Protection de la vie privée : Principes et technologies

Protection de la vie privée : Principes et technologies

Yves Deswarte

[email protected]

Toulouse, France

Sécurité et respect de la vie privée

! Deux droits fondamentaux

o Déclaration universelle des droits de l’homme, ONU, 1948 :

" Art. 3 : Tout individu a droit à la vie, à la liberté et à la sûreté de sa

personne.

" Art. 12 : Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa

famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

SSI et protection de la vie privée

! Protection de la vie privée (PVP) =

confidentialité d’informations personnelles

! Confidentialité : une des propriétés de la sécurité des systèmes d’information (CID)

! La SSI fournit les moyens de la PVP :

o Authentification, Autorisation, Auditabilité…

! Mais…

…le diable se niche dans les détails

! Certains moyens de sécurité

o Audit, collecte d’éléments de preuve o Traçabilité

o Authentification forte, …

… sont des menaces pour la vie privée

o Déséquilibre :

" Les citoyens honnêtes sont plus observés que les criminels

" Les entreprises qui collectent illégalement des données sont plus fortes que leurs victimes

" Contrats léonins : ex. Facebook, Google, Apple…

o Autocensure --> réduction de la liberté

Sommaire

! Définitions

! Principes de base

! Technologies de protection de la vie privée

o Gestion des identités

o Contrôle d’accès et autorisation o Communications et accès anonymes o Gestion des données personnelles o Données anonymisées… ou pas ? o Donner confiance aux utilisateurs

1. Définitions

Privacy

Pri•va•cy  ¦ ƹ p r í vŧ sÕ ¦

noun

the state or condition of being free from being observed or disturbed by other people : she returned to the privacy of her own home.

• the state of being free from public attention : a law to restrict newspapers' freedom to invade people's privacy.

“ Privacy” : définitions

! Intimité (contraire = promiscuité),

respect/protection de la vie privée (PVP)

! Critères Communs (ISO 15408) :

une classe de fonctionnalité, 4 propriétés :

o Anonymat : garantit qu’un utilisateur peut utiliser une ressource ou un service sans révéler son identité d’utilisateur

o “Pseudonymat” : idem, sauf que l'utilisateur peut quand même avoir à répondre de cette utilisation

o “Non-chaînabilité” : garantit qu’un utilisateur peut utiliser plusieurs fois des ressources ou des services sans que d’autres soient capables d’établir un lien entre ces utilisations

o Non-observabilité : garantit qu’un utilisateur peut utiliser une ressource ou un service sans que d’autres, en particulier des tierces parties, soient capables d’observer que la ressource ou le service est en cours d’utilisation

Pseudonymat < anonymat < non-chaînabilité < non-observabilité

Législations

! Internationale!: Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère

personnel (3 septembre 1980), lignes directrices pour la règle- mentation des fichiers de données personnelles automatisés (Résolution ONU n°45/95 du 14 décembre 1990)

! Européenne : Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Conseil de l’Europe, ETS-108, 26/01/81) ; directives 95/46/EC (--> libre circulation) en cours de révision, 2002/58/EC (e-Privacy & e-Comm) (+ 2006-24-EC sur la conservation des données)

! Française : Protection des données à caractère personnel : loi "Informatique et Libertés" du 6/1/78, révisée en 2004 http://www.cnil.fr

o Article 1er : « L’informatique doit être au service de chaque citoyen […]

Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »

CNIL (1)

! Pour tout traitement de données à caractère personnel, il faut garantir :

o le respect de la finalité du traitement o la pertinence des données recueillies o la conservation limitée des informations

- le droit à l'oubli

o la sécurité et la confidentialité o le respect du droit des personnes

- obligation d'information préalable des personnes - droit d’accès et de rectification

- droit d’opposition

CNIL (2)

! Règles

o Interdit de collecter certaines données :

" Origines raciales ou ethniques

" Opinion politiques, philosophiques, religieuses

" Appartenance syndicale

" Orientation sexuelle

" Santé

o …sauf exceptions :

" Consentement exprès

" Traitement nécessaire à la santé ou à la justice

" Association à caractère religieux, politique,…

" Données appelés à être anonymisées

" Traitement justifié par l’intérêt public…

CNIL (3)

! Pour tout traitement sur des données à caractère personnel, le “responsable du traitement” doit :

o Faire une demande d’autorisation préalable

" Finalité du traitement

" Mode de collecte (information, consentement)

" Types des données collectées et traitées

" Durée de conservation

" Modalités d’exercice du droit d’accès, de rectification

o Pour certains types de traitement (ex. mailing publicitaire), régime de la simple déclaration préalable

! Rôle du “correspondant à la protection des données

personnelles”

2. Principes de base

1

Principe pour protéger la vie privée :

! "Souveraineté" : garder le contrôle sur ses données personnelles

-> stockage sur un dispositif personnel (carte à puce, PDA, PC…)

-> si ces données sont divulguées à un tiers, imposer des obligations sur leur usage

o Date de péremption

o Notification en cas de transfert ou d'usage non prévu o etc.

2

Principe pour protéger la vie privée :

! Minimisation des données personnelles

ne transmettre une information qu'à ceux qui en ont besoin pour réaliser la tâche qu'on leur confie

-> "Besoin d'en connaître" (" need-to-know ") puis destruction/oubli

! … dans le "cyber-espace" comme dans le monde réel

! …avec des limites : certaines informations personnelles doivent pouvoir être fournies aux autorités judiciaires en cas de litige ou d'enquête (lutte contre le blanchiment d'argent sale, par exemple)

"pseudonymat" plutôt qu'anonymat total

! Liens : minimisation <--> proportionnalité et finalités légitimes

Exemple : commerce électronique (1)

! Parties impliquées :

un client, un marchand, un service de livraison, des banques, un émetteur de carte de crédit, un

fournisseur d'accès Internet, …

! Le marchand n'a pas besoin (en général) de l'identité du client, mais doit être sûr de la validité du moyen de paiement.

! La société de livraison n'a pas besoin de connaître

l'identité de l'acheteur, ni ce qui a été acheté (sauf

les caractéristiques physiques), mais doit connaître

l'identité et l'adresse du destinataire.

Exemple : commerce électronique (2)

! La banque du client ne doit pas connaître le marchand ni ce qui est acheté, seulement la référence du

compte à créditer, le montant …

! La banque du marchand ne doit pas connaître le client…

! Le f.a.i. ne doit rien connaître de la transaction, sinon les caractéristiques techniques de la connexion …

3. Technologies de protection de la vie privée

PETs: Privacy-Enhancing

Technologies

3.1. Identité et authentification

! Identité = représentation d’une personne dans un système d’information

! Authentification = vérification de l’identité (contre l’usurpation d’identité)

o Autorisation : accorder et vérifier les droits d’accès o Imputabilité : chacun est responsable de ses actes

! … mais atteinte à la “souveraineté”

et à la “minimisation”

o S’il faut présenter son identité pour exercer ses droits --> divulgation de données personnelles

o Imputabilité vis-à-vis de la Société, pas vis-à-vis d’un individu ou d’une entreprise

Gestion d'identités multiples

! Réduire/contrôler les liens entre une personne et les données la concernant (contrôler la chaînabilité )

! Règle : Accès libre : anonymat

! Mais : accès personnalisés / privilégiés : pseudonymes

o Préférences (ex: météo)

o "Rôles" différents -> pseudonymes différents

" Ex: contribuable et électeur

o Durée de vie liée aux besoins de chaînabilité -> pseudonymes "jetables"

o Authentification adaptée au risque d'usurpation d'identité (et à la responsabilité)

! Identités virtuelles multiples vs. "single-sign-on"

Liberty Alliance <http://www.projectliberty.org>

vs. Microsoft Passport

3.2 Autorisation et contrôle d’accès

! Aujourd'hui sur Internet : client-serveur

le serveur accorde ou refuse des privilèges au client en fonction de son identité déclarée (éventuellement vérifiée par des mécanismes d'authentification)

! Le serveur doit enregistrer des données personnelles : preuves en cas de litige

! Ces données peuvent être utilisées à d'autres fins (profilage des clients, marketing direct, revente de fichiers clients, chantage…)

Ce schéma est dépassé

! Les transactions sur Internet mettent en jeu généralement plus de deux parties

(ex : commerce électronique)

! Ces parties ont des intérêts différents (voire opposés) : suspicion mutuelle

! Nocif pour la vie privée :

opposé au "besoin d'en connaître"

Preuves d'autorisation: credentials

! Credential = garantie, accréditation

! Exemples :

o cartes d'abonnement, de membre d'association, … o permis de conduire, carte d’identité, d’électeur, …

Accréditations anonymes ?

! Certificats multiples :

ex: SPKI : certificats d'attributs/d'autorisation

! Certificats restreints :

o "Partial Revelation of Certified Identity"

Fabrice Boudot, CARDIS 2000

“Anonymous Credentials” ^(Idemix)

€

Signature de groupe

Kv

1 clé publique de

vérification

Ks(1)

Ks(n)

n clés secrètes de

signature

Défi = nb aléatoire

! = {Défi}_Ks(i) [ !]_Kv = ? = Défi

e-Cash (1)

! Propriétés attendues pour un e-billet de banque :

o Anonymat :l’e-billet n’identifie pas la personne pour qui il a été émis

o Infalsifiabilité : seule une banque autorisée peut émettre un e- billet, un e-billet ne peut être modifié

o Unicité d’encaissement : empêcher une double dépense

o Transmissibilité : un e-billet est échangeable entre personnes o Liquidité : un e-billet peut être divisé en plus petites

coupures ou agrégé en plus grosses

e-Cash (2) : Blind Signature

! Alice génère un nombre aléatoire R, le multiplie par un facteur secret S, affecte une valeur, et l’envoie (signé) à la banque : A->B: [R*S, valeur]_A

! La banque débite le compte d’Alice de la valeur, signe le billet et le renvoie à Alice: B->A: [R*S, valeur]_B

! Alice “désaveugle” le billet : [R, valeur]_B et le dépense chez un marchand

! Le marchand M encaisse le billet à sa banque : M->B: [R, valeur]_B

! La banque vérifie la signature, enregistre le billet “R” comme encaissé, crédite le compte du marchand de la valeur, puis notifie le marchand, qui donne un reçu à Alice.

! Si Alice tente de redépenser le billet (ou si le marchand tente de le ré-encaisser), la banque identifiera le billet comme déjà encaissé.

3.3 Communications & accès anonymes

! Pb : les communications utilisent des métadonnées “à caractère personnel” :

o @IP, MAC, identification de session, type de navigateur, d’OS, …

! Ces métadonnées permettent le

chaînage des accès

Adresse IP= "donnée identifiante"

Exemple :

Return-Path: <[email protected]>

Received: from laas.laas.fr (140.93.0.15) by mail.libertysurf.net (6.5.026)

id 3D518DEF00116A4D for [email protected]; Tue, 13 Aug 2002 13:44:40 +0200

Received: from [140.93.21.6] (tsfyd [140.93.21.6])

by laas.laas.fr (8.12.5/8.12.5) with ESMTP id g7DBid1D001531

for <[email protected]>; Tue, 13 Aug 2002 13:44:39 +0200 (CEST)

User-Agent: Microsoft-Entourage/10.1.0.2006 Date: Tue, 13 Aug 2002 13:44:38 +0200 Subject: test

From: Yves Deswarte <[email protected]>

To: <[email protected]>

Message-ID: <B97EBDC6.2052%[email protected]>

Mime-version: 1.0

Content-type: text/plain; charset="US-ASCII"

Content-transfer-encoding: 7bit

Adresse IP= "info sensible"

Exemple :

http://67.92.121.169

Adresse IP= localisation

IP V6, réseaux ad hoc, …

! Demain : IP partout ( pervasive/ubiquitous computing, intelligence ambiante, sensor networks, RFID,

convergence 4G … )

! chaque "machin" aura une adresse IP implicite unique et permanente (basée sur un numéro de fabrication)

! chaque personne aura plusieurs machins …

! … qui se connecteront aux machins proches (réseaux ad hoc)

! … qui s'identifieront, routeront leurs communications, fourniront des infos contextuelles, etc.

Communications anonymes

Supprimer le lien utilisateur - adresse IP :

! affectation dynamique des adresses IP (DHCP, PPP, NAT, …)

! Routeurs d'anonymat :

MIX (David Chaum 81)

Onion Routing (TOR) Crowds (P2P)

Routeur

MIX: Comment ça marche?

Message

Rejeu ou bourrage?

Oui

Non Déchiffrement

tampon

Ordre aléatoire

!

MIX / Onion Routing / Tor

X MIX 1 MIX 2 Y

K₁(R₁,K₂(R₂,K_Y(R₀,M),A_Y),A₂),A

1

K₂(R₂,K_Y(R₀,M),A_Y),A₂

K_Y(R₀,M),A_Y

#

$

%

&

Crowds/Hords: pair-à-pair

! Chaque membre est un MIX pour les autres

! Probabilité p d’envoyer le message à sa destination

(1-p) de l’envoyer à un autre membre choisi au hasard

Internet

Alice PKa Bob PKb Charlie PKc

David PKd Eve PKe

…

Liste de membres

Inconvénients des MIX

! Coût (nb de messages, chiffrement, latence, …)

! OK pour le mail, Web, … pas pour VoIP, …

! Vulnérable à la collusion entre MIXes --> indépendance entre MIXes?

! Vulnérable à un observateur global (analyse statistique) --> distribution sur Internet?

! Interactivité : canal de retour + anonymat de relation

! Inefficace sur LANs …

Idée ?

! Un serveur unique avec :

o Envoi “inobservable”

" Bourrage chiffré

" DC-net / envoi superposé

o Réception “inobservable”

" Diffusion (avec adressage implicite)

" Private Information Retrieval

Dining cryptographers (David Chaum 88)

! Comment savoir si quelqu’un a payé, sans savoir qui a payé ?

DC-network Protocole : à chaque tour :

o Chaque cryptographe i émet :

(un message M

ou 0) XOR un brouillage B

o Chaque cryptographe XOR toutes les émissions o Les brouillages sont tels qu’ils s’annulent par XOR

--> résultat = XOR(émissions)

" Si aucune information : résultat = 0

" Si un message : tous les participants reçoivent le message M_i (en clair)

" Si plusieurs messages : collision --> ré-essai (à la aloha)

Envoi superposé

Brouillage s’auto-annulant

!   i , j   {cryptographes}, i et j partagent une chaîne de bits aléatoires secrète : S

= S

! Au tour k :

" Si i n’a pas de message à envoyer, il diffuse : B_i = XOR_i!j(S_i,j)

" Si i veut envoyer le message M_i, il diffuse : M_i XOR B_i

o XOR

( B

) = 0   résultat = M

(si un seul message)

Private Information Retrieval (PIR)

! Exemple : PIR “parfaitement” sûr

o Base de données répliquée sur deux serveurs o Composée de N éléments de taille fixe

o 2 requêtes :

" 1 chaîne S de N bits aléatoires -> serveur 1

" La même chaîne S sauf inversion du k^ième bit -> serveur 2

o Réponse de chaque serveur = XOR de tous les éléments i t.q. S_i = 1 o Resultat = XOR des deux réponses = k^ième élément

! Avec des méthodes cryptographiques (chiffrement homomorphe {a + b} = {a}+{b}, résidus quadratiques, …), on peut réaliser des PIRs “calculatoirement” sûrs sans réplication

! PIR = Cas particulier de l’oblivious transfer

Un serveur de com. inobservable

! Thèse de Carlos Aguilar (LAAS, 2006)

pDC-Net DC-Net

Server Envoi

superposé

pMIX Bourrage EBBS

chiffré

PIR

Diffusion Réception

Émission

Connexion nomade anonyme

Roaming : Laptop, PDA, téléphone mobile … 1.

On génère une @MAC aléatoire

2. On obtient une @IP temporaire 3. Tunnel vers un TTP de roaming 4. Qui génère une autre @IP

5. Authentification par le F.A.I.

Accès anonyme à des services

! Relais d'anonymat ( anonymity proxy ) : unidirectionnels ou bidirectionnels

o e-mail, news (Usenet)

" anon.penet.fi (700 000 utilisateurs en 1996 !)

" Cypherpunks

o ftp

o Web : ex: proxify.com o …

! Serveur de pseudonymes :

o e-mail

o Identités multiples fournies par des f.a.i. (adresses mél)

3.4 Gestion des données personnelles

! Négociation entre l'individu et l'entreprise

“consentement éclairé”

ex: coupons de réduction en échange d'une publicité ciblée

! Souveraineté : celui qui fournit des informations sur lui-même doit pouvoir contraindre l'usage qui pourrait en être fait --> Obligations

ex: à effacer dans 48 h.

! Minimisation des données personnelles -> répartition : séparation des pouvoirs,

fragmentation des données -> anonymisation + appauvrissement

ex: remplacer le code postal par l'identifiant de la région

-> Private Information Retrieval ( PIR )

Ex. de séparation des pouvoirs

! Service basé sur la localisation : ex. pharmacie la + proche

Mandataire

requête de service

appel de service

résultats

opérateur

serveur Client

Connaît le mandataire, l’abonné et sa localisation, mais pas le serveur ni

la requête

Connaît le serveur et l’abonné, mais pas sa localisation

ni la requête

Connaît le mandataire, la localisation et la

requête, mais pas le client

Accès aux données

! Principe du moindre privilège : un individu ne doit avoir que les droits minimaux nécessaires à sa tâche

! Politique de sécurité et mécanismes de protection : le détenteur d'une information en est responsable (art 34 de la loi «!informatique et libertés!»)

--> Conserver le minimum de données personnelles !!!

Ex. Facebook piraté : http://vimeo.com/5280042

! Ces données peuvent être très sensibles : ex: dossiers médicaux

o Disponibilité : temps de réponse (urgence), pérennité o Intégrité : nécessaire à la confiance, éléments de preuve o Confidentialité : vie privée <-> intérêts économiques

! Privacy = contrôle d'accès + obligations

3.5 Données anonymisées… ou pas

! 2006 : 20 M requêtes AOL

3.5 Données anonymisées… ou pas

! 2006 : 20 M requêtes AOL

! 2008 : 100 M profils Facebook

3.5 Données anonymisées… ou pas

! 2006 : 20 M requêtes AOL

! 2008 : 100 M profils Facebook

! 2010 : Malte Spitz : données GSM

3.5 Données anonymisées… ou pas

! 2006 : 20 M requêtes AOL

! 2008 : 100 M profils Facebook

! 2010 : Malte Spitz : données GSM

! 2011 : Traces iPhone/Android

3.5 Données anonymisées… ou pas

! 2006 : 20 M requêtes AOL

! 2008 : 100 M profils Facebook

! 2010 : Malte Spitz : données GSM

! 2011 : Traces iPhone/Android

! 2011 : 70 M comptes Sony PSN

3.5 Données anonymisées… ou pas

! 2006 : 20 M requêtes AOL

! 2008 : 100 M profils Facebook

! 2010 : Malte Spitz : données GSM

! 2011 : Traces iPhone/Android

! 2011 : 70 M comptes Sony PSN

! 2012 : Google achète la vie privée

3.6 Donner confiance aux utilisateurs…

… que leur vie privée est protégée

! Certification & labellisation

! Approche Trusted Computing Group (TCG)

o Support matériel : TPM o Bootstrap sûr

o Vérification sceau S/W au chargement

o Vérifiable à distance, sans dévoiler d'identité

(DAA)

Conclusion

• Il est possible de renforcer à la fois la sécurité et le respect de la vie privée

– On peut prouver ses droits sans avoir à dévoiler son identité

– Développer des technologies de protection de la vie privée qui ne

fournissent pas l’impunité aux criminels – Développer des technologies de sécurité

qui ne menacent pas la vie privée

Recommandations

• Analyser les impacts sur la vie privée dès la conception de nouvelles technologies :

“ Privacy by Design”, sinon : “ Privacy by disaster”

• Respecter les principes de souveraineté et de minimisation des données personnelles

• Développer des nouveaux objets personnels pour faciliter la protection de la vie privée!:

ex. stockage de données personnelles, gestion des identités, e-Cash, …

• Ex. carte d’identité blanche

Droits futurs ?

! Droit à l’oubli

! Droit au mensonge : ex. contre les abus vis-à-vis de la minimisation des données

! Droit à la répudiation -->

authentification la plus faible possible

Bibliographie

! Simone Fischer-Hübner, IT-Security & Privacy, LNCS 1958, Springer, 2001.

! Stefan A. Brands, Rethinking Public Key Infrastructures and Digital Certificates, MIT Press, 2000.

! Privacy and Identity Management for Europe (PRIME), Jan Camenisch, Ronald Leenes & Dieter Sommer (Eds.), Springer, LNCS 6545, 2011