Fawkes a déjà été téléchargé près d’un demi-million de fois à partir du site Web du projet. Un utilisateur a également créé une version en ligne, ce qui la rend encore plus facile à utiliser (bien que Wenger ne se porte pas garant de l’utilisation du code par des tiers, avertissant: «Vous ne savez pas ce qui arrive à vos données pendant que cette personne les traite ”). Il n’y a pas encore d’application pour téléphone, mais rien n’empêche quelqu’un d’en créer une, dit Wenger.

Fawkes peut empêcher un nouveau système de reconnaissance faciale de vous reconnaître – le prochain Clearview, par exemple. Mais cela ne sabotera pas les systèmes existants qui ont déjà été formés sur vos images non protégées. Cependant, la technologie s’améliore tout le temps. Wenger pense qu’un outil développé par Valeriia Cherepanova et ses collègues de l’Université du Maryland, l’une des équipes de l’ICLR cette semaine, pourrait résoudre ce problème.

Appelé LowKey, l’outil se développe sur Fawkes en appliquant des perturbations aux images basées sur un type d’attaque adversaire plus fort, qui trompe également les modèles commerciaux pré-entraînés. Comme Fawkes, LowKey est également disponible en ligne.

Ma et ses collègues ont ajouté une touche encore plus grande. Leur approche, qui transforme les images en ce qu’ils appellent des exemples inexplicables, fait en fait une IA ignorer complètement vos selfies. «Je pense que c’est génial», dit Wenger. « Fawkes entraîne un mannequin pour qu’il apprenne quelque chose qui ne va pas sur vous, et cet outil entraîne un mannequin pour qu’il ne sache rien sur vous. »

Des images de moi extraites du Web (en haut) sont transformées en exemples inexplicables (en bas) qu’un système de reconnaissance faciale ignorera. (Crédit à Daniel Ma, Sarah Monazam Erfani et collègues)

Contrairement à Fawkes et à ses partisans, les exemples inexplicables ne sont pas basés sur des attaques contradictoires. Au lieu d’introduire des changements dans une image qui obligent une IA à faire une erreur, l’équipe de Ma ajoute de minuscules changements qui poussent une IA à l’ignorer pendant l’entraînement. Lorsqu’elle sera présentée avec l’image plus tard, son évaluation de ce qu’elle contient ne sera pas meilleure qu’une supposition aléatoire.

Des exemples inexplicables peuvent s’avérer plus efficaces que les attaques contradictoires, car ils ne peuvent pas être entraînés contre. Plus une IA voit d’exemples contradictoires, mieux elle les reconnaît. Mais parce que Ma et ses collègues empêchent une IA de s’entraîner sur des images en premier lieu, ils affirment que cela ne se produira pas avec des exemples inexplicables.

Cependant, Wenger est résigné à une bataille en cours. Son équipe a récemment remarqué que le service de reconnaissance faciale de Microsoft Azure n’était plus usurpé par certaines de leurs images. «Il est soudainement devenu robuste aux images masquées que nous avions générées», dit-elle. «Nous ne savons pas ce qui s’est passé.»

Microsoft a peut-être changé son algorithme, ou l’IA peut simplement avoir vu tellement d’images de personnes utilisant Fawkes qu’elle a appris à les reconnaître. Quoi qu’il en soit, l’équipe de Wenger a publié la semaine dernière une mise à jour de son outil qui fonctionne à nouveau contre Azure. «C’est une autre course aux armements du chat et de la souris», dit-elle.

Pour Wenger, c’est l’histoire d’Internet. «Des entreprises comme Clearview capitalisent sur ce qu’elles perçoivent comme des données disponibles gratuitement et les utilisent pour faire ce qu’elles veulent», dit-elle.

La réglementation pourrait aider à long terme, mais cela n’empêchera pas les entreprises d’exploiter les failles. «Il y aura toujours un décalage entre ce qui est légalement acceptable et ce que les gens veulent réellement», dit-elle. «Des outils comme Fawkes comblent cette lacune.»

«Donnons aux gens un pouvoir qu’ils n’avaient pas auparavant», dit-elle.