Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
PR SMPRiSM Lab. - UMR 8144
Garantir la confidentialité des données personnelle s
Nicolas AnciauxChargeur INRIA Paris-Rocquencourt & Université de V ersaillesProjet SMIS ( Secured and Mobile Information Systems)
Rencontre Inria Industrie – Smart cities12 Juin 2014
1
Génération massive de données personnelles
L’auditoire écoute
Place St Pierre, RomePape Benoit XVI
Pape François
Digitalisation des procédésmécaniques,
e.g., transports, habitat
analogiques,e.g., compteurs intelligents
papiers,e.g., administration
communications
PR SM
L’auditoire enregistre
communicationse.g., email, SMS, chat, Skype
Stockage dans des data centers112 mails/jour, 65 SMS, 40 chats (WhA), 800 ppdf (Fb )…
Historique de géolocalisation, consommation électri que, payements…
Serveurs télécom, Google, Apple, cloud Amazon, …
Des perspectives économiques et sociales exaltantes
… à concilier avec le respect de la vie privée
2
Le respect de la vie privée, un notion dépassée ?
Pour les acteurs du Web“Privacy is no longer the social norm” (M. Zuckerberg )
Les jeunes exposent leur données plus facilement que leurs ainés
Une contre-vérité pour certains sociologues
Le domicile est la sphère privée de l’adulte; Fb 2013: moins d’adolescents, plus d’adultes
“When your mom, grandmother, auntie and all the rest of your older family members joined Facebook, it’s time to find another social media outlet to congregate.” – Teenager
PR SM
Le respect de la vie privée prend actuellement de l ’ampleur sur le WebPour le marché: le lieu du stockage des contenus de vient essentiel
$35/ $180 milliards de pertes estimées pour le Cloud US [ITIF/Forrester]
Pour les usagers: “l’effet Snowden”
Les jeunes soucieux de leurs intimité sur smartphone [Harris, Pew], communications
éphémères (Snapchat), Google implante le droit à l’oubli, etc.
Comment gérer les données personnelles dans les sma rt cities?
3
Le modèle actuel: le Web centralisé
Problème intrinsèque #1: attaques sophistiquéesCoût d’une attaque proportionnel au bénéfice escomp té
Attaques massives récurrentes (Orange: 1,3M mai 2014, 800K en mars)Une simple négligence compromet des millions de dos siers
Problème intrinsèque #2: valeur des chartes de conf identialitéAdministration centralisée signifie délégation de c ontrôle
PR SM
Passe-droits (états), chartes floues, quid des garanties tangiblesEvolution des appli., partenariats, souhaits des us agers, …
Vers un modèle plus respectueux de la vie privéeAméliorer la sécurité/confiance des serveurs (e.g., TrustedDB, MS-TC)Un nouveau modèle: le Web personnel
Cozy@Mozilla, OpenPDS@MIT, Omlet@Stanford, TrustedCell@INRIA…Poussé par les entreprises dont l’image est fondée sur la confiance (EDF, La Poste)Ex: détail de consommation énergétique (Linky) rendues à l’usager
4
Web centralisé vs. Web personnel Web centralisé
Données durables et accessibles
Cloisonnées (vs. transverses)
Vie privée: délégationOuverture et opt-out non garantis
Pas de consentement (vs. usages secondaires)
Sentiment de «sur-collecte» (50% EU)
SocialPhotos
AchatElect.
Pub. cibléeE-mailing
Profilage
SocialPhotos
Santé
«Quantified -self»
PR SM
Données transversesNouveaux usages pour l’individu
Vie privée: contrôle/responsabilisationOuverture et opt-out de fait
Calculs globaux anonymes
Partage contrôlé, collecte limitée
Banque
«Quantified -self»
Collecte limitée
Calcul global
Web personnel
5
Qu’est-ce que le Web personnel?
Serveur personnel dépositaire du patrimoine numériq ue
Fonctionnalités d’un serveur personnelStockage, indexation, structuration et durabilité d es données
Authentification, contrôles d’accès et d’usage
Auto-administration
Noyau logiciel de confiance
PR SM
Noyau logiciel de confianceNoyau isolé/durci, open source, preuve de programme s
Plateforme matérielle de confianceCarte SIM à grande capacité de stockage (GB)
Token communicant (fabrication INRIA/ZED)
Architecture Trust Zone
Machine dédiée (virtuelle)
Tam
per
resi
stan
ce
6
Gestion de dossiers personnels transverses
Données individuelles transversesAdmin., sociales, santé, historique achats, conso. électrique, géolocalisation …
ApplicationsAuto-mesure de l’individu (« quantify-self »)Coordination/lien social (ex: suivi de personnes dé pendantes)Jeux énergétiques, étude épidémiologique ou statist ique
Offert par le Web personnel, mais controversé en ce ntralisé
PR SM
Offert par le Web personnel, mais controversé en ce ntraliséVisées monopolistiques des acteurs du marché de la donnée perso.Techniquement, utilisation de procédés controversés
Croisement à la source (cookies, espionnage, …)Appariement des données de différents silos (statisticiens, épidémiologistes)
Procédé non généralisable, peu d’anonymat
Challenges scientifiquesUn outil de gestion de données avec garanties tangi bles de sécurité,Intégrant des données hétérogènes, contrôle d’usage , etc.
7
Serveur personnel ultra sécurisé (SMIS)
Plateforme matérielleMicrocontrôleur sécurisé + mémoire Flash grande cap acité (GBs)Authentification (pincode/fingerprint), connectique USB/Bluetooth
Plateforme logicielle: gestion de données avec droi ts d’accèsInterfaces traditionnelles pour les applications Garantir l’authentification, les contrôles d’accès et d’usage, la restaurationConstruire le moteur de gestion de données avec les contraintes matérielles
PR SM
Construire le moteur de gestion de données avec les contraintes matériellesStockage, indexation, évaluation de requêtes, protection crypto., restauration
Noyau SGBD relationnel embarquéDonnées structurée, interface SQL, droits d’accès R BAC
Gestionnaire de documentsDocuments non structurés, interface NoSQL (tags/mot clés), recherche inversée
Exécution sécurisée d’UDFEnvironnement d’exécution isolé et «jetable», vérif ication (statistique)
8
Calculs globaux et anonymes
Statistiques, études épidémio., génération de jeux de données anonymesLes résultats sont autorisés, mais pas les données de base
Anonymat élevé sans tiers de confiance
k-anonymat, l-diversité et confidentialité différentielle
Solution technique (SMIS)Des serveurs personnels de confiance (nombre faible peut être compromis)
Une infrastructure de support qui n’apprend rien du calcul
PR SM
Une infrastructure de support qui n’apprend rien du calcul
Hypothèse de sécurité: honnête mais curieux, ne veut pas être découvert
Résolution: algorithmes de calculs distribués combi nés à de la cryptographie et à des
techniques de calcul multiparti sécurisé, avec déte ction statistique des
résultats/participants compromis
Exemples de calculs possibles à grande échelle (mil lions)Génération de jeux anonymes,
Calculs d’agrégats SQL
Data Mining: règles d’associations, classification, regroupement, …
9
Collecte limitée des données
Limiter la collecte vs. l’objectif à atteindre
Principe univoque: OECD 1980, EU95/46/EC2012/0011COD 2014: collecte limitée ���� minimale
Principes faiblement implantés dans le mode du WebModèle d’affaire / sur-collecte
Font sens dans le modèle du Web personnel
PR SM
Font sens dans le modèle du Web personnel
Enjeu pour le Web personnelDéporter du calcul au plus près des données (OpenPD S)
Ex: consommation énergétiques (compteurs électriques intelligents)
S’assurer qu’un programme calcule bien ce qu’il est supposé calculerPreuve de programme, open source, plateforme communautaire, audit, etc.
Identification de l’ensemble minimum de données vs. objectif
10
Techniques de collecte minimale (SMIS)
Interaction entre un service personnalisé et un ind ividu
Comment ne transmettre que les données strictement requises?
Ingrédients: Règles de collectes (modélisant le processus de déc ision)
Service/offre personnalisé
Renseignements exhaustifs
Jean83 ansbeaucoupd’inform--ations
Données d’entrée
Minimisationdu contenuRenseignements minimaux
PR SM
Ingrédients: Règles de collectes (modélisant le processus de déc ision)
Assertions individuelles (modéliser les données sou s forme d’attribut/valeur)
Métrique de collecte (ex: nombre d’assertions)
Minimisation: identifier l’ensemble min. d’assertio ns qui valide toutes les règlesProblème d’optimisation NP-Difficile (Min Weighted SA T)
Mauvais résultats d’approximabilité (pas dans APX)
Très forte réduction d’information en pratique
Applications de ces techniquesDemande d’aide sociale (CG78), classification/regro upement, etc.
11
Conclusion
La notion de smart city impose le respect de la vie privéeMotivation renforcée par la notion de durabilité so ciale
Consensus politique, écon. & social, partant du mod èle actuel du Web
La recherche de SMIS s’inscrit dans la mouvance du Web personnelServeur personnel propriété de l’individu, garantie s tangibles, nouveaux usages
Solution matérielle/logicielle adaptée à du matériel ultra sécurisé
Calculs globaux anonymes dans une architecture cont rainte
PR SM
Calculs globaux anonymes dans une architecture cont rainte
Collecte minimale, contrôle d’accès et d’usage
Recherche de partenaires industrielsApplications ville/habitat intelligent/énergétiques respectueuses de la vie privée
Plateformes personnelles sécurisées (matérielles ou virtuelles)
12