3.3.6 Bilan
Comme nous avons pu le voir, de nombreuses attaques visent les mécanismes de réputa- tion [CH07;Del00;HZN09;JIB07]. Tout d’abord, les fournisseurs peuvent blanchir leur répu- tation, pour revenir à une réputation initiale après avoir en avoir obtenu une mauvaise. Les clients et fournisseurs peuvent également se discriminer, en fournissant des services de mau- vaise de qualité ou en émettant des témoignages injustes. Les utilisateurs peuvent aussi essayer de bourrer les urnes pour modifier les réputations, et mettre en œuvre des attaques Sybil pour amplifier les effets des attaques. De ces attaques, Jøsang et coll. jugent que les plus graves concernent le bourrage d’urne et les témoignages injustes :
The problems of unfair ratings and ballot stuffing are probably the hardest to solve in any reputation system that is based on subjective ratings [...] (Jøsang et coll. [JIB07])
Cependant, des solutions existent pour éviter ces attaques, par exemple en imposant un coût à l’entrée du réseau [Bor06] ou en filtrant les témoignages jugés injustes [Liu+11;WJI04]. Il est intéressant de noter que préserver la vie privée des utilisateurs empêche plusieurs types d’at- taques, comme les discriminations ou les extorsions. Et, bien que préserver la vie privée des utilisateurs gêne le filtrage des témoignages, des mécanismes innovants permettent de combi- ner ces deux solutions [BSS10].
Un mécanisme de réputation garantissant les propriétés de sécurité (propriétés3à7) pré- sentées au chapitre1est protégé des bourrages d’urnes, des vols de réputation et des dénis de réputation. De plus, les propriétés de vie privée (propriétés1et2) empêchent un des types de discriminations. La protection contre les blanchiments et contre les attaques Sybil dépend de l’enregistrement des utilisateurs, tandis que la protection contre les autres types de dis- crimination dépend directement du moteur de réputation, et requiert la faculté d’associer les témoignages émis sur un même fournisseur, ce qui correspond à la propriété7.
3.4
Réputation et vie privée
Pour accomplir leur objectif, les mécanismes de réputation requièrent des données pouvant donner des informations sur leurs utilisateurs, qu’ils soient clients ou fournisseurs. Mahler et Olsen expliquent que cette collecte d’informations peut inquiéter les utilisateurs :
Introducing a reputation system requires a rather extensive collection, evaluation and disclosure of data. When deciding whether or not to participate in a reputation system, a potential user’s concern may be whether the system will meet reasonable expectations with respect to privacy. Users may fear that too much information about them is collected and disseminated. (Mahler et Olsen [MO04])
À cet effet, Mahler et Olsen s’intéressent au cadre légal de la protection de la vie privée dans les mécanismes de réputation. Dans l’Union Européenne, ce cadre est régi par la directive sur la protection des données [Eur95]. Mahler et Olsen s’intéressent aux conséquences de cette directive sur la conception des mécanismes de réputation. Cette directive définit entre autres trois notions :
Donnée personnelle La directive définit une donnée personnelle comme « toute information liée à une personne naturelle identifiée ou identifiable », c’est-à-dire tout ce qui peut être perçu, senti ou enregistré à propos d’une personne naturelle – cela ne concerne donc pas les personnes morales.
Sujet de la donnée Le sujet de la donnée est la « personne naturelle » concernée par la donnée personnelle.
Contrôleur de la donnée Le contrôleur de la donnée est celui qui détermine les objectifs et moyens du traitement des données personnelles.
Bygrave explique que les opinions, même fausses, rentrent dans le cadre des données per- sonnelles [Byg02, page 46]. Dans un mécanisme de réputation, les données personnelles sont donc les opinions des utilisateurs, c’est-à-dire les témoignages. Les sujets des données sont donc les témoins ayant émis les témoignages. Dans un mécanisme centralisé, le contrôleur des données est l’autorité centrale, tandis qu’il peut être constitué de plusieurs utilisateurs dans un mécanisme distribué. En plus de ces trois notions, Mahler et Olsen introduisent le sujet de la réputationpour désigner les fournisseurs de service ciblés par les témoignages [MO04]. Finalement, Mahler et Olsen décrivent neufs principes que doivent suivre les mécanismes de réputation afin de respecter la directive sur la protection des données. De ces neuf principes, les cinq principaux sont les suivant :
1. Les utilisateurs doivent donner leur consentement éclairé avant de témoigner ; 2. Le but des mécanismes de réputation doit être clairement défini ;
3. La collecte, le stockage et la dissémination des données doivent être limités aux éléments indispensables ;
4. La collecte des données et l’évaluation des scores de réputation doivent être transparentes et clairement expliquées aux utilisateurs ;
5. Les données personnelles doivent être sécurisées.
En respectant ces principes, Mahler et Olsen expliquent qu’un mécanisme de réputation amé- liore son utilité, et facilite son acceptation par les utilisateurs. Le troisième point est notamment intéressant, car il explique que les informations non nécessaires ne doivent pas être collectées ; c’est le cas de l’identifiant des clients.
Steinbrecher s’appuie sur cette analyse pour étudier plus en détails les propriétés de vie pri- vée que les mécanismes de réputation doivent garantir à leurs utilisateurs [Ste08]. Steinbrecher rappelle néanmoins que les mécanismes de réputation ne doivent pas compromettre leur utilité afin de préserver la vie privée de leurs utilisateurs : un mécanisme de réputation préservant la vie privée ne sera pas utilisé s’il ne permet pas de calculer des scores de réputation résumant précisément les comportements des fournisseurs de service.
Selon Steinbrecher, les mécanismes de réputation doivent remplir plusieurs critères en terme de sécurité [Ste08] ; notamment, les témoignages doivent être inforgeables et les scores de ré- putation doivent être disponibles. Au niveau des propriétés de vie privée, Steinbrecher explique que les mécanismes de réputation doivent garantir deux propriétés principales, tirées des tra- vaux de Pfitzmann et Hansen [PH10]. La première correspond à l’anonymat des utilisateurs, qui est défini par Pfitzmann et Hansen comme « [...] the state of being not identifiable within a