Clé à emporter
- L'IRS a abandonné son intention d'utiliser la reconnaissance faciale pour authentifier les contribuables.
- Le département est maintenant conscient des implications en matière de sécurité et de confidentialité de son plan désormais retiré.
-
Les experts en sécurité et en confidentialité ont suggéré plusieurs alternatives viables et respectueuses de la vie privée.
Utiliser la reconnaissance faciale pour vérifier l'identité d'un individu, conformément au plan désormais rappelé de l'IRS, n'a jamais été la bonne approche, affirment les experts en sécurité et en confidentialité.
La décision de l'IRS a attiré les briqueteurs des défenseurs de la vie privée dès son annonce. Le 7 février 2022, plusieurs législateurs se sont joints au chœur pour exhorter l'IRS à revenir sur sa décision, ce que le ministère a fait peu de temps après, promettant à la place d'explorer d'autres options.
"L'IRS prend au sérieux la confidentialité et la sécurité des contribuables, et nous comprenons les préoccupations qui ont été soulevées", a noté le commissaire de l'IRS, Chuck Rettig, en rétractant sa décision. "Tout le monde devrait se sentir à l'aise avec la manière dont ses informations personnelles sont sécurisées, et nous recherchons rapidement des options à court terme qui n'impliquent pas la reconnaissance faciale."
Sauver la face
L'agence prévoyait d'utiliser la technologie d'authentification d'ID.me et avait demandé aux utilisateurs de soumettre des selfies vidéo à l'entreprise pour accéder à leurs comptes en ligne.
Jay Paz, directeur principal de la livraison chez Cob alt, a déclaré à Lifewire par e-mail que si la biométrie fait désormais partie de notre vie quotidienne, grâce aux smartphones et aux appareils intelligents, son utilisation pour l'authentification est volontaire.
"Pour les systèmes et les données plus sensibles, comme ceux auxquels l'IRS a accès, il est essentiel d'avoir une transparence dans la technologie et les processus qui protégeront les données des utilisateurs", a souligné Paz.
Tim Erlin, vice-président de la stratégie chez Tripwire, a accepté et a déclaré à Lifewire par e-mail que si la technologie de reconnaissance faciale se polarise en général, pour beaucoup, l'idée de faire confiance à un tiers pour gérer ces données personnelles est inacceptable.
Si les États-Unis disposaient d'une solide loi sur la protection de la vie privée qui protégeait les informations biométriques des individus, la situation serait différente. Cependant, sans aucune protection des données des citoyens américains, adopter cette technologie à cette échelle serait violation de la vie privée », a déclaré Lecio DePaula Jr., vice-président de la protection des données chez KnowBe4, à Lifewire par e-mail.
Ensuite, il y a le fait que tout le monde n'a pas accès aux capacités d'authentification biométrique, ce que Paul Laudanski, responsable de Threat Intelligence chez Tessian, a fait remarquer à Lifewire par e-mail. Il a estimé que cela pouvait être dû à plusieurs facteurs, tels qu'un manque d'accès à des services Internet fiables ou à des appareils dotés d'appareils photo et de capteurs compatibles.
Alternatives viables
DePaula Jr. croit que le plan de l'IRS était l'une de ces situations où la fin ne justifie pas les moyens.
Le portail peut être tout aussi sécurisé en tirant parti des exigences de mot de passe fort ainsi que de l'authentification à deux facteurs pour les utilisateurs finaux, ce qui est un moyen beaucoup moins coûteux, moins intrusif et impartial de sécuriser le portail sans avoir besoin pour tirer parti d'un tiers », a-t-il déclaré.
Paz est également en faveur de ces méthodes de vérification d'identité secondaires, en particulier l'utilisation d'applications de mot de passe à usage unique basées sur le temps telles que Google Authenticator. Alternativement, il a suggéré que l'IRS puisse également essayer d'utiliser des numéros de téléphone vérifiés pour envoyer un code SMS aux utilisateurs, ce qui est peut-être la solution la plus accessible disponible pour pratiquement tous les utilisateurs de tous âges.
"Pour les systèmes et les données plus sensibles… il est essentiel d'avoir une transparence dans la technologie et les processus qui protégeront les données des utilisateurs."
Avant de se concentrer sur une solution, cependant, Darren Cooper, CTO chez Egress, a expliqué à Lifewire par e-mail que l'IRS devra s'assurer que le mécanisme qu'il sélectionne peut protéger les données des contribuables sans introduire de problèmes d'accessibilité.
Il a suggéré que si le département souhaite donner la priorité à un niveau de sécurité plus élevé, il pourrait utiliser des moyens physiques d'authentification personnelle tels qu'un porte-clés de sécurité RSA. Cette méthode est cependant complexe sur le plan logistique. L'authentification par SMS est une option potentiellement moins complexe, mais Cooper a ajouté qu'elle ne fonctionnerait que si le département avait un numéro de téléphone portable connu pour tout le monde.
"L'IRS devrait également envisager d'exiger une interaction préalable avec l'utilisateur pour confirmer son identité avant qu'il ne puisse accéder au service. Par exemple, il pourrait exiger que les contribuables saisissent des informations d'identification uniques, telles que des numéros de sécurité sociale ou de passeport., qui peut être vérifiée par l'IRS en interne avant qu'une connexion en ligne ne soit émise. Les frais généraux logistiques ici sont plus importants, mais garantissent qu'un niveau de sécurité plus élevé peut être atteint ", a suggéré Cooper.
Bien que l'IRS n'ait pas répertorié les alternatives qu'il explore, il est clair que les options ne manquent pas.
Même s'ils ont collectivement salué l'IRS pour avoir annulé sa décision, les experts en sécurité soulignent que d'autres membres du gouvernement, notamment le ministère des Anciens Combattants, utilisent toujours le même service de reconnaissance faciale sous-jacent à des fins de vérification d'identité.
C'est quelque chose dont DePaula Jr. est bien conscient et espère que l'IRS "commence à se diriger dans la bonne direction, car une fois qu'un organisme gouvernemental adopte une norme, d'autres commencent à suivre."
