Arnaud Legout arnaud.legout@inria.fr Protection de la vie privée dans Internet : quels risques aujourd'hui ? Arnaud Legout arnaud.legout@inria.fr.

Slides:



Advertisements
Présentations similaires
Mais vous comprenez qu’il s’agit d’une « tromperie ».
Advertisements

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
LES NOMBRES PREMIERS ET COMPOSÉS
[number 1-100].
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Page 1 Retour sur le e- tourisme. Page 2 Quelques chiffres…
M. SAILLOUR Lycée Notre Dame du Kreisker St Pol de Léon
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
1 Comment tirer bénéfice du plus grand site de voyage JAT 2011 : Etourisme et Mtourisme Angoulême, 14 Avril 2011.
Les Prepositions.
Les 3 dimensio ns de la morale et de léthique (activité)
Formation au portail SIMBAD
1. Les caractéristiques de dispersion. 11. Utilité.
Initiation et perfectionnement à lutilisation de la micro-informatique Publier des films sur DailyMotion (sur Mac et sur PC) ©Yves Roger Cornil
Cours Présenté par …………..
2 1. Vos droits en tant quusagers 3 1. Vos droits en tant quusagers (suite) 4.
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
Arnaud Legout Risques d'atteinte à la vie privée sur Internet, ou qu'est-ce que votre voisin peut savoir sur vous ? Arnaud Legout.
Mr: Lamloum Med LES NOMBRES PREMIERS ET COMPOSÉS Mr: Lamloum Med.
Service aux personnes assurées
La méthodologie………………………………………………………….. p3 Les résultats
1 Bienvenue! Ministère de lEmploi et de la Solidarité sociale Direction des ressources humaines La conduite dun projet de refonte dun intranet Pascale.
Développement d’applications web
1 Acteurs du Développement Durable Ecokids. Ecokids 2 Le Développement Durable, Cest quoi? 2.
41 leçons de vie Music: snowdream Nov 2009 He Yan.
Vuibert Systèmes dinformation et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 1 : La notion de système.
1 Guide de lenseignant-concepteur Vincent Riff 27 mai 2003.
Traitements &Suppléments
DEVELOPPEMENT DURABLE » « Penser global, agir local »
Pro Senectute Vaud Unité Centres de rencontre Centre Val Paisible Lausanne.
La voyage de Jean Pierre
1 Conduite du changement LA CONDUITE DU CHANGEMENT.
Projet poker 1/56. Introduction Présentation de léquipe Cadre du projet Enjeux Choix du sujet 2.
22 janvier 2013 Commercialiser en 2013 ! Que de variables à ajuster ! 1.
INDUSTRIE sa Tel : 0033(0) Fax : Projet: SKIP CAPSULES – v.1 Client: CARDIVAL HEALTH.
Internet : la mémoire courte ? Capture de sites Web en ligne Conférence B.N.F, Avril 2004 Xavier Roche(HTTrack)
LES NOMBRES PREMIERS ET COMPOSÉS
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Cairn.info Chercher : Repérer : Progresser 13/01/ { } Revues et diffusion des savoirs scientifiques : retour d’expérience de Cairn.info
Unit 4: Les animaux Unit 4: Les animaux.
Arnaud Legout Risques d'atteinte à la vie privée sur Internet, ou qu'est-ce que votre voisin peut savoir sur vous ? Arnaud Legout.
RACINES CARREES Définition Développer avec la distributivité Produit 1
Représentation des systèmes dynamiques dans l’espace d’état
Représentation des systèmes dynamiques dans l’espace d’état
Représentation des systèmes dynamiques dans l’espace d’état
Notre calendrier français MARS 2014
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
C'est pour bientôt.....
Les Nombres 0 – 100 en français.
Tout savoir sur la synchronisation des mails, contacts et calendrier sur Windows Phone Lire cette présentation en mode plein écran.
LA GESTION COLLABORATIVE DE PROJETS Grâce aux outils du Web /03/2011 Académie de Créteil - Nadine DUDRAGNE 1.
Page 1 © Jean Elias Gagner en agilité numérique. Page 2 © Jean Elias Les fournisseurs.
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
RADIO ET MÉDIAS SOCIAUX
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
Page 1 © Jean Elias Recherche et veille. Page 2 © Jean Elias Les fournisseurs.
Traitement de différentes préoccupations Le 28 octobre et 4 novembre 2010.
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
CALENDRIER-PLAYBOY 2020.
6 Nombres et Heures 20 vingt 30 trente 40 quarante.
KIWAPP IS A B2B FULL-STACK APP-MANAGEMENT TOOL KIWAPP EN QUELQUES ETAPES Octobre 2014.
Exercice de vérification 1 p
Les Chiffres Prêts?
Relevez le numéro de votre logo préféré et adressez-le à : En cas d’hésitation, vous pouvez choisir jusqu’à 3 logos. Seront pris.
La formation des maîtres et la manifestation de la compétence professionnelle à intégrer les technologies de l'information et des communications (TIC)
Présente Conception d’un petit site Web. 2 4-nov-03© Préambule Cette présentation fait suite à celle intitulée « Imaginer, concevoir, mettre.
L’identité numérique.
Présentation de Facebook
Internet et vie privée Est-ce la fin de la vie privée ?
Transcription de la présentation:

Arnaud Legout arnaud.legout@inria.fr Protection de la vie privée dans Internet : quels risques aujourd'hui ? Arnaud Legout arnaud.legout@inria.fr

Définition d’atteinte à la vie privée Il y a atteinte à la vie privée lorsque Rendre anonyme c’est casser ce lien Une activité est liées à une identité

Définition d’activité C’est ce qui caractérise le comportement Historique Web Toute votre vie: problèmes de santé, problèmes d’argent, problèmes familiaux, déprime, etc. Historique téléchargement pair-à-pair Communications Voix sur IP (Skype, Windows Messenger, etc.), mails, etc. Localisation (GPS, Wifi, IP, MAC, etc.) Ça n’est pas que où vous êtes, mais aussi qui vous rencontrez Etc.

Définition d’identité Identité réseau L’adresse IP dans Internet Permet de faire du profilage Identité applicative Spécifique à une application Temporaire (cookie) ou permanente (identifiant skype) Permet des attaques sur des applications Utile pour résoudre le problème des passerelles ou des adresses IP dynamiques

Définition d’identité Identité sociale Tout ce qui permet une identification dans la vraie vie Nom, adresse postale, email, numéro INSEE, etc. Permet des attaques sophistiquées et sévères Chantage, phishing personnalisé, etc. La sévérité augmente avec le nombre d’identités

Plan Définition d’atteinte à la vie privée Quels risques aujourd’hui ? Les grandes sociétés d’Internet Les individus Jusqu’où peut-on aller ?

Les grandes sociétés d’Internet Les ISPs ont beaucoup moins d’informations que les grandes compagnies grâce à la CNIL.

Données publiées avec consentement Énormément de données publiées Publication sur Facebook, mail sur Gmail, tweet sur Tweeter, etc. Quelle confidentialité pour ces données ? Les internautes acceptent les « conditions d’utilisation » et « Politique de Confidentialité » Mais, personne ne les lit Contradictoires et ne protègent pas la vie privée

Politique de protection de la vie privée de Google « Nous ne communiquons des données personnelles vous concernant à des entreprises, des organisations ou des personnes tierces qu’avec votre consentement. Nous demandons toujours votre autorisation avant de communiquer à des tiers des données personnelles sensibles. » « Nous ne partagerons des données personnelles avec des entreprises, des organisations ou des personnes tierces que si nous pensons en toute bonne foi que l’accès, l’utilisation, la protection ou la divulgation de ces données est raisonnablement justifiée pour… »

Données publiées sans consentement Chaque site qui contient du javascript d’un autre site peut envoyer des données personnelles vers cet autre site Facebook Twitter Google analytics (On ne voit même pas un bouton) xvideos.com (48), pornhub.com (67), youporn.com (80) isohunt.com 4chan.org

Pourquoi les données sont collectées Les sociétés utilisent ces données pour Offrir un meilleur service Vendre des publicités ciblées Obéir à la loi qui demande de conserver certaines données

Quels sont les risques avec les grandes sociétés d’Internet ? Évaluation du risque Risque Activité quasi exhaustive Identité réseau, applicative et sociale Atténuation du risque Modèle économique uniquement basé sur la satisfaction des internautes Sous surveillance Respect des lois Risque important

Plan Définition d’atteinte à la vie privée Quels risques aujourd’hui ? Les grandes sociétés d’Internet Les individus Jusqu’où peut-on aller ?

Les individus Pas d’infrastructure dédiée Pas d’informations privilégiées C’est un voisin, un patron, de la famille, un criminel, etc.

Quels sont les risques avec les individus ? Évaluation du risque Risque Pas de contrôle, identification difficile Unique but est de porter atteinte à la vie privée Atténuation du risque Difficile pour un individu de collecter une activité Difficile pour un individu d’obtenir l’identité sociale Mais c’est possible, donc risque important également

Contributions du projet Bluebear On peut suivre l’intégralité de l’activité BitTorrent sans ressource dédiée 148M d’adresses IP, 1.2M de contenus, 103 jours, 70% des sources initiales Utiliser Tor est pire Mais, sans l’identité sociale, difficile pour un individu d’exploiter ces informations On va montrer dans la suite que l’on peut massivement lier identité sociale et adresse IP

Plan Définition d’atteinte à la vie privée Quels risques aujourd’hui ? Jusqu’où peut-on aller ?

Peut-on trouver l’adresse IP d’Homer en exploitant Skype ? Skype ID d’Homer Son nom est Homer Quelle est son adresse IP ? John doe appelle Étape 1 : Quel est le Skype ID d’Homer ? Étape 2 : Peut-on trouver l’adresse IP d’Homer ? Étape 3 : Peut-on trouver l’adresse sans être détecté ?

Étape 1: Quel est le Skype ID d’Homer ? 560M d’utilisateurs de Skype enregistrés 88% donne un nom propre 82% donne un age, un pays, une URL, etc. On cherche Homer dans l’annuaire Skype On supprime les dupliqués avec les informations fournies (pays, langue, etc.) S’il y a encore des dupliqués on trouve l’adresse IP d’Homer et on regarde sa localisation Enterprise, université, lieu public

Étape 2: Peut-on trouver l’adresse IP d’Homer ? Toutes les communications sont chiffrées Impossible d’exploiter le contenu des paquets IP Chaque client communique avec des dizaines d’autres clients Qui est Homer parmi 100 autres clients ? On fait un appel VoIP vers Homer On identifie des schémas spécifiques de communication

Tout Internet en 2 minutes, ou presque Chiffrement ? Entête Données Si c’est chiffré c’est sûr ? Non, pas totalement !

Tout Internet en 2 minutes, ou presque Inter-arrivée Entête Taille ? Internet A B

Un exemple de schéma Attaquant toujours public Homer online et derrière un NAT UDP:28B UDP:28B On trouve l’adresse IP d’Homer dans l’entête IP des messages du schéma UDP:28B UDP:3B UDP:3B

Étape 3: Peut-on trouver l’adresse sans être détecté ? Attaquant Homer Supernœuds TCP Handshake TCP+UDP John doe appelle Schéma TCP Handshake TCP SYN Schéma

On peut lier adresse IP et identité sociale à grande échelle Notre attaque fonctionne pour tous les utilisateurs de Skype (560M) Indétectable et non blocable Pas d’infrastructure dédiée

Quel est le problème de suivre la mobilité ? Suivre la mobilité implique Savoir où vous êtes Qui vous rencontrer et où Le suivi des interactions sociales et un énorme problème de protection de la vie privée

Le cas d’un utilisateur réel Est-ce qu’on observe une telle mobilité pour un utilisateur quelconque ?

Mobilité de 10 000 utilisateurs choisis au hasard Mobility of Skype users ~40% change de ville 19% change d’ISP 4% change de pays Nombre d’endroits Utilisateurs ordonnés par nombre de déplacements

Peut-on associer les utilisateurs de Skype à leurs téléchargements BitTorrent ? “Qu’est que je télécharge?” Est-ce que les utilisateurs de Skype utilisent BitTorrent ? Est-ce que les NATs introduisent de faux-positifs ? Est-ce qu’on peut identifier les utilisateurs malgré les NATs ?

Résultats importants Est-ce que les utilisateurs de Skype utilisent BitTorrent ? 15% des utilisateurs de Skype sont suspectés d’utiliser BitTorrent Est-ce que les NATs introduisent de faux-positifs ? Oui, autour de 50% Est-ce qu’on peut identifier les utilisateurs malgré les NATs ? Oui, en utilisant le flow ID des entêtes IP

Conclusion Les grandes sociétés de l’internet mais également votre voisin peuvent Profiler massivement les internautes Faire le lien entre identité sociale et identité réseaux Sans support des FAI ou des fournisseurs de services (comme Skype ou BitTorrent) Impossible de protéger totalement sa vie privée sur Internet Le travail des chercheurs est de rendre le profilage difficile

Questions ? Protection de la vie privée dans Internet : quels risques aujourd'hui ? arnaud.legout@inria.fr http://planete.inria.fr/bluebear

Est-ce important de protéger sa vie privée ? « Si vous n’avez rien à vous reprocher ni à cacher, de quoi avez-vous peur ?»

« Je ne suis pas Thaïlandais, je suis Américain « Je ne suis pas Thaïlandais, je suis Américain. Je suis né en Thaïlande, mais j’ai un passeport américain. Il y a en Thaïlande des lois contre la liberté d’expression, on n’a pas de telles lois au États-Unis. » Joe Gordon condamné en 2011 pour une traduction d’une biographie non autorisée du roi de Thaïlande en 2007 lèse-majesté

Pornographie

Liberté d’expression

Légalité et moralité dans Internet Internet est mondial La lois et la moralité qui s’appliquent à vos données dépendent du pays où Elles sont consultées Elles sont stockées Mais, vous n’avez aucun moyen de contrôler où sont consultées et stockées vos données