Comment l’Ukraine fait la guerre avec la reconnaissance faciale, depuis 2017

Le logiciel controversé de reconnaissance biométrique faciale Clearview a été offert gratuitement aux autorités ukrainiennes, qui s'en servent pour identifier suspects et cadavres. Mais également pour contacter les familles de soldats morts.

On en sait maintenant un peu plus sur l'utilisation, par les autorités ukrainiennes, de la technologie de reconnaissance biométrique faciale Clearview AI. La semaine passée, la BBC expliquait avoir « reçu des preuves » qu'elle aurait été « utilisée – dans plus d'un millier de cas – pour identifier à la fois des vivants et des morts » .

Clearview a par ailleurs confirmé à la BBC que sa technologie était aussi utilisée par les autorités ukrainiennes pour essayer d'identifier de potentiels suspects ou ennemis aux checkpoints, comme nous le révélions la semaine passée après que le service de contre-espionnage ukrainien a lancé une application de reconnaissance faciale pour l'aider à « rechercher des suspects ».

• Le contre-espionnage ukrainien lance une application de reconnaissance faciale

« Le système nous a donné la possibilité de confirmer rapidement l'exactitude des données concernant les suspects détenus », indique un e-mail d'une agence ukrainienne consulté par la BBC : « plus de 1 000 requêtes de recherche ont été effectuées pour procéder à la vérification et à l'identification » de suspects, précise l'email.

Aric Toler, directeur de recherche chez Bellingcat, explique à la BBC que « même les personnes qui n'ont pas de comptes sociaux peuvent être trouvées » :

« Ils n'ont peut-être pas de profil sur les réseaux sociaux, mais leurs épouses ou petites amies si… parfois, ils ont des profils et ils vivent dans une petite ville avec une grande base militaire. Ou ils peuvent avoir beaucoup d'amis qui sont actuellement dans leur unité. »

Bellingcat était ainsi parvenu à mettre un visage sur le général russe soupçonné d'avoir organisé de nombreuses opérations clandestines en Europe, y compris l'empoisonnement de l'ex-espion russe Sergei Skripal, « et un coup d'État raté ». S'il n'avait pas de profil sur les réseaux sociaux, il avait cela dit assisté au mariage de sa fille, qui avait partagé des photos sur Instagram du « plus beau jour de sa vie ».

Les autorités ukrainiennes ne précisent pas combien de personnes auraient pu être identifiées, se bornant à n'évoquer qu'un seul cas de cadavre préalablement non identifié. Non content de retrouver des photos d'un individu particulièrement ressemblant, Clearview leur en a fourni une le montrant torse nu, et révélant un tatouage correspondant à celui situé sur l'épaule gauche du décédé.

• La reconnaissance faciale pour combattre la guerre en Ukraine

Un tueur à gages du FSB, qui protestait de son innocence et se faisait passer pour un simple touriste, avait de même été démasqué par le moteur de reconnaissance faciale de Microsoft, quand bien même un être humain n'aurait probablement pas identifié qu'il s'agissait d'un seul et même individu.

Cette identification avait là aussi été confirmée en comparant des photos récupérées dans le village de naissance du tueur présumé avec celles du soi-disant touriste : ils avaient le même tatouage, comme l'expliquait à l'époque le collectif d'enquêteurs OSINT BellingCat.

Identifier les soldats morts, capturés, ainsi que les pilleurs

Le Washington Post estime de son côté que « les responsables ukrainiens ont effectué plus de 8 600 recherches de reconnaissance faciale sur des soldats russes morts ou capturés au cours des 50 jours qui ont suivi le début de l'invasion de Moscou ».

Hoan Ton-That, le patron controversé de Clearview, explique au Post que « plus de 340 fonctionnaires de cinq agences gouvernementales ukrainiennes peuvent désormais utiliser son logiciel quand ils le souhaitent, gratuitement ».

De plus, des employés de Clearview forment par Zoom interposé les responsables de la police et de l'armée qui veulent pouvoir y accéder, comme en témoignent plusieurs e-mails (émanant de la police, de l'armée et d'une troisième agence ukrainienne ayant requis l'anonymat) consultés par le Post.

Un militaire y explique « avoir testé Clearview en scannant des photos de visages de soldats morts et avoir été "agréablement surpris" lorsque l'outil a renvoyé des liens vers les comptes VK et Instagram des Russes ». Un responsable de la police ukrainienne précise de son côté avoir scanné le visage d'un cadavre non identifié à Kharkiv, et que Clearview lui a permis de remonter au profil d'un trentenaire ayant été photographié aux côtés de partisans d'un groupe séparatiste.

« Au-delà de la numérisation des cadavres, l'Ukraine utilise également la reconnaissance faciale pour identifier les soldats russes pris en photo en train de piller les maisons et magasins ukrainiens », explique au Post un responsable du ministère ukrainien de la transformation numérique.

Plusieurs d'entre eux avaient ainsi été identifiés après la mise en ligne d'un enregistrement de 3h de vidéosurveillance montrant des soldats russes envoyer, depuis un bureau de poste biélorusse, « plus de 2 tonnes d'objets », suspectés d'avoir été volés en Ukraine. Ils étaient accompagnés des « noms complets, numéros de téléphone et du contenu des colis de 50 à 450 kg renvoyés dans la Fédération de Russie ».

Mykhailo Fedorov, le ministre ukrainien de la transformation numérique, avait lui aussi partagé sur Twitter et Instagram « le nom, la ville natale et la photo d'un homme qui, selon lui, a été enregistré dans un bureau de poste biélorusse en train d'expédier des centaines de kilos de vêtements pillés à son domicile dans l'est de la Russie : "Notre technologie les trouvera tous" », quand bien même il habiterait « à 7 000 kilomètres ».

After events in Bucha, I am launching the #russianlooters column. Our technology will find all of them. Shchebenkov Vadym stole more than 100 kg of clothes from UA families and sent them from Mozyr, Belarus, to his hometown of Chita. It is 7 thousand km away. pic.twitter.com/ANcc50uqoM

— Mykhailo Fedorov (@FedorovMykhailo) April 7, 2022

Un autre responsable, témoignant de façon anonyme, explique au Post que Clearview avait aussi été utilisé pour « plus de 1 000 recherches » visant à « identifier les personnes qui avaient été détenues dans le pays et vérifier leurs réseaux sociaux pour tout élément suspect, y compris leur "gamme de contacts" », ou « graphe social », à savoir l'ensemble de leurs correspondants.

Une exposition vécue comme une humiliation par l'ennemi 

Ton-That raconte également au Post que les autorités s'en servent aussi « pour confirmer l'identité des personnes aux points de contrôle militaires et pour vérifier si un Ukrainien est un éventuel infiltré ou saboteur russe » : « Il fait valoir que le système pourrait dissuader les soldats russes de commettre des crimes de guerre, de peur d'être identifiés, et a déclaré que les Ukrainiens envisageaient d'utiliser l'outil pour vérifier l'identité des réfugiés ukrainiens et de leurs hôtes alors qu'ils fuient pour leur sécurité. »

• Reconnaissance faciale : l'Ukraine utilise aussi Clearview pour identifier des réfugiés

Hoan Ton-That explique avoir eu l'idée d'offrir son logiciel aux autorités ukrainiennes après avoir été confronté à des infox russes : « Je me souviens avoir vu des vidéos de soldats russes capturés et de la Russie affirmant qu'il s'agissait d'acteurs. Je pensais que si les Ukrainiens pouvaient utiliser Clearview, ils pourraient obtenir plus d'informations pour vérifier leur identité. »

Il estime qu'environ 10 % de sa base de données de « plus de 20 milliards de photos » aspirées (sans le consentement des intéressés) sur le web et les réseaux sociaux émaneraient de VKontakte (VK), le Facebook russe.

• Clearview se vante d'avoir plus de 20 milliards de photos et plus de 3 000 clients

Un expert non identifié des questions de sécurité estime cela dit que le fait de partager des témoignages de soldats capturés, ainsi que de photos de prisonniers de guerre et de cadavres de soldats russes « ont été considérées en Russie non comme une exposition bienvenue à la vérité, mais comme une humiliation par l'ennemi ».

Informer les familles et mères de soldats morts au combat

Un ressentiment que pourrait accentuer le fait que, de façon plus problématique, certains se serviraient aussi de la reconnaissance faciale pour mettre un nom sur des cadavres, avant de contacter leurs familles afin de leur annoncer le décès de leurs proches :

« L'armée informatique du pays, une force bénévole de hackers et d'activistes qui reçoit ses instructions du gouvernement ukrainien, affirme avoir utilisé ces identifications pour informer les familles de la mort de 582 Russes, notamment en leur envoyant des photos des cadavres abandonnés. »

Ils défendraient cette utilisation en la présentant « comme un moyen brutal mais efficace d'attiser la dissidence en Russie, décourager les autres combattants et accélérer la fin de la guerre », précise le Washington Post.

Stephanie Hare, chercheuse spécialiste des questions de surveillance, y voit une forme de « guerre psychologique classique » qui pourrait cela dit « établir une nouvelle norme dangereuse pour les conflits futurs ». Sans parler du risque que cela puisse attiser la haine d'une partie de la population russe, à qui les Ukrainiens sont présentés comme des « nazis » :

« Si c'était des soldats russes qui faisaient ça avec des mères ukrainiennes, on pourrait se dire : "Oh, mon Dieu, quelle barbarerie !". Par ailleurs, cela fonctionne-t-il vraiment ? Ou est-ce que ça va leur faire penser : "Regardez ces Ukrainiens sans foi ni loi, cruels, qui font ça à nos garçons" ? »

Une vidéo partagée sur la chaîne Telegram de l'itarmyofukraine2022 montre ainsi des extraits de conversations passées avec des proches de soldats russes identifiés de la sorte : « Dans un chat, quelqu'un à qui on a envoyé des photos du visage ensanglanté d'un soldat russe répond : "C'est photoshopé !!! CE N'EST PAS POSSIBLE." À quoi l'expéditeur a répondu : "C'est ce qui arrive quand on envoie des gens à la guerre." »

Ukraine's IT Army released a video showing Clearview's search in action alongside what appear to be some transcripts of chats with shocked Russian family members. Warning: video is very gory. "They are leaving their dead comrades on the battlefield to rot" https://t.co/B3Ztf2albb pic.twitter.com/ACDElNGgA5

— Drew Harwell (@drewharwell) April 15, 2022

Dans un autre échange, une mère à qui avait été envoyée « une photo montrant le corps d'un homme dans la saleté, visage grimaçant et bouche bée », refusait de croire en la véracité de la mort de son fils ; son interlocuteur lui renvoya une autre photo « montrant une main gantée tenant les documents militaires » de son fils :

« "Pourquoi fais-tu ça ? Tu veux que je meure ? Je ne vis déjà plus. Tu dois aimer ça", lui répondit la mère.
Son interlocuteur lui a répondu que des jeunes hommes mouraient déjà, par milliers. C'est "la seule façon d'arrêter toute cette folie. Combien de personnes doivent encore mourir ?" »

La vidéo explique que le gouvernement russe ne reconnaît pas l'invasion de l'Ukraine comme une « guerre », arguant du fait qu'il s'agirait d'une « opération spéciale militaire » et que, dès lors, les conventions de Genève sur la protection des combattants et des prisonniers de guerre ne s'appliqueraient pas :

« Les milliers de soldats russes, blessés, tués ou capturés en Ukraine ont le statut de terroristes. Le commandement militaire russe cache ses pertes et laisse les soldats tués pourrir sur le champ de bataille. L'un des objectifs de l'armée informatique est de propager la vérité ! Durant le premier mois de la guerre, plus de 17 00 soldats russes ont été tués. »

Ce pourquoi, et face au déni des autorités russes, ils utiliseraient la reconnaissance faciale pour identifier les cadavres abandonnés, et « prévenir leurs proches en Russie » : « La première guerre de Tchétchénie avait été stoppée par les mères des soldats de Russie. Arrêtez de tuer vos enfants maintenant. »

Une méga opération de com' pour Clearview

Les nombreux experts interrogés par la BBC et le Post rappellent que les technologies de reconnaissance faciale sont imparfaites, sujettes à de nombreux biais, et qu'elles pourraient dès lors induire en erreur leurs utilisateurs sur les personnes potentiellement identifiées, alors même qu'il s'agirait donc de questions de vie ou de mort. Ton-That rétorque que son logiciel « est précis, y compris dans les cas de graves "dommages au visage" ».

Le Post rappelle par ailleurs qu'il avait révélé en février que Clearview « souhaitait lever 50 millions de dollars pour étendre ses offres aux clients du secteur privé et renforcer ses pouvoirs de collecte de données afin que "presque tout le monde dans le monde soit identifiable" ».

Il estime également que « la société semblait désireuse d'utiliser son travail en Ukraine comme un moyen de se faire connaître auprès des clients gouvernementaux du monde entier et de "profiter de la tragédie" » :

« M. Ton-That a déclaré que la seule ambition de l'entreprise est d'aider à défendre un pays assiégé. Mais il a également reconnu que la guerre a contribué à fournir un "bon exemple pour d'autres parties du gouvernement américain pour voir comment ces cas d'utilisation fonctionnent". "C'est une nouvelle guerre". Et les Ukrainiens sont "très créatifs avec ce qu'ils ont pu en faire". »

IdentigraF, « dépôt unique de bâtards » lancé en 2017

En l'espèce, les Ukrainiens n'ont pas attendu l'invasion russe pour être « très créatifs », même et y compris en matière de recours à la reconnaissance faciale. Une précédente base de données biométrique, IdentigraF, avait en effet été lancée en 2017.

Présentée comme un « dépôt unique de bâtards et de monstres pour tout l'Ukraine », elle visait à permettre à tout Ukrainien de pouvoir prendre en photo n'importe qui, afin de vérifier s'il figurait dans le « Purgatoire », le nom de la « liste noire » des « terroristes pro-russes et leurs partisans » :

« Prenons une situation typique. Nous sommes maintenant assis dans un café. Un homme mange à la table voisine. Prenez-le discrètement en photo. Allez sur le site Web de reconnaissance, écrivez votre numéro de téléphone, recevez un SMS avec un code d'accès. Après cela, entrez le code et transférez cette photo. Attendez. Oh, voici la réponse : le système n'a pas reconnu cette personne. Ainsi, nous pouvons continuer à boire du café en toute tranquillité. »

À l'époque, la base de données comportait 300 000 photos, et ses promoteurs prévoyaient d'en ajouter 600 000 de plus (les personnes fichées pouvant être reliées à de nombreuses photos), mais également de s'en servir – déjà – pour identifier des morts :

« Soit dit en passant, de nombreux clients du Purgatoire, qui s'affichent sur les photos de 2014 (nous parlons de militants), sont déjà morts. Mais nous travaillons aussi avec ces photos : nous les enregistrons dans la base de données et les stockons soigneusement. Les cadavres nous "aideront" à établir les liens des militants encore vivants. »

Depuis 2019, IdentigraF, qui n'autorisait jusque-là que 3 tentatives de reconnaissance faciale par jour, « à l'aide d'un seul appareil », en autorise désormais 5. Le site ne précise pas s'il aurait servi à quoi que ce soit. Sa devise : « Fiat justitia ruat caelum », soit, en français : « Que le ciel s'écroule, mais que justice soit faite ».

Le « Purgatoire » du service de contre-espionnage ukrainien

« Mirotvorets » (« Peacemaker » en anglais, « Pacificateur » en français), le « Centre de recherche sur les signes de crimes contre la sécurité nationale de l'Ukraine, la paix, l'humanité et le droit international » à l'origine d'IdentigraF, est en lui-même un acteur très controversé en Ukraine.

Une note (.pdf) de la Division de l’Information, de la Documentation et des Recherches (DIDR) de l’Office français de protection des réfugiés et apatrides (Ofpra) le présente comme « une plateforme collaborative en ligne créée en 2014 par un conseiller du ministre de l'Intérieur ukrainien avec l'aide de hackers et du service de contre-espionnage » (SBU, qui a récemment lancé l'application de reconnaissance faciale), et dirigé par un membre du SBU.

Son objectif est de rendre public l’ensemble des données personnelles relatives aux « ennemis de l’Ukraine » qui, par leurs actions, portent « atteinte à la sécurité nationale de l'Ukraine, à la paix, à la sécurité humaine et au droit international ».

Son fondateur avait expliqué qu'« à l'avenir Mirotvorets aura le même but que le Centre Simon Wiesenthal et aidera à retrouver les personnes qui ont envahi notre pays », à savoir :

• « les séparatistes (collaborateurs) ;
• les propagandistes anti-Ukrainiens, terroristes, mercenaires et occupants ;
• les traîtres à la nation (membres des forces de l’ordre ukrainiennes ou fonctionnaires passés du côté des terroristes et des agresseurs) ;
• les criminels militaires (militaires de la Fédération de Russie qui combattent contre l’Ukraine sur son propre territoire) ;
• les occupants russes (les militaires russes qui se trouvent sur les territoires occupés d’Ukraine) ;
• les personnes ayant violé la frontière ukrainienne »

Près de 60 000 personnes y étaient déjà fichées en 2016. En 2019, fêtant son 5e anniversaire, son fondateur se vantait du fait qu'y figuraient 187 000 personnes. Le site ne semble pas fournir de statistiques mises à jour, mais Google indique qu' « environ 289 000 résultats » figureraient dans le répertoire « /criminal/ », qui liste les personnes inscrites dans le « Purgatoire » du Pacificateur.

En 2015, 3 personnalités politiques et un journaliste opposés au gouvernement « sont tués ou se suicident de manière suspecte » peu de temps après y avoir été fichés.

En 2016, le Centre Mirotvorets « publie sur son site les données personnelles de 4 508 journalistes et membres de médias nationaux et internationaux ayant été accrédités pour travailler sur le territoire des Républiques autoproclamées de Donetsk et Lougansk », au motif que « ces journalistes coopèrent avec les terroristes ». Y figuraient notamment des journalistes de CNN, de l’Agence France-Presse (AFP), de Reuters, mais aussi de la BBC, du New York Times, de Vice News et d’Al Jazeera.

À l'époque, l’ONG Ukraine Crisis Media Center (UCMC), qui « a pour mission de soutenir l’État ukrainien et de promouvoir l’Ukraine à l’étranger », ainsi que de nombreux journalistes ukrainiens, s'étaient déclarés « outrés » de la mise en ligne de leurs numéros de téléphone et adresses email, qui avaient été piratées par des hackers dans une base de données de la République populaire de Donetsk.

De nombreux officiels avaient protesté, et l'ONG Reporters Sans Frontières avait de son côté appelé le gouvernement ukrainien à « traîner de toute urgence en justice ceux qui ont publié les données personnelles des journalistes ukrainiens et étrangers ».

Jan Tombinski, Ambassadeur de l’Union européenne en Ukraine, avait déclaré que Mirotvorets « viole les normes internationales de protection des données personnelles et met les journalistes en danger ». Les ambassadeurs du G7 réunis à Kiev publiaient pour leur part une déclaration commune « faisant état de leur profonde inquiétude et exhortant Mirotvorets à effacer toutes données personnelles de son site ».

Petro Porochenko, président de l'Ukraine de 2014 à 2019, condamna lui aussi la publication des données personnelles des journalistes, mais tout en soulignant que « le site de Mirotvorets dépend du Service de sécurité sur lequel il a une influence très limitée ».

Depardieu, Mélenchon, Le Pen, Marion Maréchal

Le Purgatoire ne contient pas que des Russes ou opposants ukrainiens. Wikipedia précise que « des célébrités et des intellectuels occidentaux (tels que Steven Seagal, Silvio Berlusconi, Thierry Mariani, Henry Kissinger et Gérard Depardieu) se sont également retrouvés sur la liste de Myrotvorets, même si tous n'ont pas été formellement bannis d'Ukraine ».

On y trouve aussi Marine Le Pen, accusée d' « atteinte à la souveraineté et à l'intégrité territoriale de l'Ukraine » et d'avoir « diffuser la propagande du Kremlin », Jean-Luc Mélenchon, accusé de « justifier l'agression russe » et de « manipulations d'informations d'importance publique », ou encore Marion Maréchal, la plus lourdement accusée :

« Atteinte à la souveraineté et à l'intégrité territoriale de l'Ukraine. Violation délibérée de la frontière d'État de l'Ukraine afin de pénétrer dans la Crimée occupée par les envahisseurs russes. Participation aux activités de propagande de la Russie (le pays agresseur) contre l'Ukraine. Participation aux tentatives de légalisation de l'annexion de la République autonome de Crimée. »

Y figurent aussi deux grands reporters de TF1, Gilles Parrot et Liseron Boudoul, accusés de s'être rendus dans le Donbass en février dernier, et donc de :

« Coopération avec des organisations terroristes pro-russes.
Participation aux activités de propagande de la Russie (le pays agresseur) contre l'Ukraine.
Participation à des actes d'agression humanitaire contre l'Ukraine »

Leur dernier reportage, diffusé le 23 février, donnait la parole à des indépendantistes du Donbass se disant « soulagés » alors que Vladimir Poutine venait d'annoncer l’indépendance des régions séparatistes. Le lendemain, il envahissait l'Ukraine.

Témoignages #Donbass recueillis par nos envoyés spéciaux @LiseronBoudoul et @gilles_parrot
Dans les #JT de @TF1 #Le13H et #Le20H https://t.co/D8Rynpa9Qp

— Caroline Stevens (@Stevens_Caro) February 23, 2022