Illustration : Flock
C’est une première pour les chatbots IA. Claude peut désormais réclamer une vérification de l’identité de l’utilisateur. Il faudra alors présenter un passeport, un permis de conduire ou une carte d’identité avec photo. Les photocopies, les captures d’écran ou « photos d’une photo » ne sont pas acceptées. Un selfie pourra aussi être demandé.
La demande de vérification de l’identité, repérée par Decrypt, a commencé à apparaitre chez de nouveaux abonnés de Claude. Ce qui ne manque pas d’étonner, sachant que pour le moment du moins, aucun législateur ou régulateur n’a exigé une telle opération. Dans une fiche d’assistance mise en ligne le 14 avril, Anthropic explique que « la vérification de l’identité nous aide à prévenir les abus, à appliquer nos politiques d’utilisation et à respecter nos obligations légales ».
Une vérification de l’identité inédite pour un bot
La vérification de l’identité concerne « certains cas d’usage » non précisés, et lors de l’accès à « certaines fonctionnalités », le tout dans le cadre des vérifications régulières d’intégrité de la plateforme « ou d’autres mesures de sécurité et de conformité ».
En cas d’échec de la vérification, il est toujours possible de contacter l’entreprise qui examinera alors le dossier. Persona Identities est le prestataire chargé de la vérification ; ce sous-traitant travaille aussi pour le compte de Roblox, DoorDash, LinkedIn, mais aussi… OpenAI, dans certains cas, pour contrôler l’âge des utilisateurs de ChatGPT.
En février dernier, des chercheurs en sécurité ont découvert qu’une interface web appartenant à Persona était accessible publiquement. Ce frontend contenait 2 456 fichiers (du code et des outils internes) hébergés sur un serveur autorisé par le gouvernement américain, isolé de l’environnement de l’entreprise.
Pas de données confidentielles ici, mais les fichiers exposés ont permis de mesurer l’ampleur des capacités du système Persona : il réalise jusqu’à 269 types de vérifications possibles, il compare les selfies à des listes de surveillance, détecte les profils à risque et calcule un score de risque. On a également appris à cette occasion que Persona conservait les données des utilisateurs jusqu’à 3 ans.
Après avoir supprimé l’accès au frontend et assuré qu’aucune donnée personnelle n’avait fuité, l’entreprise a expliqué qu’elle ne travaillait avec aucune agence fédérale états-unienne, et qu’aucun de ses clients n’exploitait la totalité des 269 types de vérifications.
L’ombre de Peter Thiel
Ce frontend avait été découvert à l’occasion de la mise en place par Discord de son système de vérification de l’âge. La plateforme a depuis révoqué le sous-traitant, suite à une autre polémique : Persona est en effet financé par Peter Thiel, cofondateur de Palantir. Une entreprise dont les outils sont très populaires chez les forces de l’ordre comme l’ICE, qui fait la chasse aux immigrés en situation irrégulière.
Anthropic n’a pas ces états d’âme, et rappelle que Persona traite les données de vérification « selon nos instructions ». Ces informations, chiffrées en transit et au repos, n’en restent pas moins collectées et stockées par Persona. Anthropic peut y accéder, ainsi qu’aux dossiers de vérification si nécessaire pour examiner un appel, par exemple. Les données sont conservées et supprimées « conformément aux limites de conservation » établies par Anthropic et à la loi applicable.
L’entreprise précise aussi, et c’est important vu le contexte, que les données d’identité ne sont pas utilisées pour entraîner ses modèles IA, mais « uniquement pour confirmer votre identité et pour respecter nos obligations légales et de sécurité ». Ces informations ne sont partagées avec personne, sauf en cas de demande légale valide. Enfin, Anthropic affirme ne collecter que les données minimales requises pour vérifier l’identité.
L’opacité avec laquelle Anthropic demande la vérification de l’identité, ainsi que le choix de ce sous-traitant, ne manquent pas d’inquiéter certains. ChatGPT ou Gemini n’en sont pas encore là, même si le premier peut effectuer des vérifications d’âge. Quant au deuxième, son opérateur Google connait déjà beaucoup de ses utilisateurs. Mais Anthropic pourrait bien être précurseur.
'%3e%3cpath%20d='M72.6964%200.0625H38.5564L10.9388%2019.9971L0.383789%2052.2715L10.9388%2084.5314L38.5564%20104.466H72.6964L100.314%2084.5314L110.869%2052.2715L100.314%2019.9971L72.6964%200.0625Z'%20fill='white'/%3e%3cpath%20d='M68.7509%2062.065C73.4679%2061.5587%2077.9957%2059.7938%2081.6644%2056.7993C84.9983%2054.0941%2087.5461%2050.5209%2088.2304%2046.2099C89.1621%2040.6549%2086.2941%2034.7671%2081.446%2031.8449C79.7572%2030.7599%2077.8646%2030.1234%2075.9138%2029.7183C74.2395%2029.3711%2072.5216%2029.2265%2070.8183%2029.2265H58.8802L48.6746%2052.5462C44.9039%2052.7053%2041.2206%2053.0959%2038.0468%2053.5154L55.5172%2015.4111H44.307L20.4746%2067.3597L30.4909%2065.1174C30.5783%2065.103%2036.722%2063.7431%2044.0595%2063.0343L32.6456%2089.1171L44.0013%2084.7772C63.5244%2077.327%2074.487%2080.553%2081.7518%2082.694C81.9993%2082.7663%2082.2468%2082.8387%2082.4797%2082.911L85.3769%2073.1896C85.1294%2073.1173%2084.8819%2073.045%2084.6489%2072.9726C78.4033%2071.1354%2067.7173%2067.9818%2051.3097%2071.9021L55.3716%2062.6292C60.3215%2062.528%2064.8783%2062.4846%2068.7509%2062.065ZM65.548%2039.3674H69.2023C71.0803%2039.4108%2073.3223%2039.1938%2075.0694%2039.8737C77.8355%2040.9297%2078.9565%2043.7507%2077.4715%2046.4125C76.336%2048.5535%2073.9484%2050.246%2071.8519%2051.0851C68.0521%2052.4015%2063.8884%2052.199%2059.812%2052.4739L65.548%2039.3674Z'%20fill='%2300CFB3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_206_9747'%3e%3crect%20width='110.485'%20height='104.403'%20fill='white'%20transform='translate(0.383789%200.0625)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
