Eye Spy : l'IRS exigera la reconnaissance faciale pour afficher les déclarations de revenus

L'Internal Revenue Service (IRS) des États-Unis s'est associé à une société d'identification privée basée en Virginie qui exige un selfie de reconnaissance faciale entre autres, afin de créer ou d'accéder à des comptes en ligne avec l'agence.

Selon KrebsonSecurity, l'IRS a annoncé que d'ici l'été 2022, la seule façon de se connecter à irs.gov sera via ID.me. Fondée par d'anciens Rangers de l'armée en 2010, la société basée à McLean a évolué pour fournir des services de vérification d'identité en ligne que plusieurs États utilisent pour aider à réduire le chômage et la fraude à l'aide en cas de pandémie. La société prétend avoir 64 millions d'utilisateurs.

Quelque 27 États utilisent déjà ID.me pour filtrer les voleurs d'identité qui demandent des prestations au nom de quelqu'un d'autre, et maintenant l'IRS les rejoint. Le service exige des candidats qu'ils fournissent beaucoup plus d'informations que celles généralement demandées pour les systèmes de vérification en ligne, tels que des scans de leur permis de conduire ou d'une autre pièce d'identité émise par le gouvernement, des copies de factures de services publics ou d'assurance et des détails sur leur service de téléphonie mobile.

Lorsqu'un candidat n'a pas un ou plusieurs des éléments ci-dessus - ou si quelque chose dans sa candidature déclenche des signaux de fraude potentiels - ID.me peut nécessiter une conversation vidéo en direct enregistrée avec la personne qui demande des prestations. -KrebsonSecurity

Pour le bien de son article, Krebs s'est fait cobaye et s'est inscrit sur ID.me pour décrire le long processus qui "peut nécessiter un investissement de temps important et pas mal de patience".

Après avoir téléchargé des images de son permis de conduire, de sa carte d'identité ou de son passeport.

Si vos documents sont acceptés, ID.me vous invitera ensuite à prendre un selfie en direct avec votre appareil mobile ou votre webcam. Cela a pris plusieurs tentatives. Lorsque l'appareil photo de mon ordinateur a produit un résultat acceptable, ID.me a déclaré qu'il comparait la sortie aux images sur les scans de mon permis de conduire. -KrebsonSecurity

Une fois que c'est accepté, Id.me vous demandera de vérifier votre numéro de téléphone - et n'acceptera pas les numéros liés aux services de voix sur IP tels que Skype ou Google Voice.

L'application de Krebs est restée bloquée à l'étape "Confirmer votre téléphone" - ce qui a conduit à un chat vidéo (et à devoir soumettre à nouveau d'autres informations) qui avait un temps d'attente estimé à 3 heures et 27 minutes. Krebs – avoir a interviewé le fondateur d'ID.me l'année dernière - lui a envoyé un e-mail et a pu parler avec un représentant du service client une minute plus tard "contre mes protestations répétées selon lesquelles je voulais attendre mon tour comme tout le monde".

En ce qui concerne la sécurité, le PDG Blake Hall a déclaré à Krebs l'année dernière que la société est "certifiée selon les directives d'identité numérique NIST 800-63-3" et "utilise plusieurs couches de sécurité et sépare entièrement les données statiques des consommateurs liées à une identité validée d'un jeton utilisé pour représentent cette identité.

"Nous adoptons une approche de défense en profondeur, avec des réseaux partitionnés, et utilisons un schéma de cryptage très sophistiqué de sorte que quand et s'il y a une brèche, ce matériel est protégé par un pare-feu", a déclaré Hall. « Il faudrait compromettre les jetons à grande échelle et pas seulement la base de données. Nous chiffrons tout cela jusqu'au niveau du fichier avec des clés qui tournent et expirent toutes les 24 heures. Et une fois que nous vous aurons vérifié, nous n'aurons plus besoin de ces données vous concernant de manière continue.

Krebs pense que des choses telles que la reconnaissance faciale pour établir son identité sont un moment "Plantez votre drapeau", car "Aimez-le ou détestez-le, ID.me est susceptible de devenir l'un de ces endroits où les Américains doivent planter leur drapeau et marquer leur territoire, si pour aucune autre raison que cela sera probablement nécessaire à un moment donné pour gérer votre relation avec le gouvernement fédéral et / ou votre état.

Lire l'histoire complète ici…

Les agences gouvernementales américaines utilisent la technologie de reconnaissance faciale sans presque aucune surveillance

Ken Macon via Reclaim the Net, 7 juillet 2021

Il existe quelques utilisations appropriées de la technologie de reconnaissance faciale entre les mains des forces de l'ordre. Ces cas devraient être extrêmement rares, comme la traque d'un terroriste avéré ou la localisation d'un suspect armé et dangereux au milieu d'une foule. Au-delà des scénarios d'urgence extrême, la technologie de reconnaissance faciale ne doit pas être utilisée.

Malheureusement, il est utilisé par une tonne de personnes dans près de deux douzaines d'agences gouvernementales pour une multitude de raisons avec une surveillance absolument nulle, un suivi minimal de l'utilisation et effectivement aucune règle détaillant quand et comment il doit être appliqué. Il est clair que nous avons un énorme problème lorsque des agences banales comme l'IRS, la FDA et l'USPS utilisent la technologie de reconnaissance faciale. À quand remonte la dernière fois qu'un agent de la Food and Drug Administration est allé à la chasse aux terroristes ?

Considérant le L'IRS semble sur le point de faire partie de l'État policier, c'est particulièrement troublant.

Le Government Accountability Office (GAO) rapport sur l'utilisation de la reconnaissance faciale est à la fois surprenante et exaspérante. Cela montre une combinaison d'incompétence et d'abus qui constitue une recette très dangereuse, en particulier entre les mains du gouvernement. Il n'y a fondamentalement aucune surveillance. Les agences qui l'utilisent ne peuvent pas garder leurs histoires claires sur la façon dont elles l'utilisent ou même sur les entreprises qu'elles emploient pour entretenir l'équipement. Tout est complètement opaque et personne au Congrès ne semble s'en soucier.

L'agence fédérale de surveillance Government Accountability Office (GAO) a a publié un rapport sur l'utilisation de la reconnaissance faciale par les agences gouvernementales. La principale révélation du rapport est qu'il y a peu de contrôle interne sur l'utilisation de la technologie.

Il est indéniable que la technologie de reconnaissance faciale est utile pour les enquêtes criminelles. Cependant, la technologie n'est pas parfaite car elle a tendance à générer des faux positifs et l'implication peut être envoyer des agents des forces de l'ordre après la mauvaise personne. Il est aussi généralement invasif et favorise un état de surveillance.

Les entreprises privées fournissant la technologie, telles que Clearview, n'ont fait qu'empirer la réputation de la reconnaissance faciale.

Il n'est pas surprenant d'apprendre que les agences de renseignement et d'application de la loi telles que le FBI, la DEA, l'ATF, la TSA et Homeland possèdent ou utilisent une technologie de reconnaissance faciale. Selon le rapport, 20 agences utilisent la technologie, dont certaines auxquelles on ne s'attend pas, comme l'IRS, la FDA et le service postal américain.

Peut-être plus inquiétant est l'utilisation par les agences de Clearview, une société privée qui s'est avérée malhonnête et qui a fait l'objet d'enquêtes et de poursuites dans un passé récent. La moitié des agences ont des contrats ou ont utilisé la technologie de Clearview, faisant de la société controversée le fournisseur tiers de reconnaissance faciale le plus populaire.

Le rapport indique que ces agences utilisent « des systèmes étatiques, locaux et non gouvernementaux pour soutenir les enquêtes criminelles ». Cependant, les agences ne savent pas quels systèmes non gouvernementaux leurs employés utilisent.

« Treize agences fédérales ne savent pas quels systèmes non fédéraux dotés de la technologie de reconnaissance faciale sont utilisés par les employés. Ces agences n'ont donc pas pleinement évalué les risques potentiels liés à l'utilisation de ces systèmes, tels que les risques liés à la confidentialité et à l'exactitude. La plupart des organismes fédéraux qui ont déclaré utiliser des systèmes non fédéraux ne possédaient pas de systèmes. Ainsi, les employés comptaient sur des systèmes appartenant à d'autres entités, y compris des entités non fédérales, pour soutenir leurs opérations.

Certaines agences ne savaient même pas à quelle fréquence leurs employés utilisaient cette technologie et ont dû mener des sondages pour le savoir. S'appuyer sur des données qui reposent sur une auto-déclaration honnête n'est pas la meilleure idée.

L'une des agences a initialement déclaré au GAO qu'elle n'utilisait pas de systèmes non fédéraux. Cependant, "après avoir mené un sondage, l'agence a appris que ses employés avaient utilisé un système non fédéral pour effectuer plus de 1,000 XNUMX recherches de reconnaissance faciale.

L'utilisation imprudente d'une technologie inexacte par ces agences est également potentiellement une violation de la loi et pourrait amener le public à être informé des enquêtes en cours.

« Lorsque les agences utilisent la technologie de reconnaissance faciale sans d'abord évaluer les implications en matière de confidentialité et l'applicabilité des exigences en matière de confidentialité, il existe un risque qu'elles ne respectent pas les lois, réglementations et politiques relatives à la confidentialité. Il existe également un risque que les propriétaires de systèmes non fédéraux partagent des informations sensibles (par exemple, la photo d'un suspect) sur une enquête en cours avec le public ou d'autres personnes.

Lire l'histoire complète ici…