PR SMPRiSM Lab. - UMR 8144

Garantir la confidentialité des données personnelle s

Nicolas AnciauxChargeur INRIA Paris-Rocquencourt & Université de V ersaillesProjet SMIS ( Secured and Mobile Information Systems)

Rencontre Inria Industrie – Smart cities12 Juin 2014

1

Génération massive de données personnelles

L’auditoire écoute

Place St Pierre, RomePape Benoit XVI

Pape François

Digitalisation des procédésmécaniques,

e.g., transports, habitat

analogiques,e.g., compteurs intelligents

papiers,e.g., administration

communications

PR SM

L’auditoire enregistre

communicationse.g., email, SMS, chat, Skype

Stockage dans des data centers112 mails/jour, 65 SMS, 40 chats (WhA), 800 ppdf (Fb )…

Historique de géolocalisation, consommation électri que, payements…

Serveurs télécom, Google, Apple, cloud Amazon, …

Des perspectives économiques et sociales exaltantes

… à concilier avec le respect de la vie privée

2

Le respect de la vie privée, un notion dépassée ?

Pour les acteurs du Web“Privacy is no longer the social norm” (M. Zuckerberg )

Les jeunes exposent leur données plus facilement que leurs ainés

Une contre-vérité pour certains sociologues

Le domicile est la sphère privée de l’adulte; Fb 2013: moins d’adolescents, plus d’adultes

“When your mom, grandmother, auntie and all the rest of your older family members joined Facebook, it’s time to find another social media outlet to congregate.” – Teenager

PR SM

Le respect de la vie privée prend actuellement de l ’ampleur sur le WebPour le marché: le lieu du stockage des contenus de vient essentiel

$35/ $180 milliards de pertes estimées pour le Cloud US [ITIF/Forrester]

Pour les usagers: “l’effet Snowden”

Les jeunes soucieux de leurs intimité sur smartphone [Harris, Pew], communications

éphémères (Snapchat), Google implante le droit à l’oubli, etc.

Comment gérer les données personnelles dans les sma rt cities?

3

Le modèle actuel: le Web centralisé

Problème intrinsèque #1: attaques sophistiquéesCoût d’une attaque proportionnel au bénéfice escomp té

Attaques massives récurrentes (Orange: 1,3M mai 2014, 800K en mars)Une simple négligence compromet des millions de dos siers

Problème intrinsèque #2: valeur des chartes de conf identialitéAdministration centralisée signifie délégation de c ontrôle

PR SM

Passe-droits (états), chartes floues, quid des garanties tangiblesEvolution des appli., partenariats, souhaits des us agers, …

Vers un modèle plus respectueux de la vie privéeAméliorer la sécurité/confiance des serveurs (e.g., TrustedDB, MS-TC)Un nouveau modèle: le Web personnel

Cozy@Mozilla, OpenPDS@MIT, Omlet@Stanford, TrustedCell@INRIA…Poussé par les entreprises dont l’image est fondée sur la confiance (EDF, La Poste)Ex: détail de consommation énergétique (Linky) rendues à l’usager

4

Web centralisé vs. Web personnel Web centralisé

Données durables et accessibles

Cloisonnées (vs. transverses)

Vie privée: délégationOuverture et opt-out non garantis

Pas de consentement (vs. usages secondaires)

Sentiment de «sur-collecte» (50% EU)

SocialPhotos

Mail

AchatElect.

Pub. cibléeE-mailing

Profilage

SocialPhotos

Santé

«Quantified -self»

PR SM

Données transversesNouveaux usages pour l’individu

Vie privée: contrôle/responsabilisationOuverture et opt-out de fait

Calculs globaux anonymes

Partage contrôlé, collecte limitée

Banque

«Quantified -self»

Collecte limitée

Calcul global

Web personnel

5

Qu’est-ce que le Web personnel?

Serveur personnel dépositaire du patrimoine numériq ue

Fonctionnalités d’un serveur personnelStockage, indexation, structuration et durabilité d es données

Authentification, contrôles d’accès et d’usage

Auto-administration

Noyau logiciel de confiance

PR SM

Noyau logiciel de confianceNoyau isolé/durci, open source, preuve de programme s

Plateforme matérielle de confianceCarte SIM à grande capacité de stockage (GB)

Token communicant (fabrication INRIA/ZED)

Architecture Trust Zone

Machine dédiée (virtuelle)

Tam

per

resi

stan

ce

6

Gestion de dossiers personnels transverses

Données individuelles transversesAdmin., sociales, santé, historique achats, conso. électrique, géolocalisation …

ApplicationsAuto-mesure de l’individu (« quantify-self »)Coordination/lien social (ex: suivi de personnes dé pendantes)Jeux énergétiques, étude épidémiologique ou statist ique

Offert par le Web personnel, mais controversé en ce ntralisé

PR SM

Offert par le Web personnel, mais controversé en ce ntraliséVisées monopolistiques des acteurs du marché de la donnée perso.Techniquement, utilisation de procédés controversés

Croisement à la source (cookies, espionnage, …)Appariement des données de différents silos (statisticiens, épidémiologistes)

Procédé non généralisable, peu d’anonymat

Challenges scientifiquesUn outil de gestion de données avec garanties tangi bles de sécurité,Intégrant des données hétérogènes, contrôle d’usage , etc.

7

Serveur personnel ultra sécurisé (SMIS)

Plateforme matérielleMicrocontrôleur sécurisé + mémoire Flash grande cap acité (GBs)Authentification (pincode/fingerprint), connectique USB/Bluetooth

Plateforme logicielle: gestion de données avec droi ts d’accèsInterfaces traditionnelles pour les applications Garantir l’authentification, les contrôles d’accès et d’usage, la restaurationConstruire le moteur de gestion de données avec les contraintes matérielles

PR SM

Construire le moteur de gestion de données avec les contraintes matériellesStockage, indexation, évaluation de requêtes, protection crypto., restauration

Noyau SGBD relationnel embarquéDonnées structurée, interface SQL, droits d’accès R BAC

Gestionnaire de documentsDocuments non structurés, interface NoSQL (tags/mot clés), recherche inversée

Exécution sécurisée d’UDFEnvironnement d’exécution isolé et «jetable», vérif ication (statistique)

8

Calculs globaux et anonymes

Statistiques, études épidémio., génération de jeux de données anonymesLes résultats sont autorisés, mais pas les données de base

Anonymat élevé sans tiers de confiance

k-anonymat, l-diversité et confidentialité différentielle

Solution technique (SMIS)Des serveurs personnels de confiance (nombre faible peut être compromis)

Une infrastructure de support qui n’apprend rien du calcul

PR SM

Une infrastructure de support qui n’apprend rien du calcul

Hypothèse de sécurité: honnête mais curieux, ne veut pas être découvert

Résolution: algorithmes de calculs distribués combi nés à de la cryptographie et à des

techniques de calcul multiparti sécurisé, avec déte ction statistique des

résultats/participants compromis

Exemples de calculs possibles à grande échelle (mil lions)Génération de jeux anonymes,

Calculs d’agrégats SQL

Data Mining: règles d’associations, classification, regroupement, …

9

Collecte limitée des données

Limiter la collecte vs. l’objectif à atteindre

Principe univoque: OECD 1980, EU95/46/EC2012/0011COD 2014: collecte limitée ���� minimale

Principes faiblement implantés dans le mode du WebModèle d’affaire / sur-collecte

Font sens dans le modèle du Web personnel

PR SM

Font sens dans le modèle du Web personnel

Enjeu pour le Web personnelDéporter du calcul au plus près des données (OpenPD S)

Ex: consommation énergétiques (compteurs électriques intelligents)

S’assurer qu’un programme calcule bien ce qu’il est supposé calculerPreuve de programme, open source, plateforme communautaire, audit, etc.

Identification de l’ensemble minimum de données vs. objectif

10

Techniques de collecte minimale (SMIS)

Interaction entre un service personnalisé et un ind ividu

Comment ne transmettre que les données strictement requises?

Ingrédients: Règles de collectes (modélisant le processus de déc ision)

Service/offre personnalisé

Renseignements exhaustifs

Jean83 ansbeaucoupd’inform--ations

Données d’entrée

Minimisationdu contenuRenseignements minimaux

PR SM

Ingrédients: Règles de collectes (modélisant le processus de déc ision)

Assertions individuelles (modéliser les données sou s forme d’attribut/valeur)

Métrique de collecte (ex: nombre d’assertions)

Minimisation: identifier l’ensemble min. d’assertio ns qui valide toutes les règlesProblème d’optimisation NP-Difficile (Min Weighted SA T)

Mauvais résultats d’approximabilité (pas dans APX)

Très forte réduction d’information en pratique

Applications de ces techniquesDemande d’aide sociale (CG78), classification/regro upement, etc.

11

Conclusion

La notion de smart city impose le respect de la vie privéeMotivation renforcée par la notion de durabilité so ciale

Consensus politique, écon. & social, partant du mod èle actuel du Web

La recherche de SMIS s’inscrit dans la mouvance du Web personnelServeur personnel propriété de l’individu, garantie s tangibles, nouveaux usages

Solution matérielle/logicielle adaptée à du matériel ultra sécurisé

Calculs globaux anonymes dans une architecture cont rainte

PR SM

Calculs globaux anonymes dans une architecture cont rainte

Collecte minimale, contrôle d’accès et d’usage

Recherche de partenaires industrielsApplications ville/habitat intelligent/énergétiques respectueuses de la vie privée

Plateformes personnelles sécurisées (matérielles ou virtuelles)

12