Stage de Master 2 – 2017-2018
Protection des données personnelles dans l’Internet des objets : la gestion du consentement conformément au RGPD
Sophie CHABRIDON et Maryline LAURENT Laboratoire CNRS UMR SAMOVAR Institut Mines-Télécom, Télécom SudParis
9 rue Charles Fourier 91011 ÉVRY
L’Internet des objets dans ses diférentes formes – Industrie 4.0, smart grids, smart building, eHealth – se massife et envahit chaque jour un peu plus notre quotidien. Selon l’étude de Gartner [1], le nombre d’objets connectés en 2016 était de plus de 6,3 milliards et devrait atteindre 20,8 milliards d’ici 2020. Cependant, certains évènements comme le Botnet Mirai qui a permis de réaliser une attaque en déni de service distribué de très grande envergure en 2016 nous rappellent le danger que représentent ces objets non pas par leurs puissances de calculs mais par leur nombre si massif que l’unifcation des puissances de chacun, aussi faibles soient- elles, est capable de frapper durement une entreprise telle qu’OVH [2]. Si aucun évènement retentissant n’a encore été révélé concernant le manque de protection des données personnelles des individus, les conséquences de certaines révélations pourraient être désastreuses pour la société et les individus : problème de santé de telle personnalité politique médiatisé mettant fn à son projet, vague de cambriolages (ciblés ou non) aidés par des objets mouchards au sein de foyers/entreprises, chute boursière de telle entreprise du fait de la maladie révélée de son PDG ou bien du ralentissement notable de l’activité sur son site de production … Il apparaît ainsi que la sécurité et la protection des données personnelles sont particulièrement critiques dans l’Internet des objets (ou Internet of Things - IoT).
Un standard international appelé OneM2M [3] a pour ambition de rendre interopérables les objets issus de diférents secteurs (smart home, smart city, smart car, smart industry…). Le framework qui est proposé repose essentiellement sur des briques middleware qui visent à abstraire les particularités liées à chaque contexte d’usage en se référant pour cela à des ontologies génériques.
Le règlement européen général de protection des données, plus communément appelé RGPD [4], adopté en 2016 et dont la mise en application est prévue pour le 25 mai 2018, se veut particulièrement protecteur pour les citoyens européens. En efet, un fournisseur de service qui a besoin de collecter des données auprès d’un utilisateur doit demander le consentement de l’utilisateur au préalable. Le consentement doit être éclairé et proportionné, dans la mesure où la fnalité pour laquelle les données sont collectées doit être explicitée clairement à l’utilisateur. De plus, le fournisseur de services doit pouvoir prouver après coup que les traitements qu’il opère sont conformes au consentement de l’utilisateur.
Dans ce contexte, le stage consistera tout d’abord à prendre connaissance de plusieurs solutions relevant du champ des PETs (Privacy Enhancing Technology) [5, 6] et à tester en pratique plusieurs outils disponibles mettant en œuvre ces PETs. Il s’agira dans un second temps de concevoir avec les équipes ACMES et R3S une solution au problème spécifque de la gestion du consentement dans l’IoT et à implémenter la solution technologique retenue.
Ce travail prend place au sein des équipes ACMES et R3S du laboratoire SAMOVAR :
- L’équipe ACMES apporte des compétences en middleware et en gestion de contexte dans l’Internet des objets. Plusieurs résultats originaux ont été obtenus par le passé [7, 8]. Les contributions se situent au niveau middleware ou intergiciel (logiciel entre le système et les applications) afn de permettre aux concepteurs de services de faire abstraction des aspects techniques liés aux interactions avec l’IoT. L’équipe a proposé la suite logicielle M4IoT [9], incluant des processus et une infrastructure logicielle génériques, qui supporte la conception et la mise en œuvre de gestionnaires de contexte capables de transformer et d’acheminer, mais aussi d’interpréter, de qualifer, de protéger et de fltrer les informations de contexte calculées à partir des données collectées [10, 11, 12, 13]. L’équipe participe également à un groupe de travail piloté par le CNRFID pour l’élaboration d’un guide d’implémentation du RGPD pour les applications de l’IoT.
- L’équipe R3S a une expertise dans le domaine de la sécurité et de la protection des données personnelles et a déjà obtenu des résultats d’intérêt dans le champ des PETs en proposant des protocoles intraçables dans le domaine de l’IoT [14, 15], sur la certifcation anonyme [16], sur l’accès aux données stockées dans le cloud [17], sur l’allègement des traitements de sécurité opérés par les objets [18]. De plus, au sein de la chaire « Valeurs et politiques des informations personnelles » [19], l’équipe a acquis une très bonne compréhension du règlement RGPD et une réfexion éthique quant au problème de la vie privée dans l’IoT, et dans les environnements numériques en général.
Pour candidater, contacter :
(1) Sophie Chabridon, Équipe ACMES du laboratoire SAMOVAR
Sophie dot Chabridon At telecom-sudparis.eu, (Anti-spam : remplacer par les caractères appropriés)
(2) Maryline Laurent, Équipe R3S du laboratoire SAMOVAR
Maryline dot Laurent At telecom-sudparis.eu, (Anti-spam : remplacer par les caractères appropriés)
Références :
[1] https://www.gartner.com/newsroom/id/3165317
[2]http://www.lemonde.fr/pixels/article/2017/08/22/le-logiciel-mirai-responsable-de-plus-de-15-000- attaques_5175162_4408996.html
[3] http://onem2m.org/
[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[5] J. Parra-Arnau, D. Rebollo-Monedero, J. Forné, “Privacy-Enhancing Technologies and Metrics in Personalized In- formation Systems”, Advanced Research in Data Privacy, pp. 423-442, Aug 2014.
[6] J. Heurix, P. Zimmermann, T. Neubauer, S. Fenz, “A taxonomy for privacy enhancing technologies”, computers &
Security, May 2015.
[7] P. Gomes, E. Cavalcante, T. Batista, C. Taconet, S. Chabridon, D. Conan, F. Coimbra Delicato, Paulo F. Pires, “A QoC-Aware Discovery Service for the Internet of Things”, UCAmI 2016: 344-355
[8] P. Marie, T. Desprats, S. Chabridon, M. Sibilla, “Enabling Self-Configuration of QoC-Centric Fog Computing Entities”. UIC/ATC/ScalCom/CBDCom/IoP/SmartWorld 2016: 526-533
[9] M4IoT, Plateforme des composants logiciels pour l'Internet des Objets, https://www.telecom-sudparis.eu/wp- content/uploads/2017/04/M4IoT.pdf
[10] S. Chabridon, D. Conan, T. Desprats, M. Mbarki, C. Taconet, L. Lim, P. Marie, S. Rottenberg. “A Framework for Multiscale-, QoC- and Privacy-aware Context Dissemination in the Internet of Things”, CollaborateCom, Wuhan, China, Nov. 10-11, 2015. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, 163, Springer.
[11] L. Lim, P. Marie, D. Conan, S. Chabridon, T. Desprats, A. Manzoor, “Enhancing context data distribution for the Internet of Things using QoC-awareness and attribute-based access control”. Annals of Telecommunications 71(3-4):
121-132 (2016).
[12] S. Chabridon, R. Laborde, T. Desprats, A. Oglaza, P. Marie, S. Machara Marquez, “A survey on addressing privacy together with quality of context for context management in the Internet of Things”. Annals of Telecommunications 69(1-2): 47-62 (2014)
[13] S. Machara Marquez, S. Chabridon, C. Taconet, “Trust-Based Context Contract Models for the Internet of Things”.
UIC/ATC 2013: 557-562
[14] C. Mtita, M. Laurent, J. Delort, “Efficient Serverless RFID Mutual Authentication and Secure Tag Search Protocols with Untrusted Readers”, IET Information Security journal, Special Issue on Lightweight and Energy- Efficient Security Solutions for Mobile Computing Devices, Volume 10, Issue 5, Sept. 2016, p. 262 – 271, DOI:
10.1049/iet-ifs.2015.0428 , Print ISSN 1751-8709, Online ISSN 1751-8717.
[15] C. Mtita, M. Laurent, D. Sauveron, R.N. Akram, K. Markantonakis, S. Chaumette, “Serverless Protocols for Inventory and Tracking with a UAV”, IEEE/AIAA 36th Digital Avionics Systems Conference (DASC), St. Petersburg, FL, USA, September 17-21, 2017.
[16] N. Kaâniche, M. Laurent, “Attribute-based Signatures for supporting Anonymous Certification”, The 21st European Symposium on Research in Computer Security, ESORICS 2016, DOI 10.1007/978-3-319-45744-4_14, Heraklion, Crete, Greece, 26-30 sept. 2016.
[17] N. Kaâniche, and M. Laurent, “Attribute based Encryption for Multi-level Access Control Policies”, 14th International Conference on Security and Cryptography, SECRYPT 2017, ISBN 978-989-758-259-2, Madrid, Spain, 24-26 July 2017.
[18] K. Nguyen, N. Ouahla, M. Laurent, “Authenticated Key Agreement mediated by a Proxy Re-encryptor for the Internet of Things”, The 21st European Symposium on Research in Computer Security, ESORICS 2016, Heraklion, Crete, Greece, 26-30 sept. 2016.
[19] Blog de la chaire IMT « Valeurs et Politiques des Informations Personnelles », http://cvpip.wp.mines-telecom.fr/
