Ce qu'était I-XRAY

En septembre 2024, les étudiants juniors de Harvard AnhPhu Nguyen et Caine Ardayfio ont construit un système appelé I-XRAY qui enchaînait des lunettes intelligentes grand public, un moteur de recherche inversée par visage et des sites de courtiers en données publics pour identifier des inconnus en temps réel. Ils l'ont démontré dans les transports publics de Boston — en regardant quelqu'un, et en environ 90 secondes voyant le nom, l'adresse domiciliaire, le numéro de téléphone et l'employeur de cette personne sur l'écran d'un téléphone.

Ils ont publié une vidéo de démonstration sur X le 30 septembre 2024, avec le slogan : « Sommes-nous prêts pour un monde où nos données sont exposées d'un coup d'œil ? » À la mi-octobre, la vidéo avait été vue plus de 20 millions de fois. 404 Media, The Verge, Ars Technica, Forbes et le Harvard Crimson ont tous couvert l'affaire.

Les étudiants ont explicitement déclaré qu'ils ne publieraient jamais le code. Il s'agissait d'un projet de démonstration destiné à montrer ce qui était déjà possible avec des outils accessibles au public — et à pousser les gens à se désinscrire des bases de données qui rendent cela possible.

Comment cela fonctionnait techniquement

I-XRAY n'était pas un seul logiciel. C'était un pipeline de services existants, aucun n'ayant été conçu à cette fin :

Étape 1 — Capture. Les lunettes Ray-Ban Meta (Gen 2) diffusaient en direct la vidéo sur Instagram Live. Un programme sur ordinateur portable surveillait le flux en direct et extrayait des images de visages de la vidéo.

Étape 2 — Recherche inversée par visage. Les images de visages étaient téléchargées sur PimEyes, un moteur de recherche inversée par visage basé à Tbilissi, en Géorgie. PimEyes renvoyait des URL de photos indexées publiquement correspondant au visage — pas un nom, mais des liens vers des pages web où ce visage apparaissait.

Étape 3 — Extraction d'identité. Un grand modèle de langage extrayait du texte de ces URL pour déduire un nom, une profession, une école et d'autres détails à partir de pages web non structurées.

Étape 4 — Recherche chez les courtiers en données. Avec un nom identifié, le système interrogeait des sites de recherche de personnes publics — FastPeopleSearch, CheckThem, Instant Checkmate — pour récupérer une adresse domiciliaire, un numéro de téléphone, un âge et des proches.

Étape 5 — Recherche approfondie optionnelle. Avec un numéro de téléphone, le système pouvait interroger des services comme Cloaked.com pour récupérer des chiffres partiels de numéro de sécurité sociale.

Tout le traitement se faisait sur un ordinateur externe, pas sur les lunettes. Les lunettes n'étaient qu'une caméra qui ressemblait à des lunettes ordinaires — ce qui était tout l'intérêt. Nguyen a déclaré à Business Insider que le même pipeline fonctionnerait avec n'importe quelle caméra, y compris un smartphone. Les lunettes rendaient cela discret.

Ce qui a rendu les lunettes centrales

Les étudiants ont choisi les Ray-Ban Meta Gen 2 spécifiquement parce qu'elles « ressemblent presque indiscernablement à des lunettes ordinaires ». Une caméra de téléphone pointée vers quelqu'un dans un train est voyante. Des lunettes qui ressemblent à des lunettes ne le sont pas.

Ils ont également couvert la LED indicateur d'enregistrement pour rendre le scan totalement invisible — un détail qui préfigurait l'enquête sur l'altération de LED de Joanna Stern 20 mois plus tard.

Comment Meta a répondu

La déclaration de Meta, répétée dans plusieurs médias :

« Pour être clair, les lunettes Ray-Ban Meta n'ont pas de technologie de reconnaissance faciale. D'après ce que nous pouvons voir, ces étudiants utilisent simplement un logiciel de reconnaissance faciale accessible au public sur un ordinateur qui fonctionnerait avec des photos prises par n'importe quelle caméra, téléphone ou appareil d'enregistrement. »

Meta a souligné trois points : les lunettes n'exécutent pas la reconnaissance faciale sur l'appareil ; une LED de capture existe et ne peut pas être désactivée par l'utilisateur ; et les conditions d'utilisation interdisent l'altération de la LED. Les étudiants avaient, bien sûr, simplement couvert la LED.

Comment PimEyes a répondu

En janvier 2025, le PDG de PimEyes Giorgi Gobronidze a déclaré à Snopes que l'entreprise n'était « pas impliquée » dans I-XRAY et « ne soutient pas de tels expériences ». PimEyes a indiqué que huit comptes potentiellement liés au projet avaient été fermés et que les étudiants avaient utilisé des comptes personnels — l'entreprise n'avait pas accordé d'accès API.

PimEyes a également maintenu que son service n'« identifie » pas les personnes. Il renvoie des liens vers des pages web où un visage correspondant apparaît. La distinction est techniquement exacte et pratiquement sans importance — les liens mènent à des pages qui contiennent des noms.

Ce qui s'est passé ensuite

Aucun code n'a été publié. Les étudiants ont refusé toutes les demandes. Snopes a confirmé en janvier 2025 que l'outil n'était plus activement maintenu et avait été pleinement fonctionnel pour la dernière fois en novembre 2024.

Aucun imitateur documenté. Malgré l'attention virale, aucune réimplémentation publique d'I-XRAY n'a été trouvée dans les reportages jusqu'en juillet 2026.

Engagement académique. Le Library Innovation Lab de la Harvard Law School a organisé un déjeuner avec le professeur Jonathan Zittrain en janvier 2025 pour discuter du projet et des conseils de désinscription.

Élan législatif. Aucun projet de loi américain ne nomme explicitement I-XRAY, mais la démonstration est devenue un point de référence pour la législation sur la confidentialité des lunettes intelligentes en 2026. Le SB 1130 de Californie (introduit en février 2026) criminalise l'enregistrement secret par appareil portable dans les entreprises et cible le matériel qui désactive les voyants d'enregistrement. Le HB 2603 de Pennsylvanie (introduit en juin 2026) exige des indicateurs d'enregistrement visibles sur les lunettes intelligentes.

Le lien avec NameTag

En juin 2026 — 20 mois après I-XRAY — WIRED a découvert du code dormant de reconnaissance faciale appelé « NameTag » dans l'application Meta AI, qui compte 50 millions de téléchargements. Le code incluait la détection de visage, la génération d'empreintes faciales et un système de correspondance pouvant reconnaître des personnes précédemment rencontrées par le porteur.

I-XRAY et NameTag sont techniquement des systèmes différents. I-XRAY utilisait une recherche inversée par visage tierce pour identifier des inconnus. NameTag utilisait des empreintes faciales biométriques sur l'appareil pour reconnaître des personnes que le porteur avait déjà rencontrées. Mais l'arc est le même : la forme qui rend les lunettes intelligentes utiles pour la photographie et l'assistance IA est la même forme qui permet la surveillance sans consentement.

Meta a retiré presque tout le code NameTag de l'application dans les 24 heures suivant le rapport de WIRED, après la protestation publique et une lettre de coalition menée par l'ACLU signée par 75 organisations.

Pourquoi I-XRAY est important pour la détection

Le pipeline I-XRAY nécessitait que les lunettes diffusent en direct sur Instagram — ce qui signifie que les lunettes transmettaient activement via Wi-Fi et Bluetooth. L'ensemble du pipeline dépendait de la communication sans fil entre les lunettes et le téléphone associé.

C'est exactement le signal que la détection radio lit. Glasses Radar ne tente pas de déterminer si la reconnaissance faciale s'exécute de l'autre côté. Il détecte que des lunettes équipées d'une caméra sont à proximité et communiquent — la condition préalable de toute attaque de type I-XRAY.

La recommandation de désinscription des étudiants était de vous retirer de PimEyes et des sites de courtiers en données. C'est un bon conseil et cela vaut la peine de le faire. Mais c'est une défense a posteriori — cela réduit les dégâts d'une tentative d'identification mais ne vous indique pas qu'une tentative est en cours. La conscience que des lunettes à caméra sont présentes est la première ligne de défense.

Comment se désinscrire des bases de données qu'I-XRAY utilisait

Les étudiants ont publié un Google Doc avec des instructions de désinscription. Les étapes principales :

  1. PimEyes — Demandez le retrait de votre visage de leur index sur pimeyes.com/en/opt-out-request-form
  2. FaceCheck.ID — Soumettez une demande de retrait
  3. FastPeopleSearch — Visitez fastpeoplesearch.com/removal et suivez le formulaire
  4. CheckThem — Demandez le retrait sur checkthem.com/optout
  5. Instant Checkmate — Utilisez instantcheckmate.com/opt-out

Ces retraits réduisent votre exposition mais ne sont pas permanents. Les courtiers en données réindexent les dossiers publics. Se désinscrire est une tâche récurrente, pas un correctif unique.

En résumé

I-XRAY a démontré en 2024 ce que de nombreux chercheurs en confidentialité avaient mis en garde depuis des années : des lunettes intelligentes grand public qui ressemblent à des lunettes ordinaires, combinées à des outils de reconnaissance faciale librement disponibles et à des courtiers en données non réglementés, rendent l'identification d'inconnus en temps réel possible pour quiconque est suffisamment motivé pour enchaîner les outils.

Le code n'a jamais été publié. Le pipeline n'est plus maintenu. Mais chaque composant existe toujours et reste accessible au public. PimEyes fonctionne toujours. Les courtiers en données vendent toujours des dossiers. Et les lunettes se vendent désormais en plus grand volume qu'au moment où la démo est devenue virale.

Le modèle de menace qu'I-XRAY a établi n'est pas hypothétique. Il a été démontré dans un train, devant une caméra, et regardé par des dizaines de millions de personnes.