Une architecture d’auto-profilage (self-profiling)

En 2002, Siani Pearson pr´esente une architecture ✭✭ am´eliorant la vie priv´ee de l’utilisateur par l’auto-profilage ✮✮ (sic) [Pea02a]. Cette architecture, fond´ee sur l’informatique de confiance, est l’une des premi`eres dans laquelle celle-ci est utilis´ee avec l’id´ee d’am´eliorer la protection de l’utilisateur.

5.2.2.1 G´en´eration et gestion des profils

Dans cette architecture, la machine de l’utilisateur (si`ege d’un ´eventuel agent utilisateur) est une plate-forme de confiance, et l’agent distant (l’agent de service) en re¸coit des garanties. La plate-forme de confiance g`ere un certain nombre d’identit´es virtuelles, chacune attach´ee `a un pseudonyme choisi par l’utilisateur et `a une cl´e d’identit´e d’attestation AIK. Pour chaque identit´e, la plate-forme cr´ee et g`ere un profil utilisateur correspondant `a un mod`ele particulier (d´efini dans le cadre d’une application avec un agent de service distant). Ainsi, les informations de profil de l’utilisateur demeurent la plupart du temps sur sa plate-forme mat´erielle, choix technologique d´efendu comme le plus favorable pour le contrˆole et la protection de ses donn´ees19. Ces donn´ees y sont prot´eg´ees par les m´ecanismes de chiffrement du TPM afin d’assurer leur confidentialit´e `a l’´echelle de la plate-forme (permettant ainsi un contrˆole d’acc`es local ´elabor´e). Les informations de profilage sont collect´ees automatiquement par la plate-forme de l’utilisateur `

a partir de ses activit´es et suivant un processus pr´ealablement ´etabli par l’agent de service qui les utilisera. Le processus de profilage fait l’objet d’une attestation, via les m´ecanismes d´ej`a

18

Le scellement des donn´ees implique donc que les mˆemes programmes (et seulement eux) soient ex´ecut´es sur la plate-forme lors de leur chiffrement et de leur d´echiffrement. Le non-renouvellement d’une licence commerciale, le remplacement d’un composant mat´eriel ou logiciel peut donc entraˆıner la perte des donn´ees ainsi prot´eg´ees.

point´es, afin de garantir `a l’agent de service que les informations qui lui sont fournies refl`etent fid`element les caract´eristiques comportementales et pr´ef´erentielles de l’utilisateur.

La figure 5.6 illustre ce m´ecanisme de base de l’architecture. On y observe une inversion entre agent utilisateur et agent de service par rapport au sch´ema 5.4 d´ecrivant les exigences du quatri`eme niveau de confiance que nous avons d´efini. Ceci signifie que l’architecture fournit prioritairement des garanties sur l’utilisateur `a la plate-forme de service.

agent de service tiers de confiance confiance certification système d'exploitation agent utilisateur logiciel de profilage matériel de confiance données de profil

Fig. 5.6 – Principe de base de l’architecture d’auto-profilage

5.2.2.2 Garanties sur le traitement distant

L’agent utilisateur a ´egalement l’opportunit´e de v´erifier si la plate-forme distante est une plate-forme de confiance, et ´eventuellement de poser des conditions sur son contexte d’ex´ecution (attestation des programmes de traitement) avant de d´elivrer des informations de profilage. Ainsi, la plate-forme utilisateur peut th´eoriquement s’assurer que la couche logicielle qui utili-sera ses donn´ees sur l’agent tiers a bien ´et´e certifi´ee par un tiers de confiance20. La figure 5.7

illustre cette am´elioration optionnelle de l’architecture, qui am`ene davantage de sym´etrie dans les ´echanges entre agent de service et agent utilisateur21. N´eanmoins, il semble raisonnable de pen-ser que le contrˆole en mati`ere de production, distribution et certification du logiciel r´eside plutˆot du cˆot´e du fournisseur de service que de l’utilisateur individuel. En effet, au vu des nombreuses applications potentielles de type client-serveur susceptibles d’utiliser des donn´ees personnelles et donc d’utiliser ce type d’architecture, il paraˆıt intuitivement assez ais´e pour un industriel d’obte-nir un certificat pour son ✭✭ code m´etier ✮✮ sans que celui-ci ait ´et´e v´erifi´e de mani`ere approfondie par l’autorit´e de certification, ou encore de produire une version abusivement intrusive du code

20

Cette possibilit´e n’est bri`evement ´evoqu´ee que comme une perspective d’extension de l’architecture.

21

Pour des raisons de lisibilit´e, les relations de confiance ne sont pas repr´esent´ees sur ce sch´ema. Chacun des agents est suppos´e faire confiance au tiers de confiance.

157 Les technologies fond´ees sur le Trusted Computing

destin´e `a l’agent utilisateur.

tiers de confiance système d'exploitation agent utilisateur logiciel de profilage matériel de confiance données de profil système d'exploitation agent de service composant de traitement

matériel (de confiance)

certification optionnelle certification

Fig. 5.7 – Am´elioration optionnelle de l’architecture d’auto-profilage

5.2.2.3 Critique de l’architecture

Le point le plus important `a noter concernant cette architecture semble toutefois la loca-lisation d’un TPM, et donc d’une plate-forme de confiance, du cˆot´e de l’utilisateur. Ce sont principalement les agents de service, distants, qui obtiennent des garanties sur l’agent utilisa-teur (et sur ses donn´ees). Pour cette raison, la proposition semble en d´ecalage avec le titre sous lequel elle est pr´esent´ee, les agents de service ´etant davantage prot´eg´es contre les malveillances ou les erreurs de l’agent utilisateur que le contraire (`a cause du plus grand contrˆole que les fournisseurs de services peuvent avoir sur le logiciel distribu´e et sur sa certification par les tiers de confiance). Les m´ecanismes mis en place n’am´eliorent donc pas r´eellement la vie priv´ee de l’utilisateur : ils sont clairement instaur´es pour faciliter l’activit´e des agents de service. Cette facilitation passe par la communication d’informations de profilage g´en´er´ees automatiquement et sur lesquels l’utilisateur n’a finalement que peu de contrˆole22, `a cause de l’utilisation qui est faite du m´ecanisme d’attestation.

Au final, ce type d’architecture est donc au contraire particuli`erement aggressive pour la vie priv´ee de l’utilisateur, les donn´ees ´etant l’objet d’un ✭✭ contrˆole ´etendu ✮✮ (il est difficile ici de parler de protection) impos´e par un agent tiers. Pour autant, l’architecture n’est pr´esent´ee ici que dans ses principes. Sa mise en œuvre n´ecessiterait sans doute `a plusieurs ´etapes du processus le d´eveloppement de modules de n´egociations, dont les d´etails (suivant les choix effectu´es par

22

Notamment, l’agent utilisateur n’a pas la possibilit´e de mentir sur les informations de son profil, ce qui est souvent consid´er´e (par exemple par Dickinson et al. [DRB+

03]) comme un outil efficace dans la protection de la vie priv´ee des utilisateurs individuels.

les concepteurs) pourraient ˆetre propres `a temp´erer des critiques principalement fond´ees sur des possibilit´es de malveillance.