N'ayant jusqu'alors pas fait beaucoup parler d'elle jusqu'à peu, la start-up américaine Clearview AI est sous le feu des projecteurs. Malheureusement pas pour la meilleure des raisons, cette dernière venant de subir une cyberattaque liée à l'exploitation d'une faille de sécurité ayant permis à un pirate d'accéder de façon non autorisée à des données clients dont on ignore à ce jour le volume compromis. Les détails concernant ce piratage sont minces, Clearview AI ayant seulement indiqué que les données ayant fuité concernent « un certain nombre de comptes clients et les recherches que ces derniers ont effectuées ». La jeune pousse ne s'est pas appesantie sur les détails de ce piratage : « La sécurité est la priorité absolue de Clearview », a laconiquement déclaré un avocat de la société dans un communiqué repéré par The Daily Beast. « Malheureusement, les violations de données font partie de la vie au 21e siècle. Nos serveurs n'ont jamais été consultés. Nous avons corrigé la faille et continuons de travailler pour renforcer notre sécurité ».

« Les contours généraux de ce qui a été rapporté semblent indiquer qu'une personne non autorisée a pu exécuter des commandes ou des requêtes limitées contre le serveur ou la base de données », a indiqué Roger Grimes, évangéliste en cybersécurité au sein de l'organisme de formation KnowB4. « Il s'agit d'un type d'attaque très courant provoqué par des erreurs de programmation ou de configuration »

Un service qui fait polémique

A l'heure du RGPD et de la montée en puissance des scandales liés à l'exploitation de données personnelles sur les réseaux sociaux (Cambridge Analytica en tête), l'activité de Clearview AI est sujette à polémique. Cette dernière propose en effet une technologie de reconnaissance faciale s'appuyant sur une banque d'images de 3 milliards de visages enregistrés sur les réseaux sociaux (Facebook, YouTube...). Si officiellement cet outil n'est pas conçu pour de la surveillance, il n'empêche que la société revendique un usage de recherche pour « aider à identifier les agresseurs d'enfants, les meurtriers, les terroristes présumés et d'autres personnes dangereuses de manière rapide, précise et fiable pour assurer la sécurité de nos familles et de nos communautés ».

Le piratage de Clearview AI a soulevé des inquiétudes portant en particulier sur les institutions qui utiliseraient ce service à leurs fins : « Si vous êtes une autorité judiciaire, c'est un gros problème, car vous dépendez de Clearview en tant que fournisseur de services pour avoir une bonne sécurité, et il semble que non », a expliqué David Forscey, directeur de l'organisation à but non lucratif spécialisé dans la cybersécurité, Aspen Cybersecurity Group.