Des chercheurs de l’UC-Berkeley ont découvert que les données de mouvement de la tête et des mains pourraient être aussi efficaces que les empreintes digitales et les scans du visage pour identifier les utilisateurs, soulevant ainsi toute une série de préoccupations en matière de confidentialité à mesure que l’adoption des casques de réalité virtuelle augmente.
Les données de mouvement de la tête et des mains recueillies à partir de casques de réalité virtuelle (VR) pourraient être aussi efficaces pour identifier les individus que les empreintes digitales ou les scans du visage, ont montré des études de recherche récentes de l’Université de Californie à Berkeley. Cela pourrait potentiellement compromettre la confidentialité des utilisateurs lorsqu’ils interagissent dans des environnements virtuels immersifs.
Deux études récentes menées par des chercheurs de l’Université de Californie à Berkeley ont montré comment les données recueillies par les casques de réalité virtuelle pourraient être utilisées pour identifier des individus avec un haut niveau de précision et potentiellement révéler toute une série d’attributs personnels, notamment la taille, le poids, l’âge et même l’état matrimonial, selon un rapport de Bloomberg jeudi.
La demande de casques de réalité virtuelle a considérablement augmenté ces dernières années, alors que des dispositifs de plus en plus puissants deviennent disponibles à des prix plus bas. Selon les analystes d’IDC, les ventes de casques de réalité virtuelle et de réalité augmentée devraient atteindre 10 millions cette année et 25 millions en 2026.
Les dispositifs contiennent une gamme de caméras et de capteurs qui peuvent suivre les mouvements du corps, des yeux et du visage. Ceux-ci servent d’entrées pour les applications logicielles de réalité virtuelle, permettant aux utilisateurs d’interagir avec des environnements virtuels. Les données sont traitées sur un appareil, mais elles peuvent également être partagées avec des serveurs externes, des applications logicielles telles que des jeux et des plates-formes de réunion virtuelle, ce qui peut entraîner un risque de fuite de données personnelles.
Données de mouvement et identifiants uniques Une étude, publiée par les auteurs de l’UC Berkeley en février, a examiné comment les données de mouvement générées dans les dispositifs de réalité virtuelle peuvent être utilisées pour « identifier de manière unique » un utilisateur par ailleurs anonyme.
L’étude a impliqué des données collectées à partir de plus de 55 000 comptes d’utilisateurs sur Beat Saber, un jeu de réalité virtuelle basé sur le rythme populaire qui a vendu des millions d’exemplaires depuis son lancement. Les chercheurs ont analysé des données publiques issues de 2,5 millions d’enregistrements de jeu en utilisant des algorithmes d’apprentissage automatique et ont pu identifier des individus parmi un groupe de 50 000 avec un taux de précision de 94 % en utilisant seulement 100 secondes de données de mouvement de la tête et des mains.
On sait depuis des décennies que les données de mouvement peuvent être utilisées pour identifier des individus, mais les chercheurs de l’UC Berkeley affirment que c’est la première étude à montrer l’ampleur de la menace pour la confidentialité. L’adoption plus large des casques de réalité virtuelle et des jeux comme Beat Saber offre désormais un accès à un ensemble de données beaucoup plus important que les études antérieures, qui reposaient sur des groupes de participants beaucoup plus petits — le plus grand étant de 511 utilisateurs, ont déclaré les chercheurs, en référence à une étude de 2020.
« Ce travail est le premier à démontrer véritablement dans quelle mesure la biomécanique peut servir d’identifiant unique dans la réalité virtuelle, au même titre que les biométriques largement utilisées telles que la reconnaissance faciale ou les empreintes digitales », indique l’article de recherche.
La différence est que la reconnaissance faciale et les empreintes digitales ne sont pas nécessaires pour accéder aux services internet existants, notent les chercheurs dans un document PDF lié aux études, alors que les données de mouvement sont une « partie fondamentale » de la façon dont fonctionnent les dispositifs de réalité augmentée et virtuelle et doivent être partagées avec « une variété de parties pour permettre des expériences de métavers ».
Une autre étude, publiée en juin, a porté sur une enquête auprès de plus de 1 000 participants qui ont répondu à une série de questions sur 50 attributs concernant les antécédents personnels, la démographie, les schémas comportementaux et les informations sur la santé. Les résultats ont montré que plus de 40 pourraient être « inférés de manière cohérente et fiable » lorsque des algorithmes d’apprentissage automatique et d’apprentissage en profondeur étaient appliqués aux données de mouvement générées par les joueurs de Beat Saber.
L’objectif de l’étude était de démontrer que « une grande variété de variables personnelles et sensibles à la confidentialité peuvent être inférées à partir des mouvements de la tête et des mains », ont déclaré les chercheurs. Les résultats devraient mettre en évidence le « besoin urgent de mécanismes de préservation de la confidentialité dans les applications VR multi-utilisateurs ».
Bien que de nombreuses personnes soient habituées à la collecte de données sur les plateformes internet existantes, il y a peu de sensibilisation aux problèmes de confidentialité dans les environnements virtuels immersifs, affirment les chercheurs — et un manque d’outils disponibles pour préserver l’anonymat.
La confidentialité de la réalité virtuelle est une priorité pour les entreprises technologiques Les défis en matière de confidentialité ne sont pas nouveaux, mais les dispositifs de réalité augmentée/virtuelle et les environnements virtuels présentent une nouvelle frontière.
« Comme nous l’avons vu, l’augmentation de la numérisation expose de nouvelles informations privées », a déclaré Tuong Nguyen, analyste directeur chez Gartner. En plus de créer des expériences personnalisées pour les utilisateurs, les données des casques de réalité virtuelle peuvent également être « reconstituées en un profil comportemental – un autre vecteur très détaillé d’informations privées », a ajouté Nguyen.
« Étant donné qu’ils sont portés sur le visage des utilisateurs, les casques de réalité virtuelle sont intrinsèquement intimes », a déclaré Leo Gebbie, analyste chez CCS Insight. Les dispositifs de plus en plus sophistiqués « voient ce que l’utilisateur voit grâce aux caméras externes et peuvent suivre les mouvements et les comportements des utilisateurs grâce à leur gamme de capteurs », a-t-il déclaré. « Cela génère clairement des questions sur les données des utilisateurs et la confidentialité, car il s’agit vraisemblablement d’une forme plus envahissante de technologie portable que tout ce que nous avons vu auparavant. »
À mesure que l’adoption augmente, les vendeurs de casques de réalité virtuelle travaillent déjà à résoudre les problèmes de confidentialité. Cela inclut « limiter la quantité de données biométriques disponibles pour les applications tierces, traiter et conserver des données de suivi supplémentaires sur l’appareil, anonymiser et agréger les données partagées, etc. », a déclaré Nguyen.
La question de la confidentialité des utilisateurs deviendra « extrêmement importante » pour l’industrie de la réalité virtuelle, a déclaré Gebbie. « Nous voyons déjà des entreprises intensifier leurs efforts pour anticiper ces préoccupations. »
Gebbie a cité le futur casque Vision Pro d’Apple, qui comprendra 12 caméras, cinq capteurs et six microphones, mais « conservera les données utilisateur essentielles telles que le suivi oculaire et les scans de l’iris entièrement chiffrées et sur l’appareil, pour apaiser les préoccupations des utilisateurs.
« L’issue de la confidentialité des employés sur le lieu de travail est également une préoccupation » Ces dernières années, divers vendeurs de casques de réalité virtuelle ont porté leur attention sur les cas d’utilisation en entreprise, où les taux d’adoption restent faibles. Jusqu’à présent, les utilisations professionnelles ont largement concerné la formation des employés et l’assistance à distance, bien que les fournisseurs espèrent que la réalité virtuelle sera éventuellement utilisée pour la collaboration et la productivité en milieu de travail.
Les préoccupations en matière de confidentialité des données pourraient susciter une résistance de la part des employés, a déclaré Gebbie. « Les employés peuvent avoir l’impression que les casques de réalité virtuelle portent atteinte à leur vie privée, d’autant plus que de nombreuses personnes travaillent désormais de manière flexible et peuvent résister à l’idée d’introduire un appareil doté de multiples caméras et capteurs dans leur domicile », a-t-il déclaré.
La capacité à identifier les individus via les données de suivi des mouvements pourrait présenter une variété de problèmes. Par exemple, cela pourrait empêcher la séparation des profils professionnels et personnels, ont déclaré les chercheurs de l’UC Berkeley.
« Considérons une personnalité publique qui utilise régulièrement un système de réalité virtuelle avec ses identifiants d’entreprise pour tenir des réunions et effectuer des travaux professionnels. Le soir, elle se connecte avec un compte différent pour jouer à des jeux VR multijoueurs (où elle peut ne pas se comporter de manière très professionnelle), et plus tard dans la soirée, elle utilise un troisième compte pour des expériences VR pour adultes », ont déclaré les chercheurs.
« La plupart des gens dans cette situation préféreraient raisonnablement que les fournisseurs de services ne puissent pas relier ces comptes entre eux. Comme c’est le cas actuellement, les motifs uniques de mouvement de l’utilisateur permettraient à tout observateur (ou groupe d’observateurs en collusion) de lier rapidement tous ces comptes entre eux. »
Les utilisateurs de smartphones et de services cloud ont montré une remarquable volonté de troquer la confidentialité contre la commodité par le passé. Il en va peut-être de même pour la réalité virtuelle.
« Il fut un temps où les employés ne voulaient peut-être pas d’un smartphone professionnel, car cet appareil possède également des caméras, des microphones et rend les gens plus joignables en dehors des heures de travail ; mais cela a été progressivement normalisé en tant que comportement », a déclaré Gebbie. « La réalité virtuelle pourrait suivre un chemin similaire, où il pourrait y avoir une résistance initiale, qui se relâche avec le temps. »
D’un point de vue commercial, les risques liés à la confidentialité des données sont pour l’instant limités, compte tenu de l’adoption limitée en entreprise de la réalité virtuelle à ce jour. « L’utilisation de la réalité virtuelle en entreprise est encore naissante », a déclaré Nguyen. « Il y a des préoccupations à la fois en matière de confidentialité et de sécurité, mais pour le moment, la petite échelle atténue quelque peu le risque potentiel. »
À titre d’exemple, il a déclaré que déployer six smartphones par rapport à un déploiement à l’échelle de l’entreprise signifie différents niveaux de risque.
« Il y a un risque dans les deux cas, mais l’ampleur du dernier change augmente le risque de manière substantielle de manière non linéaire », a-t-il déclaré.
