Protection de la vie privée : Principes et technologies Yves Deswarte deswarte@laas.fr Toulouse, France Sécurité et respect de la vie privée! Deux droits fondamentaux o Déclaration universelle des droits de l homme, ONU, 1948 : " Art. 3 : Tout individu a droit à la vie, à la liberté et à la sûreté de sa personne. " Art. 12 : Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d atteintes à son honneur et sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.
SSI et protection de la vie privée!protection de la vie privée (PVP) = confidentialité d informations personnelles!confidentialité : une des propriétés de la sécurité des systèmes d information (CID)!La SSI fournit les moyens de la PVP : o Authentification, Autorisation, Auditabilité!Mais le diable se niche dans les détails!certains moyens de sécurité o Audit, collecte d éléments de preuve o Traçabilité o Authentification forte, sont des menaces pour la vie privée o Déséquilibre : " Les citoyens honnêtes sont plus observés que les criminels " Les entreprises qui collectent illégalement des données sont plus fortes que leurs victimes " Contrats léonins : ex. Facebook, Google, Apple o Autocensure --> réduction de la liberté
Sommaire!Définitions!Principes de base!technologies de protection de la vie privée o Gestion des identités o Contrôle d accès et autorisation o Communications et accès anonymes o Gestion des données personnelles o Données anonymisées ou pas? o Donner confiance aux utilisateurs 1. Définitions
Privacy Pri va cy noun the state or condition of being free from being observed or disturbed by other people : she returned to the privacy of her own home. the state of being free from public attention : a law to restrict newspapers' freedom to invade people's privacy. Privacy : définitions! Intimité (contraire = promiscuité), respect/protection de la vie privée (PVP)! Critères Communs (ISO 15408) : une classe de fonctionnalité, 4 propriétés : o Anonymat : garantit qu un utilisateur peut utiliser une ressource ou un service sans révéler son identit d utilisateur o Pseudonymat : idem, sauf que l'utilisateur peut quand même avoir à répondre de cette utilisation o Non-chaînabilité : garantit qu un utilisateur peut utiliser plusieurs fois des ressources ou des services sans que d autres soient capables d établir un lien entre ces utilisations o Non-observabilité : garantit qu un utilisateur peut utiliser une ressource ou un service sans que d autres, en particulier des tierces parties, soient capables d observer que la ressource ou le service est en cours d utilisation Pseudonymat < anonymat < non-chaînabilité < non-observabilité
Législations! Internationale!: Lignes directrices de l'ocde sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (3 septembre 1980), lignes directrices pour la règlementation des fichiers de données personnelles automatisés (Résolution ONU n 45/95 du 14 décembre 1990)! Européenne : Convention pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel (Conseil de l Europe, ETS-108, 26/01/81) ; directives 95/46/EC (--> libre circulation) en cours de révision, 2002/58/EC (e-privacy & e-comm) (+ 2006-24-EC sur la conservation des données)! Française : Protection des données à caractère personnel : loi "Informatique et Libertés" du 6/1/78, révisée en 2004 http://www.cnil.fr o Article 1er : «L informatique doit être au service de chaque citoyen [ ] Elle ne doit porter atteinte ni à l identité humaine, ni aux droits de l homme, ni à la vie privée, ni aux libertés individuelles ou publiques» CNIL (1)!Pour tout traitement de données à caractère personnel, il faut garantir : o le respect de la finalité du traitement o la pertinence des données recueillies o la conservation limitée des informations - le droit à l'oubli o la sécurité et la confidentialité o le respect du droit des personnes - obligation d'information préalable des personnes - droit d accès et de rectification - droit d opposition
CNIL (2)!Règles o Interdit de collecter certaines données : " Origines raciales ou ethniques " Opinion politiques, philosophiques, religieuses " Appartenance syndicale " Orientation sexuelle " Santé o sauf exceptions : " Consentement exprès " Traitement nécessaire à la santé ou à la justice " Association à caractère religieux, politique, " Données appelés à être anonymisées " Traitement justifié par l intérêt public CNIL (3)! Pour tout traitement sur des données à caractère personnel, le responsable du traitement doit : o Faire une demande d autorisation préalable " Finalité du traitement " Mode de collecte (information, consentement) " Types des données collectées et traitées " Durée de conservation " Modalités d exercice du droit d accès, de rectification o Pour certains types de traitement (ex. mailing publicitaire), régime de la simple déclaration préalable! Rôle du correspondant à la protection des données personnelles
2. Principes de base 1 er Principe pour protéger la vie privée :! "Souveraineté" : garder le contrôle sur ses données personnelles -> stockage sur un dispositif personnel (carte à puce, PDA, PC ) -> si ces données sont divulguées à un tiers, imposer des obligations sur leur usage o Date de péremption o Notification en cas de transfert ou d'usage non prévu o etc.
2 ème Principe pour protéger la vie privée :! Minimisation des données personnelles ne transmettre une information qu'à ceux qui en ont besoin pour réaliser la tâche qu'on leur confie -> "Besoin d'en connaître" ("need-to-know") puis destruction/oubli! dans le "cyber-espace" comme dans le monde réel! avec des limites : certaines informations personnelles doivent pouvoir être fournies aux autorités judiciaires en cas de litige ou d'enquête (lutte contre le blanchiment d'argent sale, par exemple) "pseudonymat" plutôt qu'anonymat total! Liens : minimisation <--> proportionnalité et finalités légitimes Exemple : commerce électronique (1)! Parties impliquées : un client, un marchand, un service de livraison, des banques, un émetteur de carte de crédit, un fournisseur d'accès Internet,! Le marchand n'a pas besoin (en général) de l'identité du client, mais doit être sûr de la validité du moyen de paiement.! La société de livraison n'a pas besoin de connaître l'identité de l'acheteur, ni ce qui a été acheté (sauf les caractéristiques physiques), mais doit connaître l'identité et l'adresse du destinataire.
Exemple : commerce électronique (2)! La banque du client ne doit pas connaître le marchand ni ce qui est acheté, seulement la référence du compte à créditer, le montant! La banque du marchand ne doit pas connaître le client! Le f.a.i. ne doit rien connaître de la transaction, sinon les caractéristiques techniques de la connexion 3. Technologies de protection de la vie privée PETs: Privacy-Enhancing Technologies
3.1. Identité et authentification!identité = représentation d une personne dans un système d information!authentification = vérification de l identité (contre l usurpation d identité) o Autorisation : accorder et vérifier les droits d accès o Imputabilité : chacun est responsable de ses actes! mais atteinte à la souveraineté et à la minimisation o S il faut présenter son identité pour exercer ses droits --> divulgation de données personnelles o Imputabilité vis-à-vis de la Société, pas vis-à-vis d un individu ou d une entreprise Gestion d'identités multiples! Réduire/contrôler les liens entre une personne et les données la concernant (contrôler la chaînabilité)! Règle : Accès libre : anonymat! Mais : accès personnalisés / privilégiés : pseudonymes o Préférences (ex: météo) o "Rôles" différents -> pseudonymes différents " Ex: contribuable et électeur o Durée de vie liée aux besoins de chaînabilité -> pseudonymes "jetables" o Authentification adaptée au risque d'usurpation d'identité (et à la responsabilité)! Identités virtuelles multiples vs. "single-sign-on" Liberty Alliance <http://www.projectliberty.org> vs. Microsoft Passport
3.2 Autorisation et contrôle d accès! Aujourd'hui sur Internet : client-serveur le serveur accorde ou refuse des privilèges au client en fonction de son identité déclarée (éventuellement vérifiée par des mécanismes d'authentification)! Le serveur doit enregistrer des données personnelles : preuves en cas de litige! Ces données peuvent être utilisées à d'autres fins (profilage des clients, marketing direct, revente de fichiers clients, chantage ) Ce schéma est dépassé!les transactions sur Internet mettent en jeu généralement plus de deux parties (ex : commerce électronique)!ces parties ont des intérêts différents (voire opposés) : suspicion mutuelle!nocif pour la vie privée : opposé au "besoin d'en connaître"
Preuves d'autorisation: credentials!credential = garantie, accréditation!exemples : o cartes d'abonnement, de membre d'association, o permis de conduire, carte d identité, d électeur, Accréditations anonymes?!certificats multiples : ex: SPKI : certificats d'attributs/d'autorisation!certificats restreints : o "Partial Revelation of Certified Identity" Fabrice Boudot, CARDIS 2000 Anonymous Credentials (Idemix)
Signature de groupe Ks(1) Kv 1 clé publique de vérification Ks(n) n clés secrètes de signature Défi = nb aléatoire [! ] Kv =? = Défi! = {Défi} Ks(i) e-cash (1)!Propriétés attendues pour un e-billet de banque : o Anonymat : l e-billet n identifie pas la personne pour qui il a été émis o Infalsifiabilité : seule une banque autorisée peut émettre un e- billet, un e-billet ne peut être modifié o Unicité d encaissement : empêcher une double dépense o Transmissibilité : un e-billet est échangeable entre personnes o Liquidité : un e-billet peut être divisé en plus petites coupures ou agrégé en plus grosses
e-cash (2) : Blind Signature (David Chaum 1982)! Alice génère un nombre aléatoire R, le multiplie par un facteur secret S, affecte une valeur, et l envoie (signé) à la banque : A->B: [R*S, valeur] A! La banque débite le compte d Alice de la valeur, signe le billet et le renvoie à Alice: B->A: [R*S, valeur] B! Alice désaveugle le billet : [R, valeur] B et le dépense chez un marchand! Le marchand M encaisse le billet à sa banque : M->B: [R, valeur] B! La banque vérifie la signature, enregistre le billet R comme encaissé, crédite le compte du marchand de la valeur, puis notifie le marchand, qui donne un reçu à Alice.! Si Alice tente de redépenser le billet (ou si le marchand tente de le ré-encaisser), la banque identifiera le billet comme déjà encaissé. 3.3 Communications & accès anonymes!pb : les communications utilisent des métadonnées à caractère personnel : o @IP, MAC, identification de session, type de navigateur, d OS,!Ces métadonnées permettent le chaînage des accès
Adresse IP= "donnée identifiante" Exemple : Return-Path: <Yves.Deswarte@laas.fr> Received: from laas.laas.fr (140.93.0.15) by mail.libertysurf.net (6.5.026) id 3D518DEF00116A4D for yves.deswarte@libertysurf.fr; Tue, 13 Aug 2002 13:44:40 +0200 Received: from [140.93.21.6] (tsfyd [140.93.21.6]) by laas.laas.fr (8.12.5/8.12.5) with ESMTP id g7dbid1d001531 for <yves.deswarte@libertysurf.fr>; Tue, 13 Aug 2002 13:44:39 +0200 (CEST) User-Agent: Microsoft-Entourage/10.1.0.2006 Date: Tue, 13 Aug 2002 13:44:38 +0200 Subject: test From: Yves Deswarte <Yves.Deswarte@laas.fr> To: <yves.deswarte@libertysurf.fr> Message-ID: <B97EBDC6.2052%Yves.Deswarte@laas.fr> Mime-version: 1.0 Content-type: text/plain; charset="us-ascii" Content-transfer-encoding: 7bit Adresse IP= "info sensible" Exemple : http://67.92.121.169
Adresse IP= localisation
IP V6, réseaux ad hoc,! Demain : IP partout (pervasive/ubiquitous computing, intelligence ambiante, sensor networks, RFID, convergence 4G )! chaque "machin" aura une adresse IP implicite unique et permanente (basée sur un numéro de fabrication)! chaque personne aura plusieurs machins! qui se connecteront aux machins proches (réseaux ad hoc)! qui s'identifieront, routeront leurs communications, fourniront des infos contextuelles, etc. Communications anonymes Supprimer le lien utilisateur - adresse IP :!affectation dynamique des adresses IP (DHCP, PPP, NAT, )!Routeurs d'anonymat : MIX (David Chaum 81) Onion Routing (TOR) Crowds (P2P) Routeur
MIX: Comment ça marche?! bourrage MIX Rejeu ou bourrage? Non Déchiffrement Message Oui tampon Ordre aléatoire MIX / Onion Routing / Tor K 1 (R 1,K 2 (R 2,K Y (R 0,M),A Y ),A 2 ),A 1 X MIX 1 MIX 2 K Y (R 0,M),A Y Y K 2 (R 2,K Y (R 0,M),A Y ),A 2 $ & # %
Crowds/Hords: pair-à-pair! Chaque membre est un MIX pour les autres! Probabilité p d envoyer le message à sa destination (1-p) de l envoyer à un autre membre choisi au hasard Alice PKa Bob PKb Charlie PKc David PKd Eve PKe Internet Liste de membres Inconvénients des MIX! Coût (nb de messages, chiffrement, latence, )! OK pour le mail, Web, pas pour VoIP,! Vulnérable à la collusion entre MIXes --> indépendance entre MIXes?! Vulnérable à un observateur global (analyse statistique) --> distribution sur Internet?! Interactivité : canal de retour + anonymat de relation! Inefficace sur LANs
Idée?!Un serveur unique avec : o Envoi inobservable " Bourrage chiffré " DC-net / envoi superposé o Réception inobservable " Diffusion (avec adressage implicite) " Private Information Retrieval Dining cryptographers (David Chaum 88)!Comment savoir si quelqu un a payé, sans savoir qui a payé? DC-network Protocole : à chaque tour : o Chaque cryptographe i émet : (un message M i ou 0) XOR un brouillage B i o Chaque cryptographe XOR toutes les émissions o Les brouillages sont tels qu ils s annulent par XOR --> résultat = XOR(émissions) " Si aucune information : résultat = 0 " Si un message : tous les participants reçoivent le message M i (en clair) " Si plusieurs messages : collision --> ré-essai (à la aloha)
Envoi superposé Brouillage s auto-annulant! i, j {cryptographes}, i et j partagent une chaîne de bits aléatoires secrète : S i,j = S j,i!au tour k : " Si i n a pas de message à envoyer, il diffuse : B i = XOR i! j (S i,j ) " Si i veut envoyer le message M i, il diffuse : M i XOR B i o XOR i=1..n (B i ) = 0 résultat = M i (si un seul message)
Private Information Retrieval (PIR)! Exemple : PIR parfaitement sûr o Base de données répliquée sur deux serveurs o Composée de N éléments de taille fixe o 2 requêtes : " 1 chaîne S de N bits aléatoires -> serveur 1 " La même chaîne S sauf inversion du k ième bit -> serveur 2 o Réponse de chaque serveur = XOR de tous les éléments i t.q. S i = 1 o Resultat = XOR des deux réponses = k ième élément! Avec des méthodes cryptographiques (chiffrement homomorphe {a + b} = {a}+{b}, résidus quadratiques, ), on peut réaliser des PIRs calculatoirement sûrs sans réplication! PIR = Cas particulier de l oblivious transfer Un serveur de com. inobservable!thèse de Carlos Aguilar (LAAS, 2006) Émission Réception Bourrage chiffré Diffusion EBBS PIR pmix Envoi superposé DC-Net Server pdc-net
Connexion nomade anonyme Roaming : Laptop, PDA, téléphone mobile 1. On génère une @MAC aléatoire 2. On obtient une @IP temporaire 3. Tunnel vers un TTP de roaming 4. Qui génère une autre @IP 5. Authentification par le F.A.I. Accès anonyme à des services! Relais d'anonymat (anonymity proxy) : unidirectionnels ou bidirectionnels o e-mail, news (Usenet) " anon.penet.fi (700 000 utilisateurs en 1996!) " Cypherpunks o ftp o Web : ex: proxify.com o! Serveur de pseudonymes : o e-mail o Identités multiples fournies par des f.a.i. (adresses mél)
3.4 Gestion des données personnelles! Négociation entre l'individu et l'entreprise consentement éclairé ex: coupons de réduction en échange d'une publicité ciblée! Souveraineté : celui qui fournit des informations sur lui-même doit pouvoir contraindre l'usage qui pourrait en être fait --> Obligations ex: à effacer dans 48 h.! Minimisation des données personnelles -> répartition : séparation des pouvoirs, fragmentation des données -> anonymisation + appauvrissement ex: remplacer le code postal par l'identifiant de la région -> Private Information Retrieval (PIR) Ex. de séparation des pouvoirs! Service basé sur la localisation : ex. pharmacie la + proche requête de service Connaît le mandataire, l abonné et sa localisation, mais pas le serveur ni la requête opérateur appel de service Client résultats Mandataire Connaît le serveur et l abonné, mais pas sa localisation ni la requête Connaît le mandataire, la localisation et la requête, mais pas le client serveur
Accès aux données! Principe du moindre privilège : un individu ne doit avoir que les droits minimaux nécessaires à sa tâche! Politique de sécurité et mécanismes de protection : le détenteur d'une information en est responsable (art 34 de la loi «!informatique et libertés!») --> Conserver le minimum de données personnelles!!! Ex. Facebook piraté : http://vimeo.com/5280042! Ces données peuvent être très sensibles : ex: dossiers médicaux o Disponibilité : temps de réponse (urgence), pérennité o Intégrité : nécessaire à la confiance, éléments de preuve o Confidentialité : vie privée <-> intérêts économiques! Privacy = contrôle d'accès + obligations 3.5 Données anonymisées ou pas! 2006 : 20 M requêtes AOL
3.5 Données anonymisées ou pas! 2006 : 20 M requêtes AOL! 2008 : 100 M profils Facebook 3.5 Données anonymisées ou pas! 2006 : 20 M requêtes AOL! 2008 : 100 M profils Facebook! 2010 : Malte Spitz : données GSM
3.5 Données anonymisées ou pas! 2006 : 20 M requêtes AOL! 2008 : 100 M profils Facebook! 2010 : Malte Spitz : données GSM! 2011 : Traces iphone/android 3.5 Données anonymisées ou pas! 2006 : 20 M requêtes AOL! 2008 : 100 M profils Facebook! 2010 : Malte Spitz : données GSM! 2011 : Traces iphone/android! 2011 : 70 M comptes Sony PSN
3.5 Données anonymisées ou pas! 2006 : 20 M requêtes AOL! 2008 : 100 M profils Facebook! 2010 : Malte Spitz : données GSM! 2011 : Traces iphone/android! 2011 : 70 M comptes Sony PSN! 2012 : Google achète la vie privée 3.6 Donner confiance aux utilisateurs que leur vie privée est protégée! Certification & labellisation!approche Trusted Computing Group (TCG) o Support matériel : TPM o Bootstrap sûr o Vérification sceau S/W au chargement o Vérifiable à distance, sans dévoiler d'identité (DAA)
Conclusion Il est possible de renforcer à la fois la sécurité et le respect de la vie privée On peut prouver ses droits sans avoir à dévoiler son identité Développer des technologies de protection de la vie privée qui ne fournissent pas l impunité aux criminels Développer des technologies de sécurité qui ne menacent pas la vie privée Recommandations Analyser les impacts sur la vie privée dès la conception de nouvelles technologies : Privacy by Design, sinon : Privacy by disaster Respecter les principes de souveraineté et de minimisation des données personnelles Développer des nouveaux objets personnels pour faciliter la protection de la vie privée!: ex. stockage de données personnelles, gestion des identités, e-cash, Ex. carte d identité blanche
Droits futurs?!droit à l oubli!droit au mensonge : ex. contre les abus vis-à-vis de la minimisation des données!droit à la répudiation --> authentification la plus faible possible Bibliographie! Simone Fischer-Hübner, IT-Security & Privacy, LNCS 1958, Springer, 2001.! Stefan A. Brands, Rethinking Public Key Infrastructures and Digital Certificates, MIT Press, 2000.! Privacy and Identity Management for Europe (PRIME), Jan Camenisch, Ronald Leenes & Dieter Sommer (Eds.), Springer, LNCS 6545, 2011