Identité Numérique : Une photo suffit pour connaître vos hobbies et votre numéro de sécurité sociale

Ecrit par Protéger Son Image le 22 août 2011
Vie privée 4 commentaires
Identité Numérique : Une photo suffit pour connaître vos hobbies et votre numéro de sécurité sociale

Déposer une photo sur internet, ça n’engage à rien, tant qu’elle est anonyme ? Faux ! Alessandro Aquisti, chercheur à l’Université de Carnegie Mellon, Pennsylvanie vient au contraire de démontrer que cela peut être un accès direct à votre nom, âge, profession, adresse, hobbies et même votre numéro de sécurité sociale. Faut-il s’inquiéter ?

« Tout ce qui est publié sur Internet conduit à votre identité, même une photo anonyme ! » Telle est la conclusion à laquelle vient d’aboutir Alessandro Aquisti, chercheur à l’Université de Carnegie Mellon, Pittsburgh, Pennsylvanie. Une simple photo sans aucune autre indication (même dans le nom du fichier) est suffisante pour obtenir toutes les informations sur ceux qui y figurent…jusqu’à leurs numéros de Sécurité Sociale. Le professeur, qui n’en est pas à son coup d’essai, vient d’en apporter la preuve devant un parterre d’une centaine de personne, le 05 août 2011, lors de la Def Con (Evénement qui réunit les meilleurs pirates et les professionnels de la sécurité informatique : gouvernement (FBI), entreprises, banques, réseaux sociaux…) se tenant tous les ans à Las Vegas. Plus effrayant encore, le principe semble à la portée de tous. Explications.

Alessandro Aquisti  part d’une image « piochée » au hasard (ou presque) sur Internet. Il s’agit d’un portrait comme la quasi-totalité des utilisateurs du Web a déposé un jour ou l’autre sur la toile. L’universitaire a restreint sa recherche à un portrait d’un américain. La photo a ensuite été analysée par des logiciels de reconnaissance faciale, comme il en existe de plus en plus sur Internet, sur Facebook sur Picasa, gratuits ou payants. Il en est ressorti une série de propositions d’identités. Elles seront toutes analysées, testées, recoupées par un logiciel, mis au point par Alessandro Aquisti. Le programme teste les différents éléments d’identité numérique disséminés sur le web, de manière à ne pas être piégé par une éventuelle homonymie. Via la reconnaissance faciale, il effectuera lui-même la vérification avec les autres photos existantes en ligne. Au final, il délivrera toutes les infos pour identifier l’inconnu : nom, prénom, âge, profession, adresse et même hobby. Et, fin du fin, réservé aux utilisateurs américains, il donnera également les coordonnées de Sécurité Sociale…

La démonstration est effrayante d’efficacité, même si Alessandro Aquisti reconnait quelques « facilitations ». Le cas des Etats-Unis est pratique car les bases de données de la Sécurité Sociale sont partiellement accessibles à différents endroits de la toile. De plus les numéros d’identification du système de santé américain, définis dans les années 70, se construisent de manière intelligible (premier chiffre pour le sexe – 0 ou 1 –, chiffres suivants pour le mois puis l’année de naissance, chiffres suivants pour le lieu puis six chiffres pour les coordonnées administratives, censés masquer l’identité). La même règle est encore en vigueur dans beaucoup de pays, dont la France. L’universitaire reconnait également que ses travaux s’appuient sur ses propres travaux de 2009 http://watchingthewatchers.org/indepth/28609/pick-number qui fonctionnaient sur un panel restreint de cobayes, ceux de l’Université. Et que les logiciels de reconnaissance faciale ont un taux d’erreur non-négligeable, mais en diminution rapide.

Mais ne nous y trompons pas : la démonstration est recevable. Sa mise en application n’est guère plus qu’une histoire de temps. Les hackers présents à la DefCon, connaisseurs expérimentés, n’ont d’ailleurs pas contesté les travaux d’Alessandro Aquist. Nous avons, nous-même publié un article la semaine dernière sur les effets de la reconnaissance faciale grand public.

Maintenant, vous savez !