Reconnaissance faciale : comment changer de mot de passe quand le mot de passe est notre visage ?

Publié le 26 mai 2026
Reconnaissance faciale : comment changer de mot de passe quand le mot de passe est notre visage ?
© iStock
4 min de lecture

Les deux tiers des habitants de Corée du sud utilisent FacePay, un service de paiement par reconnaissance faciale. Ce dispositif a été lancé sur le marché par Toss, une application de fintech, il y a six mois seulement. Après s’être inscrits sur l’application Toss avec une pièce d’identité officielle, les utilisateurs peuvent utiliser des scanners faciaux installés à cette fin dans environ 330.000 points de vente, principalement des cafés, des restaurants et des supérettes. Il leur suffit de présenter leur visage au scanner pour se voir prélevés de la somme due.

Les consommateurs sud-coréens sont déjà habitués à la reconnaissance faciale : l’usage de la biométrie est largement employé dans le contrôle de l’accès aux aéroports, stades ou salles de concerts.

Reconnaissance faciale à l’entrée des parcs : la Walt Disney Company fait l’objet d’une plainte

Ces technologies sont utilisées par de nombreuses administrations et entreprises à travers le monde, mais avec un consentement parfois moins fort qu’en Corée du sud (cf. « Certificat d’humanité » : Sam Altman, créateur de ChatGPT, affirme vouloir « protéger » internet de l’IA).

La Walt Disney Company fait l’objet d’un recours collectif, déposé le 15 mai à New York, à propos de son utilisation de la technologie de reconnaissance faciale aux entrées de son parc d’attractions Disneyland. En effet, en avril, une technologie de reconnaissance faciale a été installée aux entrées des Disneyland Park et Disney California Adventure Park, afin de « faciliter la réadmission » dans les parcs et « lutter contre la fraude ».

L’entreprise est accusée d’enfreindre le droit à la vie privée des visiteurs et de violer la législation sur la protection des consommateurs. On peut lire dans la plainte que « Disney n’informe pas suffisamment les consommateurs de la collecte de données biométriques ; par conséquent, les consommateurs — parmi lesquels on trouve presque toujours des enfants — n’ont aucune idée que Disney recueille ces données extrêmement sensibles » (cf. AI Act : déjà des « simplifications »).

Un risque de fraude particulièrement sensible

La plainte souligne le fait que les données biométriques peuvent être facilement associées à d’autres données sensibles. En cas d’utilisation frauduleuse, les conséquences peuvent être graves. Les modèles biométriques peuvent en effet être associés aux données bancaires, aux identifiants de connexion à des profils sur les réseaux sociaux ou aux adresses personnelles (cf. Le NHS autorise Palantir à accéder aux données des patients : une décision « dangereuse »).

On peut changer un mot de passe, pas les traits de son visage

Les systèmes de reconnaissance faciale ne conservent pas d’images réelles. Ils « transforment » un visage en un modèle mathématique qui cartographie les proportions des traits. Lorsqu’une autre caméra scanne cette personne par la suite, le système compare son visage en temps réel à ces modèles pour établir son identité. Les proportions uniques du visage peuvent servir de « clé primaire », c’est-à-dire d’identifiant unique et stable qui relie les enregistrements entre eux.

Si une base de données de reconnaissance faciale était piratée, les clefs d’accès à l’application bancaire, aux contrôles d’accès dans les lieux publics, au bureau… ne pourraient pas être réinitialisées. On peut changer un mot de passe, mais on ne peut pas changer les traits de son visage (cf. Un portrait robot à partir d’un échantillon d’ADN ?).

Le risque de se faire « voler son visage »

Il sera également possible, si ce n’est déjà le cas, de combiner le modèle mathématique d’une personne qui a été usurpé avec des outils d’IA qui permettraient à un criminel de « revêtir » un visage pour se faire passer pour sa victime. Et ce double aurait accès à votre historique d’achats, votre messagerie privée… Comment parvenir ensuite à récupérer son identité en ligne ? (cf. Intelligence artificielle : « Nous ne sommes plus dans le temps du débat intellectuel »)

Et le visage n’est pas la seule composante de notre corps qui pourrait être subtilisée (cf. Je suis mon corps). Dans un article disponible sur le serveur de prépublication arXiv, des chercheurs indiquent avoir développé « le premier système d’authentification passive qui exploite les vibrations induites par les battements cardiaques pour vérifier l’identité de l’utilisateur ». Le système est « compatible avec des écouteurs standard ».

Sources de la synthèse de presse : Tech Xplore, Jonathan S. Weissmann (28/04/2026) ; Sud Ouest (17/05/2026) ; CBC News, Jessica Wong (21/05/2026) ; Tech Xplore, Krystal Kasal (21/05/2026)