Respect de la vie privée dans la société de l information

Sébastien Gambs Respect de la vie privée 1 Respect de la vie privée dans la société de l information Sébastien Gambs Chaire de recherche en Sécurité des Systèmes d Information Université de Rennes 1 - INRIA / IRISA sgambs@irisa.fr 29 mars 2011

Sébastien Gambs Respect de la vie privée 2 Triade des besoins fondamentaux de la sécurité Confidentialité : protéger le contenu d un message contre un espion qui écouterait les communications. Authentification : être capable de vérifier l origine d un message ainsi qu éventuellement son intégrité. Disponibilité : assurer la disponibilité d un service/système même contre un adversaire qui essayerait de l attaquer afin de le faire se crasher.

Droit au respect de la vie privée Le droit au respect de la vie privée est un des droits fondamentaux des individus. Exemples : Déclaration des droits de l homme par l Assemblée Générale des Nations Unies (article 12, 1948). Directive européenne 95/46/EC sur la protection des données personnelles. En France, c est la CNIL (Commission Nationale de l Informatique et des Libertés) qui est en charge de faire respecter ce droit. Mon travail en temps que chercheur : Montrer quels sont les risques en termes d atteinte à la vie privée de systèmes informatiques, en étudiant quels sont les attaques possibles contre ce type de systèmes. Développer des moyens de protection et des systèmes plus respectueux de la vie privée des individus. Sébastien Gambs Respect de la vie privée 3

La CNIL et Google Street View Sébastien Gambs Respect de la vie privée 4

Sécurité contre respect de la vie privée? Sébastien Gambs Respect de la vie privée 5

Sébastien Gambs Respect de la vie privée 6 Traces numériques Dans la société de l information, chaque personne laisse constamment des traces numériques qui peuvent être reliées à son identité. Danger : collecte des traces numériques par une entité non-autorisée pour utilisation à des fins malveillantes. Exemple : lorsque vous consultez une page web, il est possible de relier l adresse IP de votre ordinateur à cette page permet d associer le sujet de cette page à votre identité mais aussi d inférer votre localisation bris de vie privée!!!

Retrouver un fugitif grâce à son intérêt pour WoW Sébastien Gambs Respect de la vie privée 7

Sébastien Gambs Respect de la vie privée 8 Adversaire Adversaire : entité collectant les traces numériques d un individu afin de commettre un bris de vie privée. Exemples d adversaire : individu, organisation ou compagnie. Données collectées par : des sources d informations publiques (blogs, réseaux sociaux, aggrégrateurs de données,... ), en récupérant des traces de manière passive ou en profitant d une vulnérabilité du système d information.

Sébastien Gambs Respect de la vie privée 9 Aggrégateurs de données Aggrégrateur de données : moteur de recherche spécialisé dans la collection et la fusion de données à caractère personnel. Partage souvent ses informations avec d autres entités contre rémunération. Exemple : Informations collectées : images, adresse courriel et physique, téléphone, liens, documents, blogs, nuages de tags,...

Exemple de nuage de tags Sébastien Gambs Respect de la vie privée 10

Sébastien Gambs Respect de la vie privée 11 Publicité ciblée et profilage En collectant les traces numériques d un individu, on peut établir un profil de ses intérêts. Exemple : requêtes + adresse email spam ciblé.

Sébastien Gambs Respect de la vie privée 12 Usurpation d identité Si une entité malveillante arrive à collecter suffisamment d informations personnelles vous concernant, elle peut essayer de les utiliser pour usurper votre identité. Exemple : se faire passer pour vous auprès d une banque, faire un prêt en votre nom et disparaître.

Sébastien Gambs Respect de la vie privée 13 Cyberprédateur Si un inconnu se propose d être votre ami sous Facebook, méfiez-vous a priori et soyez conscient qu il peut s être forgé une fausse identité sans que vous puissiez le vérifier. Exemple : cyberprédateur.

Sacrifier sa vie privée pour un petit avantage matériel Sébastien Gambs Respect de la vie privée 14

Sébastien Gambs Respect de la vie privée 15 Marché noir des données personnelles Il existe un marché noir des données personnelles où se vendent les fichiers clients de certaines entreprises. Exemple du prix de vos données personnelles : Sécuriser l accès aux données collectées ne résout pas forcément tous les problèmes. Exemple : un employé renvoyé et en colère peut partir avec la base de données des clients.

Sébastien Gambs Respect de la vie privée 16 Deux principes fondamentaux de protection de la vie privée Minimisation des données: Seule l information nécessaire pour compléter une application particulière devrait être collectée/utilisée (et pas plus). Application directe du critère de légitimité défini par la directive européenne sur la protection des données personnelles (Directive 95/46/EC). Souveraineté des données: Les données liées à un individu lui appartiennent, il devrait pouvoir contrôler comment elles sont disséminées. Extension de plusieurs législations nationales sur les données médicales qui considèrent que le dossier d un patient lui appartient, et non pas au docteur qui le crée ou le met à jour, ni à l hôpital qui les stocke. Difficile à réaliser dans un monde ubiquitaire.

Sébastien Gambs Respect de la vie privée 17 Différents niveaux de protection de la vie privée Pseudonymat : utiliser un pseudonyme au lieu de son vrai nom. Exemple : poster des questions sur un forum de cuisine sous le pseudo el cuisto loco au lieu de Sébastien Gambs. Anonymat : pouvoir réaliser une action sans que cela puisse être reliée à une identité particulière Exemple : pouvoir emprunter un réseau de transports de manière anonyme. Non-chaînabilité : être incapable de relier deux actions anonymes qui ont été menés par le même individu. Non-observabilité : ne pas pouvoir détecter si une action particulière a lieu ou non.

Sébastien Gambs Respect de la vie privée 18 Exemple de bris de vie privée Remplacer l identifiant d une personne par un pseudonyme aléatoire protection de la vie privée

Sébastien Gambs Respect de la vie privée 19 Technologies respectueuses de la vie privée En anglais : Privacy Enhancing Technologies (PETs). Ensemble de mécanismes permettant à un individu de pouvoir protéger son intimité numérique. Exemple : anonymisateur. Service permettant de naviguer anonymement qui masque les informations personnelles (adresse IP, système d exploitation, navigateur,...) aux sites visités.

Réseaux sociaux et respect de la vie privée Lorsque vous acceptez de devenir membre de Facebook, vous renoncez à tous droits sur les informations personnelles que vous y laissez. Contradiction directe avec le principe de souveraineté des données!!! Contradiction directe avec le principe de minimisation des données!!! Sébastien Gambs Respect de la vie privée 20

Sébastien Gambs Respect de la vie privée 21 Risques pour la réputation et la crédibilité Selon une étude américaine environ 44% des employeurs cherchent de l information sur leurs potentiels futurs employés sur les réseaux sociaux. Conséquence : une photo que vous avez mis en ligne à l adolescence peut revenir vous hanter bien des années plus tard.

Attention à l information que vous diffusez Sébastien Gambs Respect de la vie privée 22

Sébastien Gambs Respect de la vie privée 23 Please Rob Me Les informations postées par une personne sous Twitter peut renseigner sur sa localisation

Sébastien Gambs Respect de la vie privée 24 Geo-privacy La geo-privacy 1 cherche à empêcher une entité non-désirée d apprendre la localisation géographique passée, présente et future d un individu (Beresford et Stajano 03). Remarque : les données personnelles spatio-temporelles d un individu peuvent jouer le rôle de quasi-identificateurs. Ainsi, les données d un individu peut permettre d inférer : son lieu d habitation et de travail, son identité, ses centres d intérêts, ses habitudes ou une déviation par rapport à son comportement habituel. Bris de vie privée 1 Aussi appelé parfois locational privacy en anglais.

Sébastien Gambs Respect de la vie privée 25 Exemples de systèmes géo-localisés votre téléphone portable révèle votre position à votre opérateur téléphonique (via les antennes relais les plus proches), votre carte de transport public enregistre vos points d entrée dans le réseau et les horaires correspondants, le système GPS 2 intégré dans certains véhicules peut communiquer la position exacte de l utilisateur en temps réel, l adresse IP d un ordinateur peut être lié à la zone géographique correspondante ou une puce intégré dans un vêtement peut diffuser de façon passive son identifiant par RFID 3. 2 Géo-Positionnement par Satellite. 3 Radio Frequency IDentification.

INRIA Alumni Sébastien Gambs Respect de la vie privée 26

Sébastien Gambs Respect de la vie privée 27 Services liés à l information spatio-temporelle Communication téléphonique : votre opérateur doit savoir où vous êtes pour établir la communication. Statistiques et analyse du trafic : l étude des déplacements de véhicules et/ou de personnes à l intérieur d un réseau peut permettre d analyser sa dynamique et servir pour améliorer son efficacité. Service géo-localisé : service adapté à la position géographique de l utilisateur comme localisation du cinéma ou de la poste la plus proche. Secourisme : dans le cas d un accident d alpinisme ou d un problème en mer, l accès à la localisation géographique permet de secourir rapidement un individu.

Sébastien Gambs Respect de la vie privée 28 Abus lié au contrôle de la localisation géographique L accès à la localisation géographique d un individu peut servir à contrôler son comportement. Exemple :

Pas si différent de... Sébastien Gambs Respect de la vie privée 29

Sébastien Gambs Respect de la vie privée 30 Connaissances a priori L adversaire peut avoir des connaissances a priori lui permettant d essayer d obtenir un bris de vie privée. Exemples de connaissances potentielles : présence d un individu parmi les données anonymisées, connaissance partielle de ses attributs (comme adresse de la maison ou du lieu de travail), modèle de ses habitudes, connaissance de son réseau social, connaissance de la distribution des attributs parmi la population, connaissance géographique des routes et du relief,...

Exemple de connaissance géographique : Google Earth Sébastien Gambs Respect de la vie privée 31

Sébastien Gambs Respect de la vie privée 32 Identification de lieu Supposons qu on dispose des traces GPS de la voiture d un individu où le nom de la personne a été remplacé par un pseudonyme généré aléatoirement. Heuristique pour identifier la maison de cet individu : Choisir le dernier arrêt avant minuit. Heuristique pour identifier le lieu de travail : Choisir l endroit où il y a le moins de déplacement dans la journée. Géocodage inverse : transforme les coordonnées d une localisation en une adresse physique.

Attaque d inférence sur les données géolocalisées Sébastien Gambs Respect de la vie privée 33

Sébastien Gambs Respect de la vie privée 34 Assainissement Assainissement (sanitisation en anglais) : processus qui accroît l incertitude dans les données afin de protéger la vie privée. Compromis inhérent entre le niveau de protection de la vie privée désirée et l utilité des données assainie. Exemple typique d utilisation : rendre public des données. Exemples tirés de l entrée sanitization sous Wikipedia

Sébastien Gambs Respect de la vie privée 35 Masques géographiques Idée principale : modifier la localisation géographique afin de préserver la vie privée d un individu. Exemples de modifications : Aggréger la localisation de plusieurs individus en une seule zone de l espace ou en un seule localisation. Exemple : choisir la localisation moyenne ou médiane parmi un groupe de localisation. Perturber aléatoirement la localisation. Exemple : tirer aléatoirement une direction au hasard et appliquer un bruit de type gaussien. Randomiser la localisation en tenant compte de la densité de la zone de l espace. zone dense perturbation faible zone peu dense perturbation importante

Sébastien Gambs Respect de la vie privée 36 Exemples de masques géographiques (Extrait de Amstrong, Rushton et Zimmerman 99)

Sébastien Gambs Respect de la vie privée 37 Souveraineté sur des données géolocalisées Souveraineté : permettre à l individu de garder le contrôle sur ses données géolocalisées et sur comment elles sont collectées et diffusées. Implémentation en geo-privacy : utiliser le système géolocalisé lui-même pour contôler/limiter l information qui transpire. Exemple 1 : randomisation locale dans le téléphone portable de la position géographique. Adaptation du bruit et son intensité à la sensibilité d un contexte spécifique (exprimé par une politique de vie privée pour la géolocalisation?). Exemple 2 : calcul multiparti sécuritaire périodique pour découvrir des associations possibles pour le co-voiturage.

Sébastien Gambs Respect de la vie privée 38 Incitations à développer le respect de la vie privée Prise de conscience : effort important à faire au niveau de l éducation du grand public afin d atteindre une prise de conscience des risques. Risque malheureusement d arriver suite à des scandales liées à de graves brèches de vie privée. Cadre législatif : avoir des lois ou des directives qui encadrent la collecte et la protection des données géolocalisées. Exemple : loi sur la protection des données géolocalisées, avis de la CNIL ou directive européenne. Incitation commerciale : le respect de la vie privée pourrait être un argument commercial. Exemple : produit labellisé vs produit non-labellisé. Autre incitatif : amende à payer pour les entreprises si fuite avéré d informations géolocalisées.

Quelques conseils pour protéger sa vie privée sur Internet Limiter les traces numériques que vous laissez. Exemple : évitez de donner des informations personnelles non-nécessaires comme par exemple votre numéro de télṕhone, votre adresse ou date de naissance si c est optionnel. Vérifiez quelles informations vous concernant sont en ligne. Exemple : tapez votre nom sous Google ou un moteur de recherche pour voir ce qui en sort. Utilisez les options de contrôle et cloisonnez vos réseaux sociaux. Exemple : si vous avez un compte sous Facebook, allez choisir dans les options de contrôle qui vous autorisez à aller voir vos photos et choisissez comment vous voulez partager vos informations personnelles entre vos amis d enfance, vos collègues de travail et les membres de votre association. Faites jouer votre droit d accès et de rectification. Sébastien Gambs Respect de la vie privée 39

Campagne de sensibilisation : je publie, je réfléchis Sébastien Gambs Respect de la vie privée 40

Souvenez-vous... Sébastien Gambs Respect de la vie privée 41

Souvenez-vous que... Sébastien Gambs Respect de la vie privée 42

Souvenez-vous que le... Sébastien Gambs Respect de la vie privée 43

Souvenez-vous que le Web... Sébastien Gambs Respect de la vie privée 44

Souvenez-vous que le Web n oublie... Sébastien Gambs Respect de la vie privée 45

Souvenez-vous que le Web n oublie pas Sébastien Gambs Respect de la vie privée 46

Sébastien Gambs Respect de la vie privée 47 Objet personnel et respect de la vie privée Une machine appartient souvent à une personne en particulier et peut révéler beaucoup d information personnelle le concernant. bris de vie privée Très intrusif si l appareil est si petit ou si discret que la personne n a même pas conscience de sa présence. Exemple: RFID dans un pull-over.

Sébastien Gambs Respect de la vie privée 48 Traçage Intrusion: une étiquette RFID peut être scanné sans le consentement explicite de son utilisateur (et parfois même sans qu il en ait conscience). Chaque RFID comporte en général un identifiant unique (+ potentiellement d autre information). Si l étiquette est relié à un individu particulier bris de vie privée s il y a un système global de surveillance Menace plus importante si combiné avec de l information auxiliaire.

Sébastien Gambs Respect de la vie privée 49 Illustration du traçage Exemple: si une personne achète un objet équippé avec un RFID en utilisant sa carte de crédit (par exemple un pull-over) possibilité de relier l identité de la personne avec le numéro de l étiquette traçage possible à l intérieur d un réseau de lecteurs RFID possibilité de suivre les mouvements du propriétaire Supposons que l objet soit transmis à une autre personne il pourrait avoir été offert indiquant ainsi une relation sociale possibilité de suivre les mouvements de la connaissance

Sébastien Gambs Respect de la vie privée 50 Inventaire clandestin Inventaire clandestin: Un scanning actif de l utilisateur peut aussi révéler de l information à propos des objets qu il porte, et donc indirectement à son propos. Exemples: vêtements, accessoires, médicaments, cartes,...

Sébastien Gambs Respect de la vie privée 51 Approche par le renommage Idée principale: changer l identifiant du RFID au fur et à mesure du temps pour empêcher la possibilité de faire un traçage. Techniques possibles: Permettre au possesseur d une étiquette RFID de changer l identifiant lui-même avec l équipement adéquat. Rotation parmi une collection de pseudonymes. Rafraîchir la clé (ou l identifiant) au fur à mesure du temps.

Sébastien Gambs Respect de la vie privée 52 Quelque techniques pour protéger la vie privée Codes de terminaison: commande protégée par un PIN qui force le RFID à commettre un suicide. L étiquette est désactivée et ne répond plus aux lecteurs. Exemple: l étiquette sur le pull que vous avez acheté est désactivé quand vous quittez la boutique. Bloqueur d étiquette sélectif: brouille la communication entre l étiquette et le lecteur à moins que le lecteur montre une autorisation valide. Prévient la possibilité que les lecteurs pirates puissent se faire passer pour des vrais lecteurs. Confiance basée sur la distance: utilise le ratio signal-bruit pour estimer si l étiquette/lecteur est valide.

Exemple de bloqueurs d étiquette des laboratoires RSA Sébastien Gambs Respect de la vie privée 53