Protection de la vie privée : Principes et technologies

Transcription

1 Protection de la vie privée : Principes et technologies Base des transparents : Yves Deswarte, LAAS, Toulouse Modifs et présentation : Carlos Aguilar, XLIM, Limoges Autres sources : cours PVP de S. Gambs, IRISA, Rennes Lundi 16 janvier 2012 INSA Toulouse, France

2 Sécurité et respect de la vie privée Deux droits fondamentaux o Déclaration universelle des droits de l homme, ONU, 1948 : Art. 3 : Tout individu a droit à la vie, à la liberté et à la sûreté de sa personne. Art. 12 : Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d atteintes à son honneur et sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. Application : o Sûreté : comment surveiller / faire une investigation? o PVP : comment garantir qu'il n'y a pas d'immixtions? qu'elles ne soient pas arbitraires? Sûreté et PVP sont elles incompatibles?

3 SSI et protection de la vie privée Protection de la vie privée (PVP) = confidentialité d informations personnelles Confidentialité : une des propriétés de la sécurité des systèmes d information (CID) La SSI fournit les moyens de la PVP : o Authentification, Autorisation, Mais

4 le diable se niche dans les détails Certains moyens de sécurité o Audit, collecte d éléments de preuve o Traçabilité o Authentification forte, sont des menaces pour la vie privée o Déséquilibre : Les citoyens honnêtes sont plus observés que les criminels Les entreprises qui collectent illégalement des données sont plus fortes que leurs victimes Contrats léonins : ex. Facebook, Google, Apple o Autocensure --> réduction de la liberté

5 La sécurité à tout prix?

6 Sommaire Définitions Principes de base Dangers Technologies de protection de la vie privée o Gestion des identités o Contrôle d accès et autorisation o Communications et accès anonymes

7 1. Définitions

8 Privacy Pri va cy ˈprīvəsē noun - the state or condition of being free from being observed or disturbed by other people : she returned to the privacy of her own home. - the state of being free from public attention : a law to restrict newspapers' freedom to invade people's privacy.

9 Privacy : définitions Intimité (contraire = promiscuité), respect/protection de la vie privée (PVP) Critères Communs (ISO 15408) : une classe de fonctionnalité, 4 propriétés : o Anonymat : garantit qu un utilisateur peut utiliser une ressource ou un service sans révéler son identité d utilisateur o Pseudonymat : idem, sauf que l'utilisateur peut quand même avoir à répondre de cette utilisation o Non-chaînabilité : garantit qu un utilisateur peut utiliser plusieurs fois des ressources ou des services sans que d autres soient capables d établir un lien entre ces utilisations o Non-observabilité : garantit qu un utilisateur peut utiliser une ressource ou un service sans que d autres, en particulier des tierces parties, soient capables d observer que la ressource ou le service est en cours d utilisation Pseudonymat < anonymat < non-chaînabilité < non-observabilité

10 Législations Internationale : Lignes directrices de l'ocde sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (3 septembre 1980), lignes directrices pour la règlementation des fichiers de données personnelles automatisés (Résolution ONU n 45/95 du 14 décembre 1990) Européenne : Convention pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel (Conseil de l Europe, ETS-108, 26/01/81) ; directives 95/46/EC (libre circulation), 2002/58/EC (e-privacy Directive, remplaçant la directive 97/66/EC) + directive EC sur la conservation des données Française : Protection des données à caractère personnel : loi "Informatique et Libertés" du 06/01/78, révisée par loi du 6 août loi (recherche médicale)

11 2. Principes de base

12 1er Principe pour protéger la vie privée : "Souveraineté" : garder le contrôle sur ses données personnelles -> stockage sur un dispositif personnel (carte à puce, PDA, PC ) -> si ces données sont divulguées à un tiers, imposer des obligations sur leur usage o Date de péremption o Notification en cas de transfert ou d'usage non prévu o etc.

13 2ème Principe pour protéger la vie privée : Minimisation des données personnelles ne transmettre une information qu'à ceux qui en ont besoin pour réaliser la tâche qu'on leur confie -> "Besoin d'en connaître" ("need-to-know") puis destruction/oubli dans le "cyber-espace" comme dans le monde réel avec des limites : certaines informations personnelles doivent pouvoir être fournies aux autorités judiciaires en cas de litige ou d'enquête (lutte contre le blanchiment d'argent sale, par exemple) "pseudonymat" plutôt qu'anonymat total

14 Exemple : commerce électronique (1) Parties impliquées : un client, un marchand, un service de livraison, des banques, un émetteur de carte de crédit, un fournisseur d'accès Internet, Le marchand n'a pas besoin (en général) de l'identité du client, mais doit être sûr de la validité du moyen de paiement. La société de livraison n'a pas besoin de connaître l'identité de l'acheteur, ni ce qui a été acheté (sauf les caractéristiques physiques), mais doit connaître l'identité et l'adresse du destinataire.

15 Exemple : commerce électronique (2) La banque du client ne doit pas connaître le marchand ni ce qui est acheté, seulement la référence du compte à créditer, le montant La banque du marchand ne doit pas connaître le client Le f.a.i. ne doit rien connaître de la transaction, sinon les caractéristiques techniques de la connexion

16 3. Dangers

17 La géolocalisation active GPS + réseau : - utilisation volontaire donnant lieu à des services très attirants : Quels amis sont proches? Commerces autour de moi? Att : données fortement identifiantes!

18 Volontaire?

19 La géolocalisation passive - votre téléphone révèle votre position à votre opérateur téléphonique (via les antennes relais les plus proches) - l'adresse IP de votre ordinateur peut être liée à la zone géographique où vous êtes - votre carte de transport public enregistre vos points d'accès dans le réseau et les horaires correspondants - tout objet vous étant associé par proximité et interagissant avec un réseau informatique

20 Surveillance des transmissions (1) Exemples classiques (SAFARI, Echelon,...) David Parker Deux problématiques différentes : - confidentialité de l'information (écoutes) - existence des communications (analyse du trafique) Analyse du trafique = obtention des méta-données. Méta-données : - existence d'un échange - taille et timings des échanges - identités des interlocuteurs Problèmes : localisation, traçage, inférences,...

21 Surveillance des transmissions (2) Un attaquant peut s intéresser : au contenu d un message; à son en-tête; à son existence. Il est possible de chiffrer le contenu d un message Son en-tête ne peut pas être chiffrée Le message ne peut pas être occulté

22 Exemples : localisation d un officier

23 Exemples : localisation dans un bâtiment

24 Exemples : localisation entre plusieurs sites

25 Exemples : Inférence d un repérage RADAR

26 Exemples : Inférence des activités

27 Exemples : Inférence des habitudes

28 Et si ça ne me dérange pas?

29 4. Technologies de protection de la vie privée PETs: Privacy-Enhancing Technologies

30 4.1. Identité et authentification Identité = représentation d une personne dans un système d information Authentification = vérification de l identité (contre l usurpation d identité) o Autorisation : vérifier les droits d accès o Imputabilité : chacun est responsable de ses actes mais atteinte à la souveraineté et à la minimisation o S il faut présenter son identité pour exercer ses droits --> divulgation de données personnelles o Imputabilité vis-à-vis de la Société, pas vis-à-vis d un individu ou d une entreprise

31 Gestion d'identités multiples Réduire/contrôler les liens entre une personne et les données la concernant (contrôler la chaînabilité) Règle : Accès libre : anonymat Mais : accès personnalisés / privilégiés : pseudonymes o Préférences (ex: météo) o "Rôles" différents -> pseudonymes différents Ex: contribuable et électeur o Durée de vie liée aux besoins de chaînabilité -> pseudonymes "jetables" o Authentification adaptée au risque d'usurpation d'identité (et à la responsabilité) Identités virtuelles multiples vs. "single-sign-on" Liberty Alliance < vs. Microsoft Passport

32 4.2 Autorisation et contrôle d accès Aujourd'hui sur Internet : client-serveur le serveur accorde ou refuse des privilèges au client en fonction de son identité déclarée (éventuellement vérifiée par des mécanismes d'authentification) Le serveur doit enregistrer des données personnelles : preuves en cas de litige Ces données peuvent être utilisées à d'autres fins (profilage des clients, marketing direct, revente de fichiers clients, chantage )

33 Ce schéma est dépassé Les transactions sur Internet mettent en jeu généralement plus de deux parties (ex : commerce électronique) Ces parties ont des intérêts différents (voire opposés) : suspicion mutuelle Nocif pour la vie privée : opposé au "besoin d'en connaître"

34 Preuves d'autorisation: credentials Credential = garantie, accréditation Exemples : o cartes d'abonnement, de membre d'association, o permis de conduire, carte d identité, d électeur, Certificats multiples : ex: SPKI : certificats d'attributs/d'autorisation Certificats restreints : o "Partial Revelation of Certified Identity" Fabrice Boudot, CARDIS 2000

35 Anonymous Credentials (Idemix)

36 Signature de groupe Ks(1) Kv Ks(n) 1 clé publique de vérification Défi = nb aléatoire = {Défi}Ks(i) [ ]Kv =? = Défi n clés secrètes de signature

37 e-cash (1) Propriétés attendues pour un e-billet de banque : o Anonymat : l e-billet n identifie pas la personne pour qui il a été émis o Infalsifiabilité : seule une banque autorisée peut émettre un e- billet, un e-billet ne peut être modifié o Unicité d encaissement : empêcher une double dépense o Transmissibilité : un e-billet est échangeable entre personnes o Liquidité : un e-billet peut être divisé en plus petites coupures ou agrégé en plus grosses

38 e-cash (2) : Blind Signature (David Chaum 1982) Alice génère un nombre aléatoire R, le multiplie par un facteur secret S, affecte une valeur, et l envoie (signé) à la banque : A>B: [R*S, valeur]a La banque débite le compte d Alice de la valeur, signe le billet et le renvoie à Alice: B->A: [R*S, valeur]b Alice désaveugle le billet : [R, valeur]b et le dépense chez un marchand Le marchand M encaisse le billet à sa banque : M->B: [R, valeur] B La banque vérifie la signature, enregistre le billet R comme encaissé, crédite le compte du marchand de la valeur, puis notifie le marchand, qui donne un reçu à Alice. Si Alice tente de redépenser le billet (ou si le marchand tente de le ré-encaisser), la banque identifiera le billet comme déjà encaissé.

39 4.3 Comms. & accès anonymes Pb : les communications utilisent des métadonnées à caractère personnel : MAC, identification de session, type de navigateur, d OS, Ces métadonnées permettent le chaînage des accès

40 Adresse IP= "donnée identifiante" Exemple : Return-Path: <Yves.Deswarte@laas.fr> Received: from laas.laas.fr ( ) by mail.libertysurf.net ( ) id 3D518DEF00116A4D for yves.deswarte@libertysurf.fr; Tue, 13 Aug :44: Received: from [ ] (tsfyd [ ]) by laas.laas.fr (8.12.5/8.12.5) with ESMTP id g7dbid1d for <yves.deswarte@libertysurf.fr>; Tue, 13 Aug :44: (CEST) User-Agent: Microsoft-Entourage/ Date: Tue, 13 Aug :44: Subject: test From: Yves Deswarte <Yves.Deswarte@laas.fr> To: <yves.deswarte@libertysurf.fr> Message-ID: <B97EBDC6.2052%Yves.Deswarte@laas.fr> Mime-version: 1.0 Content-type: text/plain; charset="us-ascii" Content-transfer-encoding: 7bit

41 Adresse IP= "info sensible" Exemple :

42 Adresse IP= localisation

43

44 IP V6, réseaux ad hoc, Demain : IP partout (pervasive/ubiquitous computing, intelligence ambiante, sensor networks, RFID, convergence 4G ) chaque "machin" aura une adresse IP implicite unique et permanente (basée sur un numéro de fabrication) chaque personne aura plusieurs machins qui se connecteront aux machins proches (réseaux ad hoc) qui s'identifieront, routeront leurs communications, fourniront des infos contextuelles, etc.

45 Communications anonymes Supprimer le lien utilisateur - adresse IP : affectation dynamique des adresses IP (DHCP, PPP, NAT, ) Routeurs d'anonymat : MIX (David Chaum 81) Onion Routing (TOR) Crowds (P2P) Routeur

46 MIX: Comment ça marche? Rejeu ou bourrage? Message Oui Non MIX bourrage Déchiffrement tampon Ordre aléatoire

47 MIX / Onion Routing / Tor K1(R1,K2(R2,KY(R0,M),AY),A2),A1 X KY(R0,M),AY MIX 1 MIX 2 Y K2(R2,KY(R0,M),AY),A2

48 Crowds/Hords: pair-à-pair Chaque membre est un MIX pour les autres Probabilité p d envoyer le message à sa destination (1-p) de l envoyer à un autre membre choisi au hasard Alice PKa Bob PKb Charlie PKc David PKd Eve PKe Liste de membres Internet

49 Inconvénients des MIX Coût (nb de messages, chiffrement, latence, ) OK pour le mail, Web, pas pour VoIP, Vulnerable à la collusion entre MIXes --> indépendance entre MIXes? Vulnérable à un observateur global (analyse statistique) --> distribution sur Internet? Interactivité : canal de retour + anonymat de relation Inefficace sur LANs

50 Idée? Un serveur unique avec : o Envoi inobservable Bourrage chiffré DC-net / envoi superposé o Réception inobservable Diffusion (avec adressage implicite) Private Information Retrieval

51 Dining cryptographers (David Chaum 88) Comment savoir si quelqu un a payé, sans savoir qui a payé? DC-network Protocole : à chaque tour : o Chaque cryptographe i émet : (un message Mi ou 0) XOR un brouillage Bi o Les brouillages sont tels qu ils s annulent par XOR --> résultat = XOR(émissions) Si aucune information : résultat = 0 Si un message (de i) : résultat = message Mi (en clair) Si plusieurs messages : collision --> ré-essai (à la ALOHA)

52 Envoi superposé

53 Brouillage s auto-annulant i, j {cryptographes}, i et j partagent une chaîne de bits aléatoires secrète : Si,j = Sj,i Au tour k : Si i n a pas de message à envoyer, il diffuse : Bi = XORi j (Si,j) Si i veut envoyer le message Mi, il diffuse : Mi XOR Bi o XORi=1..n(Bi) = 0 résultat = Mi (si un seul message) Peut se faire aussi avec des sommes Dans ce cas Si,j = - Sj,i

54 Private Information Retrieval (PIR) Exemple : PIR parfaitement sûr o Base de données répliquée sur deux serveurs o Composée de N éléments de taille fixe o 2 requêtes : 1 chaîne S de N bits aléatoires -> serveur 1 La même chaîne S sauf inversion du kième bit -> serveur 2 o Réponse de chaque serveur = XOR de tous les éléments i t.q. Si =1 o Resultat = XOR des deux réponses = kième élément Avec des méthodes cryptographiques (chiffrement homomorphe {a + b} = {a}+{b}, résidus quadratiques, ), on peut réaliser des PIRs calculatoirement sûrs sans réplication PIR = Cas particulier de l oblivious transfer

55 Un serveur de com. inobservable Thèse de Carlos Aguilar (LAAS, 2006) Réception Diffusion PIR Bourrage chiffré EBBS pmix Envoi superposé DC-Net Server pdc-net Émission

56 Accès anonyme à des services Relais d'anonymat (anonymity proxy) : unidirectionnels ou bidirectionnels o , news (Usenet) anon.penet.fi ( utilisateurs en 1996!) Cypherpunks o ftp o Web : ex: proxify.com o Serveur de pseudonymes : o o Identités multiples fournies par des f.a.i. (adresses mél)

57 Conclusion Il est possible de renforcer à la fois la sécurité et le respect de la vie privée On peut prouver ses droits sans avoir à dévoiler son identité Développer des technologies de protection de la vie privée qui ne fournissent pas l impunité aux criminels Développer des technologies de sécurité qui ne menacent pas la vie privée

58 Recommandations Analyser les impacts sur la vie privée dès la conception de nouvelles technologies : Privacy by Design, sinon : Privacy by disaster Respecter les principes de souveraineté et de minimisation des données personnelles Développer des nouveaux objets personnels pour faciliter la protection de la vie privée : ex. stockage de données personnelles, gestion des identités, e-cash, Ex. carte d identité blanche

59 Droits futurs? Droit à l oubli Droit au mensonge : ex. contre les abus vis-à-vis de la minimisation des données Droit à la répudiation authentification la plus faible = possible

60 Bibliographie Sécurité des systèmes d information V.2, dir. Ludovic Mé & Yves Deswarte, Traité IC2, série Réseaux et télécommunications, Hermès, ISBN , 390 pp., juin Simone Fischer-Hübner, IT-Security & Privacy, LNCS 1958, Springer, Stefan A. Brands, Rethinking Public Key Infrastructures and Digital Certificates, MIT Press, Privacy and Identity Management for Europe (PRIME), Jan Camenisch, Ronald Leenes & Dieter Sommer (Eds.), (à paraître) Springer, LNCS, 2011