Protection de la vie privée dans les réseaux sociaux

Sébastien Gambs Protection de la vie privée : cours 9 1 Protection de la vie privée dans les réseaux sociaux Sébastien Gambs sgambs@irisa.fr 4 décembre 2015

Sébastien Gambs Protection de la vie privée : cours 9 2 Introduction

Sébastien Gambs Protection de la vie privée : cours 9 3 Introduction

Sébastien Gambs Protection de la vie privée : cours 9 4 Réseaux sociaux Réseaux sociaux (en ligne) : sites web qui permettent à leurs utilisateurs de se connecter à d autres utilisateurs avec des activités tel que être ami (Facebook), suivre (Twitter), souscrire (Youtube),... interagir avec du contenu posté par d autres utilisateurs, par exemple en commentant, répondant ou notant ce contenu. restreindre leurs propres contenus à des utilisateurs autorisés. Croissance importante des réseaux sociaux depuis ces dernières années (Facebook, Google+, LinkedIn, Orkut,... ). Exemple : Facebook, qui au départ était destiné seulement aux étudiants de l université d Harvard, a maintenant plus d un milliard d utilisateurs.

Introduction Anonymisation et attaques par infe rence de re seaux sociaux Crite res de respect de la vie prive e Vers des re seaux sociaux plus respectueux de la vie prive e Deux exemples re cents de re seaux sociaux Se bastien Gambs Protection de la vie prive e : cours 9 5

Sébastien Gambs Protection de la vie privée : cours 9 6 Réseaux sociaux et respect de la vie privée Problématique principale : antagonisme entre réseaux sociaux actuels (comme Facebook) et respect de la vie privée. En particulier, les utilisateurs de réseaux sociaux partagent une quantité importante de données personnelles ce qui soulèvent de nombreuses questions par rapport à la protection de la vie privée. Exemples : risques de sécurité, atteinte à la réputation, profilage, droit à l oubli,...

Sébastien Gambs Protection de la vie privée : cours 9 7 Risques de sécurité Exemples de risques de sécurité : usurpation d identité, hameçonnage, prédateur et autres cybercrimes.

Sébastien Gambs Protection de la vie privée : cours 9 8 Risques de profilage Risques de profilage : enregistrement et classification des comportements des individus. usocial recommande des amis potentiels aux compagnies (par exemple sous Twitter) : Prix : 150$ pour 5000 utilisateurs qui sont d accord pour être ami avec une compagnie (ce qui revient à 3 cents par ami). Les Fans, qui expriment simplement leur approbation à une compagnie, sont moins chers.

Sébastien Gambs Protection de la vie privée : cours 9 9 Réputation et crédibilité Reputation et crédibilité : d après une étude (Reppler 11), plus de 90% des compagnies utilisent les réseaux sociaux comme source d information concernant leurs potentiels employés. De plus, plus de 68% ont admis avoir rejet au moins une fois un candidat à cause de l information trouvée.

Sébastien Gambs Protection de la vie privée : cours 9 10 Conséquence possible d une information postée sur Facebook

Sébastien Gambs Protection de la vie privée : cours 9 11 Anonymisation et attaques par inférence de réseaux sociaux

Sébastien Gambs Protection de la vie privée : cours 9 12 Anonymisation d un graphe social Difficulté principale pour anonymiser un graphe (social) : certains motifs dans le graphe sont uniques. Connaissance possible: vous êtes le seul dans le réseau à avoir 47 amis et qui a 3 amis ayant chacun 52 amis. Connaissance plus structurée: Conséquence: anonymiser le graphe en enlevant les étiquettes des noeuds et des arêtes n est pas suffisant.

Sébastien Gambs Protection de la vie privée : cours 9 13 Ce que Facebook révèle à votre propos même si votre profil est privé

Sébastien Gambs Protection de la vie privée : cours 9 14 Ce que Facebook révèle à votre propos même si votre profil est privé

Sébastien Gambs Protection de la vie privée : cours 9 15 Ce que vos amis révèlent à votre propos même si votre profil est privé Idée principale (Zheleva et Ghetoor 09): même si votre profil est privé, la connaissance de votre réseau social + certains des attributs de vos amis inférence de certains de vos attributs personnels. Modélisé comme une tâche d apprentissage semi-supervisé et ensuite un algorithme de propagation d information est utilisé.

Sébastien Gambs Protection de la vie privée : cours 9 16 Project Gaydar Expérience menée par deux étudiants du MIT. Hypothèse principale: les préférences sexuelles de vos amis peuvent réveler de l information à propos de vos propres préfŕences sexuelles. Exemple : si un individu a un nombre important d amis gays alors il a une probabilité non-négligeable d être gay lui aussi. Attaque par inférence: consulter les pages Facebook des amis qui ont un profil public et qui ont déclaré explicitement leur orientation sexuelle. construire un classificateur prédisant si oui ou non un individu est gay.

Sébastien Gambs Protection de la vie privée : cours 9 17

Sébastien Gambs Protection de la vie privée : cours 9 18 Personnalisation du contrôle d accès 1. Personnalisation du contrôle d accès par groupes d utilisateurs et types d information. Exemple : cercles de Google+. 2. Gestion intuitive des réglages concernant la vie privée pour l utilisateur. Possiblement par une interface facile à comprendre ou en exprimant les desiderata de vie privée en langage naturel.

Sébastien Gambs Protection de la vie privée : cours 9 19 Réglages de protection de la vie privée dans Facebook

Sébastien Gambs Protection de la vie privée : cours 9 20 Evolution des réglages par défaut de Facebook

Politique de confidentialité explicite du réseau social 3. Politique de confidentialité explicite de la part du réseau social. D après une étude de Bonneau et Preisbuch (2009), la taille moyenne d une politique de confidentialité pour un réseau social est de 2633 mots (avec une médiane de 2245 mots). Seulement 10% des utilisateurs lisent explicitement la politique de confidentialité de leur réseau social (Jones et Soltren 05). Sébastien Gambs Protection de la vie privée : cours 9 21

Politique de confidentialité explicite des applications 4. Politique de confidentialité explicite de la part des applications. Spécifie quelles données de l utilisateur, une application est autorisée à accéder et comment ces données seront utilisées. Exemple : Remarque : en contradiction directe avec le principe de minimisation des données!!! Sébastien Gambs Protection de la vie privée : cours 9 22

Propriété des données 5. Propriété des données. Les informations personnelles d un individu lui appartiennent et ne sont pas la propriété du réseau social qui les stockent. Exemple : conditions d utilisation de LinkedIn. Remarque : en contradiction directe avec le principe de souveraineté des données!!! Sébastien Gambs Protection de la vie privée : cours 9 23

Sébastien Gambs Protection de la vie privée : cours 9 24 Droit à l oubli 6. Droit à l oubli. Effacement complet des données d un utilisateur si celui-ci choisit de quitter le réseau social. Exemple : conditions d utilisation de Facebook. Exemple : conditions d utilisation de LinkedIn.

Lentille de protection de la vie privée et système de réputation 7. Lentille de protection de la vie privée. Montre comment le profil de l utilisateur apparaîtra vu par d autres individus. Permet de faire prendre conscience à l utilisateur des informations qu il divulgue à travers son réseau social. 8. Système de réputation. Facilite les interactions avec des entités inconnus et encourage les décisions basées sur la confiance. Limite : la réputation peut être falsifiée par des attaques où l adversaire se crée de multiples comptes et fait augmenter artificiellement sa réputation. Sébastien Gambs Protection de la vie privée : cours 9 25

Sébastien Gambs Protection de la vie privée : cours 9 26 Blocage actif des données liées à un utilisateur 9. Blocage actif des données reliées à un utilisateur. Techniques possibles: effacement de tag pointant sur le profil, contrôle de visibilité.

Sébastien Gambs Protection de la vie privée : cours 9 27 Suivi de la dissémination des données personnelles 10. Traçage de la dissémination des données personnelles dans le réseau social (et possiblement à l extérieur. Risque au niveau de la vie privée : vol/distribution non-autorisée de données personnelles telles que des photos ou des vidéos. Détecte et trace la dissémination des données personnelles.

Sébastien Gambs Protection de la vie privée : cours 9 28 Vers des réseaux sociaux plus respectueux de la vie privée

Sébastien Gambs Protection de la vie privée : cours 9 29 Réseau social respecteux de la vie privée Personnalisation du niveau de vie privée : Prise de conscience des utilisateurs concernant les risques de vie privée associés à l utilisation d un réseau social. Manière facile et flexible d exprimer le niveau de protection de la vie privée désirée. Minimisation des données : Tous les applications du réseau social ne devrait pas avoir accès à plus d information que nécessaire pour réaliser leur finalité. Souveraineté des données : Les données personnelles d un utilisateur lui appartiennent et ne sont pas la propriété du réseau social qui les stockent.

Sébastien Gambs Protection de la vie privée : cours 9 30 Approches possibles Approche 1 : Applications ou add-ons pour des réseaux sociaux existants. Approche 2 : Réseau social spécialement conçu pour intégrer la composante vie privée. Exemples : HelloWorld (University of Kaiserlautern), Safebook (Eurécom), Peerson, Diaspora, Movim,... La plupart sont basées sur une architecture décentralisée du type réseau pair-à pair. Avantage supplémentaire : évite d avoir un serveur central qui stocke et à la contrôle sur les données des utilisateurs. Défi principal : avoir un nombre suffisant d utilisateurs dans le réseau social pour que celui-ci vive et attire d autres utilisateurs.

Sébastien Gambs Protection de la vie privée : cours 9 31 Privacy Watch Travail conjoint en cours avec Esma Aïmeur et Ai Thanh Ho (Université de Montréal). Catégorisation des données de l utilisateur :

Sébastien Gambs Protection de la vie privée : cours 9 32 Impact des données sur la protection de la vie privée Basé sur l impact des données par rapport au niveau de vie privée de l utilisateur. Contexte par défaut mais peut être changé plus tard.

Sébastien Gambs Protection de la vie privée : cours 9 33 Différents groupes d amis Quatre groupe initiaux d amis. Peut être modifié, par exemple en ajoutant des catégories supplémentaires.

Sébastien Gambs Protection de la vie privée : cours 9 34 Niveau de protection de vie privée Classification adaptée de Aïmeur, Brassard et Mani Onana (2006). Indique quel type d information peut être partagé avec quel type d amis en fonction du niveau de vie privée choisi par l utilisateur.

Sébastien Gambs Protection de la vie privée : cours 9 35 User Privacy Policy (UPP) Capture les différents niveaux d intimité et de confiance entre un utilisateur et ses amis. Manière flexible d exprimer ses préférences par rapport au respect de la vie privée : Qui a accès aux données? Quel type de données est en train d être accédé? Comment ces données seront elles utilisées? Quel type de suivi est autorisé?

Sébastien Gambs Protection de la vie privée : cours 9 36 Privacy Watch: architecture générale Architecture composé de deux composants : une du côté du serveur (fournisseur du réseau social) et l autre du côté du client (utilisateur du réseau social).

Sébastien Gambs Protection de la vie privée : cours 9 37 Privacy Watch: côté client Le Client Privacy Manager (CPM) est téléchargé et installé comme plug-in du navigateur sur l ordinateur du client.

Sébastien Gambs Protection de la vie privée : cours 9 38 Privacy Advisor Le Privacy Advisor est un module qui aide et guide l utilisateur dans la déclaration de ses préférences de vie privée et à définir son UPP.

Gestionnaire des clés et module de chiffrement/déchiffrement Crée un compte courriel pour le partage des clés. Ce compte sera utilisé comme un canal auxiliaire afin de permettre la distribution des clés entre amis. Clés de chiffrement: une clé différente est générée pour chaque type de données. Implémenté typiquement à l aide d un cryptosystème symmétrique (tel que AES). Clés de contrôle d accès: une clé de groupe est crée pour chaque groupe d amis. Signature de groupe où : les clés privées (une pour chaque ami du groupe) peuvent être utilisées pour signer un message de la part du groupe, la clé publique peut être utilisée pour vérifier la validité d une signature de groupe. Module de chiffrement/déchiffrement: chiffre chaque attribut et les envoie au réseau social. Sébastien Gambs Protection de la vie privée : cours 9 39

Sébastien Gambs Protection de la vie privée : cours 9 40 Privacy Watch: côté serveur Stocke les données de l utilisateur (possible chiffrées) et est en charge des mécanimes de contrôle d accès.

Exemple de scénario Etape 1: Alice souhaite être ami avec Bob Alice travaille avec le Privacy Advisor. Spécifie le groupe d ami pour Bob: Normal Friend. Spécifie le UPP pour Bob. Bob doit accepter ce UPP afin devenir l ami d Alice (possiblement après une phase de négociation). Etape 2: le gestionnaire de clés de Alice envoie à Bob : Sa clé privée du groupe K normal friend. La clé Kpoison de l information d Alice qu il est autorisé à consulter. Etape 3: Bob visite le profil de Alice. Utilise sa clé Knormal friend pour prouver qu il appartient au groupe des Normal friends de Alice. Bob veut voir l album photo d Alice et il télécharge donc une version chiffrée de l album. Utilise la clé Kpoison pour décrypter les données. Sébastien Gambs Protection de la vie privée : cours 9 41

Sébastien Gambs Protection de la vie privée : cours 9 42 Conclusion Contributions : équilibre entre la protection de la vie privée et la facilité d utilisation. Architecture client-serveur : pas de ressource redondante, contrôle centralisé, plus facile de chercher des amis ou des connaissances. Flexibilité : 4 niveau de protection de la vie privée. L utilisateur peut choisir d avoir confiance ou non dans le réseau social. Utilisable aussi bien par ceux qui souhaitent un haut niveau de vie privée (Full Privacy) que des utilisateurs occasionnels (Soft ou No Privacy). UPP : un contrat entre utilisateurs ou entre utilisateurs et les services du réseau social.

Sébastien Gambs Protection de la vie privée : cours 9 43 Avenues de recherche Architecture hybride combinant le meilleurs des deux mondes (centralisé/decentralisé). Forcer le respect du UPP à travers des techniques de vérification a posteriori. Exemple : traçer les violations d une UPP par une combinaison de tatouage numérique et techniques de traçage de traîtres.

Sébastien Gambs Protection de la vie privée : cours 9 44 C est la fin! Merci pour votre attention. Questions?