technologique unique car l’intelligence artificielle va intégrer à terme tous les aspects de notre vie. 

 

Lire également

Publicité
Publicité

Messages sponsorisés