Protection de la vie privée : Principes et technologies Base des transparents : Yves Deswarte, LAAS, Toulouse Modifs et présentation : Carlos Aguilar, XLIM, Limoges Autres sources : cours PVP de S. Gambs, IRISA, Rennes Lundi 16 janvier 2012 INSA Toulouse, France
Sécurité et respect de la vie privée Deux droits fondamentaux o Déclaration universelle des droits de l homme, ONU, 1948 : Art. 3 : Tout individu a droit à la vie, à la liberté et à la sûreté de sa personne. Art. 12 : Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d atteintes à son honneur et sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. Application : o Sûreté : comment surveiller / faire une investigation? o PVP : comment garantir qu'il n'y a pas d'immixtions? qu'elles ne soient pas arbitraires? Sûreté et PVP sont elles incompatibles?
SSI et protection de la vie privée Protection de la vie privée (PVP) = confidentialité d informations personnelles Confidentialité : une des propriétés de la sécurité des systèmes d information (CID) La SSI fournit les moyens de la PVP : o Authentification, Autorisation, Mais
le diable se niche dans les détails Certains moyens de sécurité o Audit, collecte d éléments de preuve o Traçabilité o Authentification forte, sont des menaces pour la vie privée o Déséquilibre : Les citoyens honnêtes sont plus observés que les criminels Les entreprises qui collectent illégalement des données sont plus fortes que leurs victimes Contrats léonins : ex. Facebook, Google, Apple o Autocensure --> réduction de la liberté
La sécurité à tout prix?
Sommaire Définitions Principes de base Dangers Technologies de protection de la vie privée o Gestion des identités o Contrôle d accès et autorisation o Communications et accès anonymes
1. Définitions
Privacy Pri va cy ˈprīvəsē noun - the state or condition of being free from being observed or disturbed by other people : she returned to the privacy of her own home. - the state of being free from public attention : a law to restrict newspapers' freedom to invade people's privacy.
Privacy : définitions Intimité (contraire = promiscuité), respect/protection de la vie privée (PVP) Critères Communs (ISO 15408) : une classe de fonctionnalité, 4 propriétés : o Anonymat : garantit qu un utilisateur peut utiliser une ressource ou un service sans révéler son identité d utilisateur o Pseudonymat : idem, sauf que l'utilisateur peut quand même avoir à répondre de cette utilisation o Non-chaînabilité : garantit qu un utilisateur peut utiliser plusieurs fois des ressources ou des services sans que d autres soient capables d établir un lien entre ces utilisations o Non-observabilité : garantit qu un utilisateur peut utiliser une ressource ou un service sans que d autres, en particulier des tierces parties, soient capables d observer que la ressource ou le service est en cours d utilisation Pseudonymat < anonymat < non-chaînabilité < non-observabilité
Législations Internationale : Lignes directrices de l'ocde sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (3 septembre 1980), lignes directrices pour la règlementation des fichiers de données personnelles automatisés (Résolution ONU n 45/95 du 14 décembre 1990) Européenne : Convention pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel (Conseil de l Europe, ETS-108, 26/01/81) ; directives 95/46/EC (libre circulation), 2002/58/EC (e-privacy Directive, remplaçant la directive 97/66/EC) + directive 2006-24-EC sur la conservation des données Française : Protection des données à caractère personnel : loi "Informatique et Libertés" du 06/01/78, révisée par loi du 6 août 2004 + loi 94-548 (recherche médicale) http://www.cnil.fr
2. Principes de base
1er Principe pour protéger la vie privée : "Souveraineté" : garder le contrôle sur ses données personnelles -> stockage sur un dispositif personnel (carte à puce, PDA, PC ) -> si ces données sont divulguées à un tiers, imposer des obligations sur leur usage o Date de péremption o Notification en cas de transfert ou d'usage non prévu o etc.
2ème Principe pour protéger la vie privée : Minimisation des données personnelles ne transmettre une information qu'à ceux qui en ont besoin pour réaliser la tâche qu'on leur confie -> "Besoin d'en connaître" ("need-to-know") puis destruction/oubli dans le "cyber-espace" comme dans le monde réel avec des limites : certaines informations personnelles doivent pouvoir être fournies aux autorités judiciaires en cas de litige ou d'enquête (lutte contre le blanchiment d'argent sale, par exemple) "pseudonymat" plutôt qu'anonymat total
Exemple : commerce électronique (1) Parties impliquées : un client, un marchand, un service de livraison, des banques, un émetteur de carte de crédit, un fournisseur d'accès Internet, Le marchand n'a pas besoin (en général) de l'identité du client, mais doit être sûr de la validité du moyen de paiement. La société de livraison n'a pas besoin de connaître l'identité de l'acheteur, ni ce qui a été acheté (sauf les caractéristiques physiques), mais doit connaître l'identité et l'adresse du destinataire.
Exemple : commerce électronique (2) La banque du client ne doit pas connaître le marchand ni ce qui est acheté, seulement la référence du compte à créditer, le montant La banque du marchand ne doit pas connaître le client Le f.a.i. ne doit rien connaître de la transaction, sinon les caractéristiques techniques de la connexion
3. Dangers
La géolocalisation active GPS + réseau : - utilisation volontaire donnant lieu à des services très attirants : Quels amis sont proches? Commerces autour de moi? Att : données fortement identifiantes!
Volontaire?
La géolocalisation passive - votre téléphone révèle votre position à votre opérateur téléphonique (via les antennes relais les plus proches) - l'adresse IP de votre ordinateur peut être liée à la zone géographique où vous êtes - votre carte de transport public enregistre vos points d'accès dans le réseau et les horaires correspondants - tout objet vous étant associé par proximité et interagissant avec un réseau informatique
Surveillance des transmissions (1) Exemples classiques (SAFARI, Echelon,...) David Parker Deux problématiques différentes : - confidentialité de l'information (écoutes) - existence des communications (analyse du trafique) Analyse du trafique = obtention des méta-données. Méta-données : - existence d'un échange - taille et timings des échanges - identités des interlocuteurs Problèmes : localisation, traçage, inférences,...
Surveillance des transmissions (2) Un attaquant peut s intéresser : au contenu d un message; à son en-tête; à son existence. Il est possible de chiffrer le contenu d un message Son en-tête ne peut pas être chiffrée Le message ne peut pas être occulté
Exemples : localisation d un officier
Exemples : localisation dans un bâtiment
Exemples : localisation entre plusieurs sites
Exemples : Inférence d un repérage RADAR
Exemples : Inférence des activités
Exemples : Inférence des habitudes
Et si ça ne me dérange pas?
4. Technologies de protection de la vie privée PETs: Privacy-Enhancing Technologies
4.1. Identité et authentification Identité = représentation d une personne dans un système d information Authentification = vérification de l identité (contre l usurpation d identité) o Autorisation : vérifier les droits d accès o Imputabilité : chacun est responsable de ses actes mais atteinte à la souveraineté et à la minimisation o S il faut présenter son identité pour exercer ses droits --> divulgation de données personnelles o Imputabilité vis-à-vis de la Société, pas vis-à-vis d un individu ou d une entreprise
Gestion d'identités multiples Réduire/contrôler les liens entre une personne et les données la concernant (contrôler la chaînabilité) Règle : Accès libre : anonymat Mais : accès personnalisés / privilégiés : pseudonymes o Préférences (ex: météo) o "Rôles" différents -> pseudonymes différents Ex: contribuable et électeur o Durée de vie liée aux besoins de chaînabilité -> pseudonymes "jetables" o Authentification adaptée au risque d'usurpation d'identité (et à la responsabilité) Identités virtuelles multiples vs. "single-sign-on" Liberty Alliance <http://www.projectliberty.org> vs. Microsoft Passport
4.2 Autorisation et contrôle d accès Aujourd'hui sur Internet : client-serveur le serveur accorde ou refuse des privilèges au client en fonction de son identité déclarée (éventuellement vérifiée par des mécanismes d'authentification) Le serveur doit enregistrer des données personnelles : preuves en cas de litige Ces données peuvent être utilisées à d'autres fins (profilage des clients, marketing direct, revente de fichiers clients, chantage )
Ce schéma est dépassé Les transactions sur Internet mettent en jeu généralement plus de deux parties (ex : commerce électronique) Ces parties ont des intérêts différents (voire opposés) : suspicion mutuelle Nocif pour la vie privée : opposé au "besoin d'en connaître"
Preuves d'autorisation: credentials Credential = garantie, accréditation Exemples : o cartes d'abonnement, de membre d'association, o permis de conduire, carte d identité, d électeur, Certificats multiples : ex: SPKI : certificats d'attributs/d'autorisation Certificats restreints : o "Partial Revelation of Certified Identity" Fabrice Boudot, CARDIS 2000
Anonymous Credentials (Idemix)
Signature de groupe Ks(1) Kv Ks(n) 1 clé publique de vérification Défi = nb aléatoire = {Défi}Ks(i) [ ]Kv =? = Défi n clés secrètes de signature
e-cash (1) Propriétés attendues pour un e-billet de banque : o Anonymat : l e-billet n identifie pas la personne pour qui il a été émis o Infalsifiabilité : seule une banque autorisée peut émettre un e- billet, un e-billet ne peut être modifié o Unicité d encaissement : empêcher une double dépense o Transmissibilité : un e-billet est échangeable entre personnes o Liquidité : un e-billet peut être divisé en plus petites coupures ou agrégé en plus grosses
e-cash (2) : Blind Signature (David Chaum 1982) Alice génère un nombre aléatoire R, le multiplie par un facteur secret S, affecte une valeur, et l envoie (signé) à la banque : A>B: [R*S, valeur]a La banque débite le compte d Alice de la valeur, signe le billet et le renvoie à Alice: B->A: [R*S, valeur]b Alice désaveugle le billet : [R, valeur]b et le dépense chez un marchand Le marchand M encaisse le billet à sa banque : M->B: [R, valeur] B La banque vérifie la signature, enregistre le billet R comme encaissé, crédite le compte du marchand de la valeur, puis notifie le marchand, qui donne un reçu à Alice. Si Alice tente de redépenser le billet (ou si le marchand tente de le ré-encaisser), la banque identifiera le billet comme déjà encaissé.
4.3 Comms. & accès anonymes Pb : les communications utilisent des métadonnées à caractère personnel : o @IP, MAC, identification de session, type de navigateur, d OS, Ces métadonnées permettent le chaînage des accès
Adresse IP= "donnée identifiante" Exemple : Return-Path: <Yves.Deswarte@laas.fr> Received: from laas.laas.fr (140.93.0.15) by mail.libertysurf.net (6.5.026) id 3D518DEF00116A4D for yves.deswarte@libertysurf.fr; Tue, 13 Aug 2002 13:44:40 +0200 Received: from [140.93.21.6] (tsfyd [140.93.21.6]) by laas.laas.fr (8.12.5/8.12.5) with ESMTP id g7dbid1d001531 for <yves.deswarte@libertysurf.fr>; Tue, 13 Aug 2002 13:44:39 +0200 (CEST) User-Agent: Microsoft-Entourage/10.1.0.2006 Date: Tue, 13 Aug 2002 13:44:38 +0200 Subject: test From: Yves Deswarte <Yves.Deswarte@laas.fr> To: <yves.deswarte@libertysurf.fr> Message-ID: <B97EBDC6.2052%Yves.Deswarte@laas.fr> Mime-version: 1.0 Content-type: text/plain; charset="us-ascii" Content-transfer-encoding: 7bit
Adresse IP= "info sensible" Exemple : http://67.92.121.169
Adresse IP= localisation
IP V6, réseaux ad hoc, Demain : IP partout (pervasive/ubiquitous computing, intelligence ambiante, sensor networks, RFID, convergence 4G ) chaque "machin" aura une adresse IP implicite unique et permanente (basée sur un numéro de fabrication) chaque personne aura plusieurs machins qui se connecteront aux machins proches (réseaux ad hoc) qui s'identifieront, routeront leurs communications, fourniront des infos contextuelles, etc.
Communications anonymes Supprimer le lien utilisateur - adresse IP : affectation dynamique des adresses IP (DHCP, PPP, NAT, ) Routeurs d'anonymat : MIX (David Chaum 81) Onion Routing (TOR) Crowds (P2P) Routeur
MIX: Comment ça marche? Rejeu ou bourrage? Message Oui Non MIX bourrage Déchiffrement tampon Ordre aléatoire
MIX / Onion Routing / Tor K1(R1,K2(R2,KY(R0,M),AY),A2),A1 X KY(R0,M),AY MIX 1 MIX 2 Y K2(R2,KY(R0,M),AY),A2
Crowds/Hords: pair-à-pair Chaque membre est un MIX pour les autres Probabilité p d envoyer le message à sa destination (1-p) de l envoyer à un autre membre choisi au hasard Alice PKa Bob PKb Charlie PKc David PKd Eve PKe Liste de membres Internet
Inconvénients des MIX Coût (nb de messages, chiffrement, latence, ) OK pour le mail, Web, pas pour VoIP, Vulnerable à la collusion entre MIXes --> indépendance entre MIXes? Vulnérable à un observateur global (analyse statistique) --> distribution sur Internet? Interactivité : canal de retour + anonymat de relation Inefficace sur LANs
Idée? Un serveur unique avec : o Envoi inobservable Bourrage chiffré DC-net / envoi superposé o Réception inobservable Diffusion (avec adressage implicite) Private Information Retrieval
Dining cryptographers (David Chaum 88) Comment savoir si quelqu un a payé, sans savoir qui a payé? DC-network Protocole : à chaque tour : o Chaque cryptographe i émet : (un message Mi ou 0) XOR un brouillage Bi o Les brouillages sont tels qu ils s annulent par XOR --> résultat = XOR(émissions) Si aucune information : résultat = 0 Si un message (de i) : résultat = message Mi (en clair) Si plusieurs messages : collision --> ré-essai (à la ALOHA)
Envoi superposé
Brouillage s auto-annulant i, j {cryptographes}, i et j partagent une chaîne de bits aléatoires secrète : Si,j = Sj,i Au tour k : Si i n a pas de message à envoyer, il diffuse : Bi = XORi j (Si,j) Si i veut envoyer le message Mi, il diffuse : Mi XOR Bi o XORi=1..n(Bi) = 0 résultat = Mi (si un seul message) Peut se faire aussi avec des sommes Dans ce cas Si,j = - Sj,i
Private Information Retrieval (PIR) Exemple : PIR parfaitement sûr o Base de données répliquée sur deux serveurs o Composée de N éléments de taille fixe o 2 requêtes : 1 chaîne S de N bits aléatoires -> serveur 1 La même chaîne S sauf inversion du kième bit -> serveur 2 o Réponse de chaque serveur = XOR de tous les éléments i t.q. Si =1 o Resultat = XOR des deux réponses = kième élément Avec des méthodes cryptographiques (chiffrement homomorphe {a + b} = {a}+{b}, résidus quadratiques, ), on peut réaliser des PIRs calculatoirement sûrs sans réplication PIR = Cas particulier de l oblivious transfer
Un serveur de com. inobservable Thèse de Carlos Aguilar (LAAS, 2006) Réception Diffusion PIR Bourrage chiffré EBBS pmix Envoi superposé DC-Net Server pdc-net Émission
Accès anonyme à des services Relais d'anonymat (anonymity proxy) : unidirectionnels ou bidirectionnels o e-mail, news (Usenet) anon.penet.fi (700 000 utilisateurs en 1996!) Cypherpunks o ftp o Web : ex: proxify.com o Serveur de pseudonymes : o e-mail o Identités multiples fournies par des f.a.i. (adresses mél)
Conclusion Il est possible de renforcer à la fois la sécurité et le respect de la vie privée On peut prouver ses droits sans avoir à dévoiler son identité Développer des technologies de protection de la vie privée qui ne fournissent pas l impunité aux criminels Développer des technologies de sécurité qui ne menacent pas la vie privée
Recommandations Analyser les impacts sur la vie privée dès la conception de nouvelles technologies : Privacy by Design, sinon : Privacy by disaster Respecter les principes de souveraineté et de minimisation des données personnelles Développer des nouveaux objets personnels pour faciliter la protection de la vie privée : ex. stockage de données personnelles, gestion des identités, e-cash, Ex. carte d identité blanche
Droits futurs? Droit à l oubli Droit au mensonge : ex. contre les abus vis-à-vis de la minimisation des données Droit à la répudiation authentification la plus faible = possible
Bibliographie Sécurité des systèmes d information V.2, dir. Ludovic Mé & Yves Deswarte, Traité IC2, série Réseaux et télécommunications, Hermès, ISBN 2-7462-1259-5, 390 pp., juin 2006. Simone Fischer-Hübner, IT-Security & Privacy, LNCS 1958, Springer, 2001. Stefan A. Brands, Rethinking Public Key Infrastructures and Digital Certificates, MIT Press, 2000. Privacy and Identity Management for Europe (PRIME), Jan Camenisch, Ronald Leenes & Dieter Sommer (Eds.), (à paraître) Springer, LNCS, 2011