V. Les technologies de protection de la vie
privée
V.1. Privacy by design
Le concept de « Privacy by Design » : un
remède à l'insuffisance des moyens actuels de protection de la
vie privée.
Mais elle est aussi une démarche indispensable car il
est très difficile d'améliorer la protection de la vie
privée dans des systèmes qui n'ont pas été
conçus avec cette exigence et elle suscite de plus en plus de travaux de
recherche en informatique.
La protection intégrée de la vie
privée repose sur sept principes fondamentaux:
y' prendre des mesures proactives et non réactives, des
mesures préventives et non correctives.
y' assurer la protection implicite de la vie privée.
y' intégrer la protection de la vie privée dans
la conception des systèmes et des pratiques.
Chapitre I La protection de la vie
privée
22
~ assurer une fonctionnalité intégrale selon un
paradigme à somme positive et non à somme nulle.
~ assurer la sécurité de bout en bout, pendant
toute la période de conservation des renseignements.
~ assurer la visibilité et la transparence.
v respecter de la vie privée des utilisateurs
[6].
Parmi « Privacy by Design » on peut citer notamment
:
La conception de systèmes de péages routiers
reposant sur la géo-localisation des véhicules tout en
préservant la vie privée des conducteurs, en effectuant le calcul
du tarif par le matériel de bord du véhicule .
La conception de cartes d'identité blanches , ou
d'accréditation anonymes, permettant de prouver de nombreux attributs,
comme le fait d'être membre d'une association, d'être titulaire
d'un permis de conduire, d'un droit de séjour, d'un droit de vote, etc.,
sans pour autant divulguer son identité.
La conception de systèmes permettant de mieux
protéger le consentement des individus avant toute divulgation de
données personnelles, à travers l'assistance d'agents logiciels
mettant oeuvre des politiques décidées au préalable.
La conception d'architectures permettant d'éviter la
« pollution de données» et de garder la maîtrise de ses
données personnelles [8].
V.2. Privacy Enhancing Technologies « PET »
Les PET, proposent un éventail de solutions techniques
à usage individuel dont certaines sont très avancées (dans
le domaine de l'anonymisation et de l'identification). Cependant, leur
utilisation reste limitée.
PET constituent l'un des éléments des
systèmes de protection de la vie privée avec la
réglementation, l'autorégulation des acteurs
économiques et le
consumérisme/militantisme [9],
[7].
Chapitre I La protection de la vie
privée
23
V.2.1. Les systèmes de communications et
accès anonymes
Il existe plusieurs types d'anonymat pour les communications
(MIX, TOR, CROWds,...). L'anonymat d'émission est obtenu par un
utilisateur face à un attaquant lorsque celui-ci est incapable de
détecter l'émission de messages par l'utilisateur. De
manière similaire, l'anonymat de réception est obtenu par un
utilisateur face à un attaquant lorsque celui-ci est incapable de
détecter la réception de messages par étant un nonce
l'utilisateur. L'anonymat relationnel est obtenu par un groupe
d'utilisateurs face à un attaquant lorsque l'attaquant est incapable de
savoir si deux membres du groupe communiquent entre eux ou pas. De ces
définitions, il découle de façon immédiate que si
l'anonymat d'émission (ou de réception) est garanti à
chaque utilisateur d'un groupe, le groupe possède la
propriété d'anonymat relationnel.
Il est important de remarquer que les anonymats
d'émission, de réception et relationnel ne procurent pas par
eux-mêmes la confidentialité du contenu des messages : il faut
pour cela utiliser des techniques appropriées, comme le chiffrement.
À l'inverse, le chiffrement du contenu des messages en soi ne procure
pas l'anonymat des communications. Ces différents types d'anonymat sont
intimement liés.
Fournir des communications anonymes ne suffit pas pour obtenir
un accès anonyme à un service : les messages envoyés au
fournisseur de service peuvent contenir des informations identifiants, qu'il
faut effacer ou transformer par un mandataire (proxy) avant qu'elles ne soient
transmises au fournisseur. Cette transformation dépend de la
sémantique du message (c'est-à-dire de la signification de son
contenu), et la tâche peut donc être très ardue. Si le
mandataire est dédié à un service spécifique, il
est relativement aisé d'analyser la syntaxe des en-têtes.
Bien sûr, utiliser un seul mandataire pour
accéder à un service suppose que l'on ait confiance dans ses
administrateurs, puisqu'ils peuvent enregistrer des informations sensibles sur
l'application comme sur les communications. La façon la plus sûre
de naviguer consiste sans doute à combiner un relais d'anonymat local au
niveau application avec un réseau de MIX au niveau communication.
Néanmoins cette solution est coûteuse et peut parfois être
remplacée par une solution basée sur un mandataire distant
[9].
Chapitre I La protection de la vie
privée
24
> Les MIX
Les premiers relais utilisés pour l'anonymat de
communication furent décrits par David Chaum en 1981. Ces relais, qu'il
appela MIX, opèrent de la façon suivante :
- ils n'acceptent que des messages de taille fixe.
- ils déchiffrent les messages entrants avec leur
clé privée. - ils attendent d'avoir reçu un certain nombre
de messages. - puis réordonnent les messages avant de les
réémettre.
L'objectif est de fournir un anonymat relationnel entre le groupe
des utilisateurs émetteurs d'un message, et le groupe des utilisateurs
récepteurs d'un message vis-à-vis d'un attaquant qui observerait
tous les messages arrivant et sortant du MIX [11].
Fonctionnement d'un MIX
Quand un utilisateur A veut envoyer un message M
à un utilisateur E, il ajoute l'adresse de E au
message et chiffre le tout avec KMIX (clé publique
du MIX). On note ce message chiffré KMIX
(RA, M, E), RA Valeur aléatoire utilisée une
seule fois).
Quand le MIX reçoit le message chiffré, il le
déchiffre avec sa clé privée, élimine le
nonce RA, et met en attente le résultat M,E. Quand le
MIX a mis en attente un nombre donné de messages il les envoie dans un
ordre aléatoire aux adresses de destination.
Figure I.6 : MIX avec un tampon pour trois
messages. [11]
S'il y a peu de trafic, les délais introduits par un
MIX de ce type peuvent être excessifs. Pour diminuer les délais de
transit, de faux messages peuvent être envoyés au MIX, voire
insérés par le MIX lui-même pour assurer que les tampons se
remplissent assez fréquemment [11].
Chapitre I La protection de la vie
privée
25
Utilisation de plusieurs MIX
Quand un utilisateur veut utiliser plusieurs MIX les uns
après les autres il va appliquer plusieurs couches de chiffrement pour
qu'elles soient traitées et retirées à raison d'une par
MIX utilisé. Par exemple, un utilisateur A qui veut envoyer un
message M à un utilisateur U va chiffrer une
première fois le message pour le MIX le plus proche du destinataire,
qu'on nomme MIX2 et obtenir KMIX2(RA,M,U). Il va
ensuite rechiffrer ce message à l'intention d'un autre MIX(MIX1)
précédent MIX2 dans le chemin de A à
U, pour obtenir :
KMIX1(Rcents,KMIX2(RA,M,U),
MIX2)
La Figure I.7 illustre l'exemple donné ci-dessus pour
deux MIX en cascade.
Figure I.7 : Utilisation de deux MIX en cascade.
[11] > Tor
Tor (The Onion Router) est un réseau de routeurs
interconnectés, comprenant des noeuds d'entrée et des noeuds de
sortie. L'utilisateur se connecte à un noeud d'entrée, et ses
messages transitent par un certain nombre de routeurs (suivant un chemin
aléatoire) avant de sortir du réseau Tor par un noeud de sortie
et d'être transmis au destinataire final de manière
conventionnelle.
Pour utiliser Tor, l'usager doit installer un logiciel de
proxy spécial sur sa machine et configurer ses logiciels (principalement
son navigateur web, mais possiblement tout logiciel utilisant le protocole
TCP/IP) pour l'utiliser. N'importe qui peut utiliser le réseau Tor sans
enregistrement préalable, mais l'accès aux routeurs
d'entrée et de sortie, dont la liste est publique, peuvent être
bloqués dans les pays pratiquant la censure (c'est le cas en Chine) ou
bien par des services n'acceptant pas les communications anonymes. D'autre
part, l'utilisation de Tor ralentit énormément les
activités réseau. Il est par conséquent à
réserver à des taches ponctuelles particulièrement
sensibles et/ou nécessitant peu de bande passante
[8].
Chapitre I La protection de la vie
privée
> CROWds
Est un protocole de communication anonyme qui protège
l'anonymat de l'envoyeur d'un message en le routant de manière
aléatoire vers des groupes d'utilisateurs similaires, et l'idée
principale de cette protocole est cacher l'origine d'un message en le faisant
se fondre dans la foule.
Le système particulièrement adapté pour
les réseaux du type pair-à-pair et l'initialisation de crowds
c'est chaque nouvel utilisateur s'enregistre en tant que membre d'un groupe
(appelé "Crowd") en contactant le responsable du groupe, quand un
utilisateur rejoint un groupe, tous les membres du groupe en sont
notifiés. Le responsable du groupe est aussi chargé de la
distribution des clés symétriques assurant la
confidentialité entre paires de noeuds.
L'innocence probable de cette protocole c'est l'adversaire est
incapable de prédire avec plus de 50% de confiance, le noeud qui est
l'initiateur d'un message, chaque noeud apparaît comme ayant pu ou non
être l'envoyeur d'un message (et donc il est probablement innocent).
La notion d'anonymat de crowd est dépend de la taille
du groupe ("crowd") et de la probabilité pf. Plus la probabilité
pf est grande, plus l'anonymat de l'envoyeur est protégé mais
aussi plus la longueur moyen du chemin généré sera longue
[12].
| 
