Protection de la vie privée dans les réseaux sociaux · PDF fileR eseaux sociaux et respect de la vie priv ee I Probl ematique principale: antagonisme entre r eseaux sociaux

IntroductionAnonymisation et attaques par inference de reseaux sociaux

Criteres de respect de la vie priveeVers des reseaux sociaux plus respectueux de la vie privee

Protection de la vie priveedans les reseaux sociaux

Sebastien Gambs

[email protected]

4 decembre 2015

Sebastien Gambs Protection de la vie privee : cours 9 1



Introduction

Anonymisation et attaques par inference de reseaux sociaux

Criteres de respect de la vie privee

Vers des reseaux sociaux plus respectueux de la vie privee




Introduction




Reseaux sociaux

I Reseaux sociaux (en ligne) : sites web qui permettent a leursutilisateurs de

I se connecter a d’autres utilisateurs avec des activites tel que“etre ami” (Facebook), suivre (Twitter), souscrire (Youtube),. . .

I interagir avec du contenu poste par d’autres utilisateurs, parexemple en commentant, repondant ou notant ce contenu.

I restreindre leurs propres contenus a des utilisateurs autorises.

I Croissance importante des reseaux sociaux depuis cesdernieres annees (Facebook, Google+, LinkedIn, Orkut, . . . ).

I Exemple : Facebook, qui au depart etait destine seulementaux etudiants de l’universite d’Harvard, a maintenant plusd’un milliard d’utilisateurs.




Deux exemples recents de reseaux sociaux




Reseaux sociaux et respect de la vie privee

I Problematique principale : antagonisme entre reseaux sociauxactuels (comme Facebook) et respect de la vie privee.

I En particulier, les utilisateurs de reseaux sociaux partagentune quantite importante de donnees personnelles ce quisoulevent de nombreuses questions par rapport a la protectionde la vie privee.

I Exemples : risques de securite, atteinte a la reputation,profilage, droit a l’oubli, . . .




Risques de securite

I Exemples de risques de securite : usurpation d’identite,hameconnage, predateur et autres cybercrimes.




Risques de profilage

I Risques de profilage : enregistrement et classification descomportements des individus.

I uSocial recommande des “amis potentiels” aux compagnies(par exemple sous Twitter) :

I Prix : 150$ pour 5000 utilisateurs qui sont d’accord pour etre“ami” avec une compagnie (ce qui revient a 3 cents par ami).

I Les “Fans”, qui expriment simplement leur approbation a unecompagnie, sont moins chers.




Reputation et credibilite

I Reputation et credibilite : d’apres une etude (Reppler 11), plusde 90% des compagnies utilisent les reseaux sociaux commesource d’information concernant leurs potentiels employes.

I De plus, plus de 68% ont admis avoir rejet au moins une foisun candidat a cause de l’information trouvee.




Consequence possible d’une information postee surFacebook




Anonymisation et attaques parinference de reseaux sociaux




Anonymisation d’un graphe social

I Difficulte principale pour anonymiser un graphe (social) :certains motifs dans le graphe sont uniques.

I Connaissance possible: vous etes le seul dans le reseau a avoir47 amis et qui a 3 amis ayant chacun 52 amis.

I Connaissance plus structuree:

I Consequence: anonymiser le graphe en enlevant les etiquettesdes noeuds et des aretes n’est pas suffisant.




Ce que Facebook revele a votre propos meme si votreprofil est prive




Ce que Facebook revele a votre propos meme si votreprofil est prive




Ce que vos amis revelent a votre propos meme si votreprofil est prive

I Idee principale (Zheleva et Ghetoor 09): meme si votre profilest prive, la connaissance de votre reseau social + certains desattributs de vos amis ⇒ inference de certains de vos attributspersonnels.

I Modelise comme une tache d’apprentissage semi-supervise etensuite un algorithme de propagation d’information est utilise.




Project Gaydar

I Experience menee par deux etudiants du MIT.I Hypothese principale: les preferences sexuelles de vos amis

peuvent reveler de l’information a propos de vos propresprefrences sexuelles.

I Exemple : si un individu a un nombre important d’amis gaysalors il a une probabilite non-negligeable d’etre gay lui aussi.

I Attaque par inference:I consulter les pages Facebook des amis qui ont un profil public

et qui ont declare explicitement leur orientation sexuelle.I construire un classificateur predisant si oui ou non un individu

est gay.




Criteres de respect de la vie privee




Personnalisation du controle d’acces

1. Personnalisation du controle d’acces par groupes d’utilisateurset types d’information.

I Exemple : cercles de Google+.

2. Gestion intuitive des reglages concernant la vie privee pourl’utilisateur.

I Possiblement par une interface facile a comprendre ou enexprimant les desiderata de vie privee en langage naturel.




Reglages de protection de la vie privee dans Facebook




Evolution des reglages par defaut de Facebook




Politique de confidentialite explicite du reseau social

3. Politique de confidentialite explicite de la part du reseausocial.

I D’apres une etude de Bonneau et Preisbuch (2009), la taillemoyenne d’une politique de confidentialite pour un reseausocial est de 2633 mots (avec une mediane de 2245 mots).

I Seulement 10% des utilisateurs lisent explicitement la politiquede confidentialite de leur reseau social (Jones et Soltren 05).




Politique de confidentialite explicite des applications

4. Politique de confidentialite explicite de la part desapplications.

I Specifie quelles donnees de l’utilisateur, une application estautorisee a acceder et comment ces donnees seront utilisees.

I Exemple :

I Remarque : en contradiction directe avec le principe deminimisation des donnees!!!




Propriete des donnees

5. Propriete des donnees.I Les informations personnelles d’un individu lui appartiennent

et ne sont pas la propriete du reseau social qui les stockent.I Exemple : conditions d’utilisation de LinkedIn.

I Remarque : en contradiction directe avec le principe desouverainete des donnees!!!




Droit a l’oubli

6. Droit a l’oubli.I Effacement complet des donnees d’un utilisateur si celui-ci

choisit de quitter le reseau social.I Exemple : conditions d’utilisation de Facebook.

I Exemple : conditions d’utilisation de LinkedIn.




Lentille de protection de la vie privee et systeme dereputation

7. Lentille de protection de la vie privee.

I Montre comment le profil de l’utilisateur apparaıtra vu pard’autres individus.

I Permet de faire prendre conscience a l’utilisateur desinformations qu’il divulgue a travers son reseau social.

8. Systeme de reputation.

I Facilite les interactions avec des entites inconnus et encourageles decisions basees sur la confiance.

I Limite : la reputation peut etre falsifiee par des attaques oul’adversaire se cree de multiples comptes et fait augmenterartificiellement sa reputation.




Blocage actif des donnees liees a un utilisateur

9. Blocage actif des donnees reliees a un utilisateur.

I Techniques possibles: effacement de tag pointant sur le profil,controle de visibilite.




Suivi de la dissemination des donnees personnelles

10. Tracage de la dissemination des donnees personnelles dans lereseau social (et possiblement a l’exterieur.

I Risque au niveau de la vie privee : vol/distributionnon-autorisee de donnees personnelles telles que des photosou des videos.

I Detecte et trace la dissemination des donnees personnelles.




Vers des reseaux sociaux plusrespectueux de la vie privee




Reseau social respecteux de la vie privee

Personnalisation du niveau de vie privee :

I Prise de conscience des utilisateurs concernant les risques devie privee associes a l’utilisation d’un reseau social.

I Maniere facile et flexible d’exprimer le niveau de protection dela vie privee desiree.

Minimisation des donnees :

I Tous les applications du reseau social ne devrait pas avoiracces a plus d’information que necessaire pour realiser leurfinalite.

Souverainete des donnees :

I Les donnees personnelles d’un utilisateur lui appartiennent etne sont pas la propriete du reseau social qui les stockent.




Approches possibles

I Approche 1 : Applications ou add-ons pour des reseauxsociaux existants.

I Approche 2 : Reseau social specialement concu pour integrerla composante vie privee.

I Exemples : HelloWorld (University of Kaiserlautern), Safebook(Eurecom), Peerson, Diaspora, Movim, . . .

I La plupart sont basees sur une architecture decentralisee dutype reseau pair-a pair.

I Avantage supplementaire : evite d’avoir un serveur central quistocke et a la controle sur les donnees des utilisateurs.

I Defi principal : avoir un nombre suffisant d’utilisateurs dans lereseau social pour que celui-ci vive et attire d’autresutilisateurs.




Privacy Watch

I Travail conjoint en cours avec Esma Aımeur et Ai Thanh Ho(Universite de Montreal).

I Categorisation des donnees de l’utilisateur :




Impact des donnees sur la protection de la vie privee

I Base sur l’impact des donnees par rapport au niveau de vieprivee de l’utilisateur.

I Contexte par defaut mais peut etre change plus tard.




Differents groupes d’amis

I Quatre groupe initiaux d’“amis”.I Peut etre modifie, par exemple en ajoutant des categories

supplementaires.




Niveau de protection de vie privee

I Classification adaptee de Aımeur, Brassard et Mani Onana(2006).

I Indique quel type d’information peut etre partage avec queltype d’amis en fonction du niveau de vie privee choisi parl’utilisateur.




User Privacy Policy (UPP)

I Capture les differents niveaux d’intimite et de confiance entreun utilisateur et ses amis.

I Maniere flexible d’exprimer ses preferences par rapport aurespect de la vie privee :

I Qui a acces aux donnees?I Quel type de donnees est en train d’etre accede?I Comment ces donnees seront elles utilisees?I Quel type de suivi est autorise?




Privacy Watch: architecture generale

I Architecture compose de deux composants :I une du cote du serveur (fournisseur du reseau social) etI l’autre du cote du client (utilisateur du reseau social).




Privacy Watch: cote client

I Le Client Privacy Manager (CPM) est telecharge et installecomme plug-in du navigateur sur l’ordinateur du client.




Privacy Advisor

I Le Privacy Advisor est un module qui aide et guidel’utilisateur dans la declaration de ses preferences de vie priveeet a definir son UPP.




Gestionnaire des cles et module dechiffrement/dechiffrement

I Cree un compte courriel pour le partage des cles.I Ce compte sera utilise comme un canal auxiliaire afin de

permettre la distribution des cles entre amis.I Cles de chiffrement: une cle differente est generee pour

chaque type de donnees. Implemente typiquement a l’aided’un cryptosysteme symmetrique (tel que AES).

I Cles de controle d’acces: une cle de groupe est cree pourchaque groupe d’amis. Signature de groupe ou :

I les cles privees (une pour chaque ami du groupe) peuvent etreutilisees pour signer un message de la part du groupe,

I la cle publique peut etre utilisee pour verifier la validite d’unesignature de groupe.

I Module de chiffrement/dechiffrement: chiffre chaque attributet les envoie au reseau social.




Privacy Watch: cote serveur

I Stocke les donnees de l’utilisateur (possible chiffrees) et est encharge des mecanimes de controle d’acces.




Exemple de scenario

I Etape 1: Alice souhaite etre ami avec BobI Alice travaille avec le Privacy Advisor.I Specifie le groupe d’ami pour Bob: Normal Friend.I Specifie le UPP pour Bob.I Bob doit accepter ce UPP afin devenir l’ami d’Alice

(possiblement apres une phase de negociation).I Etape 2: le gestionnaire de cles de Alice envoie a Bob :

I Sa cle privee du groupe Knormal friend .I La cle Kpoison de l’information d’Alice qu’il est autorise a

consulter.I Etape 3: Bob visite le profil de Alice.

I Utilise sa cle Knormal friend pour prouver qu’il appartient augroupe des “Normal friends” de Alice.

I Bob veut voir l’album photo d’Alice et il telecharge donc uneversion chiffree de l’album.

I Utilise la cle Kpoison pour decrypter les donnees.




Conclusion

I Contributions : equilibre entre la protection de la vie privee etla facilite d’utilisation.

I Architecture client-serveur : pas de ressource redondante,controle centralise, plus facile de chercher des amis ou desconnaissances.

I Flexibilite : 4 niveau de protection de la vie privee.

I L’utilisateur peut choisir d’avoir confiance ou non dans lereseau social.

I Utilisable aussi bien par ceux qui souhaitent un haut niveau devie privee (Full Privacy) que des utilisateurs occasionnels (Softou No Privacy).

I UPP : un contrat entre utilisateurs ou entre utilisateurs et lesservices du reseau social.




Avenues de recherche

I Architecture hybride combinant le meilleurs des deux mondes(centralise/decentralise).

I Forcer le respect du UPP a travers des techniques deverification a posteriori.

I Exemple : tracer les violations d’une UPP par une combinaisonde tatouage numerique et techniques de tracage de traıtres.




C’est la fin !

Merci pour votre attention.Questions?


Documents

Protection de la vie privée dans les réseaux sociaux · PDF fileR eseaux sociaux et respect de la vie priv ee I Probl ematique principale: antagonisme entre r eseaux sociaux