Protection de la vie privée et des données à caractère personnel

Transcription

1 Protection de la vie privée et des données à caractère personnel Partie 2 - La sécurité informatique au service de la vie privée Guillaume Piolle guillaume.piolle@supelec.fr Supélec, campus de Rennes 7 février 2014 ED Matisse Guillaume Piolle Protection de la vie privée (2/4) 1 / 61

2 1 Sécurité informatique et vie privée Sécurité informatique et vie privée Conflits entre sécurité informatique et vie privée Complémentarités entre sécurité informatique et vie privée La vie privée selon l ISO Principes de conception Le Privacy by Design 2 Cryptologie classique 3 Chiffrement et signature 4 Cryptographie pour la vie privée 5 Anonymisation et désanonymisation Guillaume Piolle Protection de la vie privée (2/4) 2 / 61

3 Sécurité informatique et vie privée La protection de la vie privée est-elle une composante de la sécurité informatique? Dimensions classiques de la sécurité informatique Confidentialité ; Intégrité ; Disponibilité ; + authentification, non-répudiation, contrôle d accès, contrôle de flux... Dimensions de la protection des données personnelles Information ; Consentement ; Droit d accès/rectification/suppression ; Finalité et proportionnalité ; Durée de rétention ; Transmission aux tiers. Guillaume Piolle Protection de la vie privée (2/4) 3 / 61

4 Sécurité informatique et vie privée La protection de la vie privée (ou des données personnelles) peut être considérée du point de vue de la sécurité informatique ; Certaines exigences de la vie privée peuvent être remplies grâce aux outils classiques de la sécurité informatique ; Certaines exigences de la vie privée ne peuvent pas être remplies grâce aux outils classiques de la sécurité informatique ; Certaines exigences de vie privée sont incompatibles avec certaines exigences de la sécurité informatique. Parfois présentée comme une sous-discipline, parfois comme une discipline connexe ou transverse, parfois comme une discipline concurrente. Guillaume Piolle Protection de la vie privée (2/4) 4 / 61

5 Conflits entre sécurité informatique et vie privée Besoin d auditabilité Un impératif de la sécurité informatique : se donner les moyens de détecter les comportements malveillants ou erronés et de désigner des responsables. Outil : conservation de journaux (logs) retraçant l activité d un système (logiciel, serveur web, etc.). Guillaume Piolle Protection de la vie privée (2/4) 5 / 61

6 Conflits entre sécurité informatique et vie privée Exemple de journal d authentification (/var/log/auth.log) Sep 29 20:59:01 vpsxxx CRON[14089]: pam_unix(cron:session): session opened for user root by (uid=0) Sep 29 20:59:01 vpsxxx CRON[14090]: pam_unix(cron:session): session opened for user root by (uid=0) Sep 29 20:59:01 vpsxxx CRON[14090]: pam_unix(cron:session): session closed for user root Sep 29 20:59:01 vpsxxx CRON[14089]: pam_unix(cron:session): session closed for user root Sep 29 20:59:46 vpsxxx sshd[14140]: Did not receive identification string from xxx.xxx Sep 29 21:00:01 vpsxxx CRON[14141]: pam_unix(cron:session): session opened for user root by (uid=0) Sep 30 11:53:18 vpsxxx sshd[6842]: Authentication tried for root with correct key but not from a permitted host (host=nat-profs.rennes.supelec.fr, ip= ). Sep 30 11:53:18 vpsxxx sshd[6842]: Authentication tried for root with correct key but not from a permitted host (host=nat-profs.rennes.supelec.fr, ip= ). Sep 30 11:53:21 vpsxxx sshd[6842]: Accepted password for root from port ssh2 Sep 30 11:53:21 vpsxxx sshd[6842]: pam_unix(sshd:session): session opened for user root by (uid=0) Guillaume Piolle Protection de la vie privée (2/4) 6 / 61

7 Conflits entre sécurité informatique et vie privée Exemple de journal de pare-feu (dans /var/log/messages) Sep 26 10:33:55 vpsxxx kernel: netfilter-input IN=eth0 OUT= MAC=[masqué] SRC=90.84.xxx.xxx DST= yyy.yyy LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=25922 DF PROTO=TCP SPT=59766 DPT=8080 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 26 10:34:47 vpsxxx kernel: netfilter-input IN=eth0 OUT= MAC=[masqué] SRC=90.84.xxx.xxx DST= yyy.yyy LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=20314 DF PROTO=TCP SPT=55315 DPT=8080 WINDOW=5840 RES=0x00 SYN URGP=0 Sep 26 10:34:48 vpsxxx kernel: netfilter-input IN=eth0 OUT= MAC=[masqué] SRC=90.84.xxx.xxx DST= yyy.yyy LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=20315 DF PROTO=TCP SPT=55315 DPT=8080 WINDOW=5840 RES=0x00 SYN URGP=0 Guillaume Piolle Protection de la vie privée (2/4) 7 / 61

8 Conflits entre sécurité informatique et vie privée Exemple de journal Apache (/var/log/apache2/access.log) aaa.aaa - [28/Sep/2011:15:53: ] "GET / HTTP/1.1" "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.0; bbb.bbb - [28/Sep/2011:20:07: ] "GET /phpmyadmin/main.php HTTP/1.0" "-" "-" bbb.bbb - [28/Sep/2011:20:07: ] "GET /phpmyadmin/libraries/select_lang.lib.p HTTP/1.0" "-" "-" ccc.ccc - [28/Sep/2011:20:21: ] "GET / HTTP/1.0" "-" "-" ccc.ccc - [28/Sep/2011:20:21: ] "GET / HTTP/1.0" "-" "-" ccc.ccc - [28/Sep/2011:20:21: ] "HEAD / HTTP/1.1" "-" "Visited by ddd.ddd - [28/Sep/2011:22:49: ] "GET /w00tw00t.at.isc.sans.test0:) HTTP/1.1" "-" "-" eee.eee - [29/Sep/2011:00:37: ] "GET /w00tw00t.at.isc.sans.dfind:) HTTP/1.1" "-" "-" fff. fff - [29/Sep/2011:10:03: ] "GET /w00tw00t.at.isc.sans.dfind:) HTTP/1.1" "-" "-" ggg.ggg - [29/Sep/2011:15:30: ] "GET / HTTP/1.0" "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" Guillaume Piolle Protection de la vie privée (2/4) 8 / 61

9 Conflits entre sécurité informatique et vie privée Obligations de journalisation 2001, Loi sur la Sécurité Quotidienne (LSQ) : les opérateurs télécom doivent conserver les données de connexion pendant un an (mesure temporaire, prolongée ad vitam) ; 2004, Loi sur la Confiance dans l Économie Numérique (LCEN) : conservation des informations identifiant les personnes déposant des contenus en ligne (étendu à tous les fournisseurs d accès) ; 2011, décret d application de la LCEN : conservation des identifiants, peudonymes, mots de passe, données de paiement, coordonnées (étendu aux hébergeurs et éditeurs de sites web). En cas de journalisation insuffisante? Jusqu à 375 ke d amende pour une société, 75 ke et un an d emprisonnement pour son dirigeant. Guillaume Piolle Protection de la vie privée (2/4) 9 / 61

10 Conflits entre sécurité informatique et vie privée Qui peut accéder aux journaux? La justice (commission rogatoire, décision en référé ou en instance) ; La police, sur réquisition simple (sans autorisation judiciaire), depuis la loi du 23 janvier 2006 sur la lutte contre le terrorisme ; L administrateur système/réseau, qui «est tenu d une obligation de confidentialité» (même vis-à-vis de l employeur) et peut accéder aux données «dans le cadre de sa mission de sécurité du réseau informatique» (Cour de Cassation, 17 juin 2009). Risque opérationnel aggravé Pour des prétextes de sécurité (lutte contre le terrorisme), on augmente le risque de dommages en cas d intrusion et on fournit une incitation aux attaquants éventuels. Guillaume Piolle Protection de la vie privée (2/4) 10 / 61

11 Conflits entre sécurité informatique et vie privée Compromis avec d autres notions Liberté d expression ; Droit à l information ; Diffusion et disponibilité des données (ex. des réseaux sociaux distribués) ; Utilisabilité (procédures, politiques de sécurité). Guillaume Piolle Protection de la vie privée (2/4) 11 / 61

12 Complémentarités entre sécurité informatique et vie privée Complémentarités entre sécurité et vie privée Les acteurs sont souvent les mêmes mais pas toujours. Concepteurs de systèmes, administrateurs, RSSI, fournisseurs d accès ou de services... Quels sont les impératifs de chacun? Les problématiques sont proches Les problèmes «durs» en sécurité et en protection des données personnelles sont quasiment les mêmes : contrôle de flux et contrôle d usage efficaces et distants. Guillaume Piolle Protection de la vie privée (2/4) 12 / 61

13 Complémentarités entre sécurité informatique et vie privée L auditabilité n est pas qu une menace Article 39 de la loi Informatique et Libertés ; Obligations de notification des brèches de vie privée ; Importance de démontrer sa capacité à respecter données personnelles et vie privée. Les outils de la sécurité peuvent servir la vie privée Outils de chiffrement classiques ; Cryptologie plus exotique (IBE et consorts, garanties de répudiabilité ou de dénégation plausible, signature de groupe... ) ; Recherche convergente en contrôle de flux et d usage. Guillaume Piolle Protection de la vie privée (2/4) 13 / 61

14 La vie privée selon l ISO Common Criteria for Information Technology Security Evaluation Norme ISO/IEC 15408, successeur de l Orange Book du DoD. Section 7 : protection de la vie privée. Exigences techniques pour assurer la vie privée Anonymat (anonymity) : incapacité des observateurs à déterminer l identité d un utilisateur ; Pseudonymat (pseudonymity) : idem, mais en imposant à l utilisateur de répondre de ses actions ; Non-chaînabilité (unlinkability) : incapacité des observateurs à déterminer si deux actions ont été réalisées par le même utilisateur ; Non-observabilité (unobservability) : incapacité des observateurs à déterminer si une action est en cours. Guillaume Piolle Protection de la vie privée (2/4) 14 / 61

15 Principes de conception Souveraineté des données Faire en sorte que l utilisateur conserve le contrôle sur les données personnelles le concernant : Stocker en priorité données et/ou clés sur ses terminaux personnels ; Contrôler étroitement usage et diffusion, en imposant des obligations (obligations de sécurité, notifications, suppression... ). Guillaume Piolle Protection de la vie privée (2/4) 15 / 61

16 Principes de conception Minimisation des données cf. principe de proportionnalité Ne collecter que les données absolument nécessaires à la finalité ; Ne les transmettre/conserver que si c est absolument nécessaire ; Détruire dès que possible les données non absolument nécessaires ; Le tout dans les limites des obligations d auditabilité des systèmes. Guillaume Piolle Protection de la vie privée (2/4) 16 / 61

17 Le Privacy by Design Principe La protection de la vie privée, comme la sécurité, ne peut être efficace que si elle est pensée dès la conception du système. Les ajouts postérieurs ne peuvent pas espérer colmater des brèches de conception. Le principe, de plus en plus mentionné dans les textes, doit concerner à la fois les intervenants techniques et non techniques, conjointement. Exemples de mise en œuvre : Travail de spécification incluant experts techniques, juristes et décideurs ; Application de méthodes formelles de conception ; Privacy impact assessments ; Systèmes contraints par les politiques ;... Guillaume Piolle Protection de la vie privée (2/4) 17 / 61

18 Le Privacy by Design Les sept principes du PbD Proactif plutôt que réactif, préventif plutôt que correctif ; Considérer la protection de la vie privée comme le réglage par défaut (Privacy by default) ; Intégrer la protection de la vie privée dans la conception du système ; Assurer des fonctionnalités complètes : viser une somme positive, pas une somme nulle ; Assurer la sécurité de bout en bout, avec une protection tout au long du cycle de vie ; Visibilité et transparence viser l ouverture ; Montrer du respect pour la vie privée des utilisateurs centrer les systèmes sur les utilisateurs. Guillaume Piolle Protection de la vie privée (2/4) 18 / 61

19 1 Sécurité informatique et vie privée 2 Cryptologie classique Vocabulaire de la cryptologie Les primitives de la cryptologie Utilisation de la cryptologie 3 Chiffrement et signature 4 Cryptographie pour la vie privée 5 Anonymisation et désanonymisation Guillaume Piolle Protection de la vie privée (2/4) 19 / 61

20 Vocabulaire de la cryptologie Disciplines Cryptographie : étude de la protection de messages à l aide de secrets ; Cryptanalyse : étude du recouvrement de messages protégés sans connaissance du secret ; Cryptologie : union de la cryptographie et de la cryptanalyse. Remarque Pas de cryptographie efficace sans cryptanalyse! Extension du principe à la sécurité informatique en général : LCEN/323-1 CP (exception de «motif légitime») ; DADVSI/L CPI (exception à des «fins de recherche»). Guillaume Piolle Protection de la vie privée (2/4) 20 / 61

21 Vocabulaire de la cryptologie Notions et mécanismes Chiffre : algorithme (méthode, recette) utilisé (différent du code ou du programme) ; Clé : élément secret, connu d un nombre limité de personnes (dépendant de l application) ; Chiffrement : passage du message en clair au message chiffré (en général à l aide d une clé) ; Déchiffrement : passage du chiffré au clair à l aide de la clé appropriée ; Décryptage : passage du chiffré au clair sans l aide de la clé appropriée. N existent pas en français : Crypter, cryptage (mais «décrypter» et «décryptage» sont corrects... ) Guillaume Piolle Protection de la vie privée (2/4) 21 / 61

22 Les primitives de la cryptologie Principaux objectifs recherchés Chiffrement : la confidentialité (Alice veut être sure que seul Bob pourra lire le message en clair) ; Signature : authenticité et intégrité (Bob veut être sûr que c est bien Alice qui a composé le message, et que ce dernier n a pas été modifié). On peut évidemment combiner les deux fonctionnalités. Guillaume Piolle Protection de la vie privée (2/4) 22 / 61

23 Les primitives de la cryptologie Chiffrement symétrique Objectif : Alice veut écrire un message que seul Bob et elle pourront lire. Alice et Bob se mettent d accord sur une clé secrète K ; Alice chiffre un message m avec la clé K : {m} K ; Soit Alice, soit Bob peut déchiffrer le message avec la même clé : {{m} K } K = m. Chiffrement et déchiffrement relativement rapides. La taille des clés peut rester assez faible. Nécessite un secret partagé entre celui qui chiffre et celui qui déchiffre : pas de garantie forte sur l identité de l auteur ou du destinataire. Exemples : RC4, DES, 3DES, AES, Serpent, Twofish... Guillaume Piolle Protection de la vie privée (2/4) 23 / 61

24 Les primitives de la cryptologie Chiffrement asymétrique Objectif : Alice veut écrire un message que seul Bob pourra lire. Bob dispose d un couple de clés (K pub B, K priv B ) ; Alice écrit un message M et récupère la clé publique de Bob ; Alice génère une clé de chiffrement symétrique avec laquelle elle chiffre le message : {M} K ; Alice chiffre la clé symétrique avec la clé publique de Bob : {K} pub ; K B Alice envoie l ensemble à Bob : ({M} K, {K} pub ) ; K B Bob récupère la clé K à l aide de sa clé privée : {{K} pub } priv = K ; K K B A Bob déchiffre le message à l aide de K : {{M} K } K = M Pas besoin de partager un secret. Opérations relativement coûteuses (longues). Tailles de clés relativement élevées. Exemples : RSA, ElGamal, courbes elliptiques... Guillaume Piolle Protection de la vie privée (2/4) 24 / 61

25 Les primitives de la cryptologie Signature cryptographique Objectif : Alice veut écrire un message dont tout le monde pourra vérifier l authenticité (i.e. qu elle en est bien l auteur) et l intégrité (i.e. qu il n a pas été modifié par un tiers). Alice dispose d un couple de clés (K pub A, K priv A ) ; Alice diffuse sa clé publique, de manière que ses interlocuteurs la connaissent ; Alice écrit un message M, dont elle calcule un condensat h(m) ; Alice envoie à Bob le message en clair, le condensat chiffré avec sa clé privée ainsi que sa clé publique (plus précisément son identifiant) : (M, {h(m)} priv K, K pub A ) ; A Bob (ou n importe qui) peut déchiffrer le condensat avec la clé publique d Alice et vérifier qu il est identique au condensat de M qu il recalcule lui-même : h(m) = {{h(m)} priv K } pub A K A Avertissement : le processus présenté ici est simplifié. Exemples : algos de chiffrement asymétrique, DSA... Guillaume Piolle Protection de la vie privée (2/4) 25 / 61

26 Les primitives de la cryptologie Hachage Le hachage (h{m}) est une opération asymétrique, à sens unique, qui peut s opérer sans clé. Le chiffré, indéchiffrable, s appelle un condensat cryptographique (hash), ou parfois empreinte. C est un nombre de taille fixe vérifiant les propriétés suivantes : Le procédé de hachage doit être très rapide ; Deux clairs différents doivent produire des condensats différents ; Une similarité entre deux clairs ne doit pas se traduire par des similarités entre leurs condensats ; Il doit être impossible en pratique (très coûteux en temps de calcul) de trouver un message produisant un condensat donné. Exemples : MD5, SHA1, SHA-256, SHA-512, Whirlpool... Guillaume Piolle Protection de la vie privée (2/4) 26 / 61

27 Utilisation de la cryptologie LCEN ( ), art. 30 I. L utilisation des moyens de cryptologie est libre. Auparavant, limitations sur la taille des clés utilisables, procédures d autorisation ou de déclaration préalables... Certains «moyens de cryptologie» demeurent classés comme armes de guerre de deuxième catégorie. Seule l utilisation est libre! La fourniture, l exportation, l importation peuvent rester réglementés. Guillaume Piolle Protection de la vie privée (2/4) 27 / 61

28 1 Sécurité informatique et vie privée 2 Cryptologie classique 3 Chiffrement et signature Chiffrement de données sur disque Chiffrement et signature de courriers électroniques Chiffrement et signature de messagerie instantanée 4 Cryptographie pour la vie privée 5 Anonymisation et désanonymisation Guillaume Piolle Protection de la vie privée (2/4) 28 / 61

29 Chiffrement de données sur disque Contrôle d accès du système d exploitation : limité au système! Objectif Protéger les données même lorsque le disque dur est extrait suite à un vol, ou analysé depuis un système live (USB/CD/DVD) suite à une intrusion physique. Principe simple Le disque dur, ou une partie seulement, est soumis à un chiffrement symétrique dont seul l utilisateur a la clé, puis est déchiffré à la volée en cas de besoin. Guillaume Piolle Protection de la vie privée (2/4) 29 / 61

30 Chiffrement de données sur disque Exemple de produits Windows : EFS (Encrypted File System), BitLocker ; Mac OS X : FileVault ; Linux : dm-crypt ; Multi-plateforme : TrueCrypt («anti-fbi»). Attention! Comme toujours en sécurité informatique, le principe peut être mathématiquement correct, l algorithme de chiffrement excellent, et pour autant la sécurité peut être détestable à cause d une mise en œuvre défaillante! Exemple : chiffrement AES-256 de l iphone 3GS. Guillaume Piolle Protection de la vie privée (2/4) 30 / 61

31 Chiffrement et signature de courriers électroniques Public Key Infrastructure (PKI) Certificat = clé publique + données d identification, signées (certififées) par une autorité de confiance (cf norme X.509) ; Soit payant, soit fourni par l employeur ou l institution (ex. DGI) ; Support S/MIME intégré aux principaux logiciels ; Certificat pas forcément utilisable pour chiffrer ; La confiance dans la clé publique repose sur la chaîne de certification (cf. caractère arbitraire des autorités racines et piratages d autorités) ; Dépendance vis-à-vis du fournisseur ; Théoriquement inutilisable avec une identité pseudonyme. Guillaume Piolle Protection de la vie privée (2/4) 31 / 61

32 Chiffrement et signature de courriers électroniques PGP/GPG PGP = Pretty Good Privacy (logiciel original), OpenPGP (standard IETF), GPG = GNU Privacy Guard (mise en œuvre en logiciel libre) ; Logiciels GPG disponibles pour toutes les plate-formes (plugin Enigmail pour Mozilla) ; Contrôle total des clés par l utilisateur (génération, révocation, association d adresses... ) ; La confiance dans la clé publique repose sur la notion de Web of Trust ; Utilisable avec n importe quelle adresse électronique (identité réelle ou pseudonyme). Guillaume Piolle Protection de la vie privée (2/4) 32 / 61

33 Chiffrement et signature de messagerie instantanée Off-the-Record (OTR) Messenging : messagerie «officieuse» Propriétés Confidentialité des échanges (chiffrement) ; Authenticité et intégrité (signature) ; Dénégation plausible. Sur la dénégation : Les signatures «classiques» sont non-répudiables ; Les signatures OTR sont intrinsèquement répudiables. Bob peut s assurer que c est bien Alice qui lui envoie un message, mais même s il organise une fuite d information, il ne pourra pas prouver la paternité à quelqu un d autre. Guillaume Piolle Protection de la vie privée (2/4) 33 / 61

34 Chiffrement et signature de messagerie instantanée Perfect forward secrecy : si l ordinateur de Bob est volé et ses clés compromises, les messages envoyés par Alice resteront néanmoins secrets. Disponibilité des logiciels Intégré à Adium X (OS X) ; Plugins pour gaim, Trillian, Miranda ; Proxy pour les clients propriétaires qui le supportent. Guillaume Piolle Protection de la vie privée (2/4) 34 / 61

35 1 Sécurité informatique et vie privée 2 Cryptologie classique 3 Chiffrement et signature 4 Cryptographie pour la vie privée Signatures de groupe Chiffrement homomorphe 5 Anonymisation et désanonymisation Guillaume Piolle Protection de la vie privée (2/4) 35 / 61

36 Signatures de groupe Objectifs On signe un document non en son nom propre, mais au nom du groupe dont on est membre ; Tous les membres du groupe ont des clés privées différentes ; Un «vérifieur» peut, avec la clé publique du groupe, vérifier que c est bien un membre du groupe qui a signé, mais sans pouvoir dire lequel ; [Optionnel] Une procédure existe pour ajouter un nouveau membre au groupe ; [Optionnel] En cas de problème, une procédure existe pour identifier un signataire ; [Optionnel] En cas de problème, une procédure existe pour révoquer la clé d un des membres. Guillaume Piolle Protection de la vie privée (2/4) 36 / 61

37 Signatures de groupe Une architecture simple (mais dynamique) Le groupe possède un administrateur qui : Crée le groupe ; Ajoute des membres (en générant leur clé) ; Peut ouvrir une signature pour vérifier son signataire ; Peut révoquer la clé d un des membres. Ouverture vérifiable La désignation d un membre comme signataire d un message donné peut éventuellement être prouvable. Exemples : schémas de Camenish-Groth (ouverture non vérifiable) ou de Ateniese-Camenish-Joye-Tsudik (ouverture vérifiable). Guillaume Piolle Protection de la vie privée (2/4) 37 / 61

38 Signatures de groupe Une architecture avec séparation des pouvoirs À la création du groupe, deux clés différentes sont créées : Une clé pour générer les clés des nouveaux utilisateurs ; Une clé pour ouvrir les signatures. Ici, ce sont deux personnes différentes qui gèrent les créations/révocations de clés et l ouverture de signatures. Exemples : schéma de Ateniese-Camenish-Joye-Tsudik ou de Kiayias-Yung Guillaume Piolle Protection de la vie privée (2/4) 38 / 61

39 Chiffrement homomorphe Principe du chiffrement homomorphe On chiffre m 1 et m 2 en enc(m 1 ) et enc(m 2 ) ; On applique une opération sur les chiffrés, qui correspond à une opération (différente) sur les messages en clair : f (enc(m 1 ), enc(m 2 )) = enc(f (m 1, m 2 )) On peut confier des calculs à un tiers sans qu il ait à connaître la valeur des données (intérêt évident dans le cadre du cloud computing par exemple). On sait faire efficacement pour un seul type d opération, mais pas pour deux (les clés et les chiffrés ont une taille énorme, chiffrement et déchiffrement sont très lents). Exemples : cryptosystème de Paillier (additif), Gentry, BGV (fully homomorphic) Guillaume Piolle Protection de la vie privée (2/4) 39 / 61

40 1 Sécurité informatique et vie privée 2 Cryptologie classique 3 Chiffrement et signature 4 Cryptographie pour la vie privée 5 Anonymisation et désanonymisation Bases de données anonymes L affaire des requêtes AOL L affaire Netflix Les aventures de Latanya Sweeney Le k-anonymat Au-delà du k-anonymat Guillaume Piolle Protection de la vie privée (2/4) 40 / 61

41 Bases de données anonymes ou anonymisées Absence de données permettant d identifier une personne de manière unique : Retrait des nom et prénom ; Remplacement par un numéro aléatoire ; Remplacement par des psudonymes arbitraires... Sondages anonymes, officiels ou non ; Sondages et questionnaires dont la partie identifiante est ensuite désolidarisée du reste. Guillaume Piolle Protection de la vie privée (2/4) 41 / 61

42 Cadre juridique des bases de données anonymes Si l on considère qu il n y a pas de «données à caractère personnel» parce qu il n y a pas d éléments identifiants, alors la loi Informatique et Libertés ne s applique pas! Conséquence : Aucun droit pour les personnes concernées ; Aucune obligation pour les responsables de traitements ; Aucune restriction à la conservation, la publication, l exploitation, le rapprochement avec d autres bases de données. Mais... aucun problème puisque tout est anonyme? Guillaume Piolle Protection de la vie privée (2/4) 42 / 61

43 L anonymisation parfaite est impossible L anonymisation d une base de données au sens de la loi NE SUFFIT PAS À EMPÊCHER L IDENTIFICATION DES INDIVIDUS dans la majorité des cas. Guillaume Piolle Protection de la vie privée (2/4) 43 / 61

44 Désanonymisation : l affaire des requêtes AOL Juillet 2006 AOL rend public un historique de 20 millions de requêtes (3 mois pour utilisateurs). De bonnes intentions Mise à la disposition de la communauté scientifique, à fins de recherche ; Requêtes «anonymisées» (mais identifiant unique par utilisateur). Guillaume Piolle Protection de la vie privée (2/4) 44 / 61

45 Désanonymisation : l affaire des requêtes AOL Diffusion des données Données republiées par de nombreux sites miroirs ; Développement de nombreux outils d analyse spécialisés. Désanonymisation De nombreux utilisateurs sont identifiés. L utilisateur n a interrogé AOL sur : Les célibataires de 60 ans ; Les tremblements de la main ; Les effets de la nicotine ; Les chiens qui urinent partout ;... Guillaume Piolle Protection de la vie privée (2/4) 45 / 61

46 L affaire des requêtes AOL L utilisateur n Thelma Arnold, 62 ans, Lilburn, Georgie. Identifiée par le New York Times, identité publiée avec l autorisation de la personne concernée. Guillaume Piolle Protection de la vie privée (2/4) 46 / 61

47 L affaire des requêtes AOL Conséquences Nombreuses compilations de requêtes, exotiques ou artistiques, œuvres dérivées. Impact commercial désastreux pour AOL, deux licenciements, démission du Chief Technology Officer, une class action en Californie. Impact pédagogique : accent mis sur le risque lié aux moteurs de recherche, pas sur la désanonymisation de données (peu technique ici). Guillaume Piolle Protection de la vie privée (2/4) 47 / 61

48 Désanonymisation : l affaire Netflix Une démarche inoffensive Netflix : site web collaboratif d évaluation et de recommandation de films : Netflix publie des données d évaluation anonymes, dans le cadre d un concours (Netflix prize, 1M$) visant à améliorer son algorithme de recommandation. Un chercheur recoupe les données anonymes avec celles du site IMDb et «désanonymise» la base. Les goûts cinématographiques des utilisateurs deviennent des données identifiantes! La connaissance de deux notes suffit à identifier 68 % des utilisateurs. Plainte fédérale, Netflix se rétracte et met fin au concours pour cause de risque pour la vie privée. Guillaume Piolle Protection de la vie privée (2/4) 48 / 61

49 Désanonymisation : les aventures de Latanya Sweeney, épisode 1 L affaire du GIC Milieu des années 90 : le Group Insurance Commission du Massachusetts décide de rendre publiques des données «anonymisées» concernant les hospitalisations des employés de l état. L. Sweeney, étudiante à Carnegie Mellon, recoupe ces données avec les listes électorales et envoie le détail de son dossier médical au gouverneur. Le gouverneur fait faire marche arrière au GIC... Guillaume Piolle Protection de la vie privée (2/4) 49 / 61

50 Désanonymisation : les aventures de Latanya Sweeney, épisode 2 Naissance du k-anonymat 2000 : L. Sweeney montre que 87 % des citoyens U.S. peuvent être identifiés de manière unique par leur sexe, leur date de naissance et leur code postal (recoupements faciles avec les registres publics). Publication en 2002 : introduction du concept de k-anonymity, qui mesure de manière mathématique le degré d anonymat d une base de données «anonyme». Guillaume Piolle Protection de la vie privée (2/4) 50 / 61

51 Désanonymisation : problème de l interconnexion de bases de données Guillaume Piolle Protection de la vie privée (2/4) 51 / 61

52 Désanonymisation : une base de données «anonyme» Sondage anonyme (fictif) sur les étudiants d un campus Sexe Taille Orientation sexuelle M hétérosexuel M hétérosexuel M hétérosexuel M bisexuel M hétérosexuel M hétérosexuel M hétérosexuel M hétérosexuel M hétérosexuel M homosexuel M hétérosexuel M autre M hétérosexuel M hétérosexuel M homosexuel Orientation sexuelle : sensible au sens de l article 8 de la loi «Informatique et Libertés». MAIS : sondage complètement anonyme... donc hors du champ de la loi! Réalité de cet «anonymat»? Les étudiants sont-ils tous égaux devant cet «anonymat»? À quelles questions répondez-vous lors de sondages «anonymes»? Guillaume Piolle Protection de la vie privée (2/4) 52 / 61

53 Le k-anonymat Désanonymisation : principes du k-anonymat Quasi-identifiant Ensemble d attributs d une base de données pouvant permettre, dans au moins un cas, d identifier un tuple à l aide d informations externes. N importe quel attribut peut appartenir à un quasi-identifiant! Nouvel éclairage sur la notion de «donnée à caractère personnel» (art. 2 de la loi «Informatique et Libertés»). k-anonymat Une base de données est dite k-anonyme si tout tuple est indistingable d au minimum k 1 autres tuples de la base projetée sur tout quasi-identifiant. Guillaume Piolle Protection de la vie privée (2/4) 53 / 61

54 Le k-anonymat Désanonymisation : retour sur la base d exemple Sondage anonyme (fictif) sur les étudiants d un campus Sexe Taille Orientation sexuelle M hétérosexuel M hétérosexuel M hétérosexuel M bisexuel M hétérosexuel M hétérosexuel M hétérosexuel M hétérosexuel M hétérosexuel M homosexuel M hétérosexuel M autre M hétérosexuel M hétérosexuel M homosexuel La base est 1-anonyme : c est le pire cas! Au moins une personne (deux ici) est ré-identifiable à l aide d une base de données externe facile à concevoir. On peut dire que l individu en gras est 8-anonyme dans la base. Guillaume Piolle Protection de la vie privée (2/4) 54 / 61

55 Le k-anonymat Désanonymisation : k-anonymisation À partir d une base 1-anonyme, obtention d une base «publiable» k-anonyme : Falsification ou obfuscation de certains attributs ; Agrégation ; Projection relationnelle ; Introduction de tuples artificiels... Autres techniques : Injection de bruit dans certains attributs ; Sélection relationnelle... Attention! En k-anonymisant, on limite l intérêt de la base ; La taille du quasi-identifiant dépend de l ensemble des bases dans le monde extérieur. Guillaume Piolle Protection de la vie privée (2/4) 55 / 61

56 Le k-anonymat Désanonymisation : k-anonymisation Exemple de k-anonymisation : algorithmes de type Mondrian Hypothèse : un attribut de la base est soit partie d un QI, soit une donnée sensible ; Objectif : rendre le plus équivoque possible le lien entre une valeur de QI et les données sensibles correspondantes ; Mécanisme : partitionner l espace des QI de manière à former des groupes d au moins k éléments, puis remplacer dans la BD les QI par l identifiant de la partition. On part de l ensemble de tous les QI ; On partitionne au fur et à mesure (par dichotomie par exemple) jusqu à obtenir un maximum de zones de k éléments au minimum. Ces algorithmes sont paramétrables par les caractéristiques des distributions dans chaque zone, par exemple. Guillaume Piolle Protection de la vie privée (2/4) 56 / 61

57 Le k-anonymat Désanonymisation : k-anonymisation Guillaume Piolle Protection de la vie privée (2/4) 57 / 61