Freenet: The technical part of the solution for Freedom of the Press in the Internet
Sécurité des données pour la propriété intellectuelle et la vie … · Freenet Protection des...
Transcript of Sécurité des données pour la propriété intellectuelle et la vie … · Freenet Protection des...
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Securite des donneespour la propriete intellectuelle et la vie privee
7 - Vie privee et web
Guillaume [email protected]
http://guillaume.piolle.fr/
CentraleSupelec – majeure SISMaster SIF
Master Crypto
22 octobre 2018
Guillaume Piolle SED - Outils 1 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
1 Protection des communicationsSolutions historiquesFreenetTor
2 Tracage de navigateur
3 Tracage wifi
4 Reseaux sociaux, vie privee et distribution
Guillaume Piolle SED - Outils 2 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Solutions historiques
Communications anonoymes
Serveurs mandataires
Solution tres 90’s pour communiquer de maniere anonyme (anon.penet.fidans les annees 1990, Proxify pour le web. . . ).
Cache « basiquement » l’IP source ;
Ne cache que l’IP source (et souvent tres basiquement) ;
Obligations d’auditabilite variables des fournisseurs ;
Necessaire confiance dans le fournisseur, qui a toutes les infos ;
Specialisation par protocole ;
La connexion au proxy est observable et facilement bloquable.
Guillaume Piolle SED - Outils 3 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Solutions historiques
Communications anonoymes
Reseaux prives virtuels
Substitution de l’@IP source pour les sites cibles et les observateursexterieurs en aval du fournisseur ;
Confidentialite du contenu et de l’@ cible vis-a-vis des observateursexterieurs entre client et fournisseur ;
Generalisable a tout type de trafic ;
Authentification possible du fournisseur ;
Aucune confidentialite particuliere en aval du fournisseur (hors @IP) ;
Necessaire confiance dans le fournisseur, qui a toutes les infos ;
Pas d’anonymisation applicative ;
La connexion au VPN est observable, possiblement identifiable etbloquable.
Guillaume Piolle SED - Outils 4 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Application distribuee permettant le stockage et l’acces a desdocuments :
Organisee en reseau pair a pair ;
Garantissant l’anonymat des connexions (upload, recherche,download) ;
Resistant a la censure (suppression « impossible ») ;
Garantissant la denegation plausible.
Premiere version en mars 2000.
Guillaume Piolle SED - Outils 5 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Principes de fonctionnement
Lorsqu’on stocke un fichier sur le reseau, il est fragmente et stockefragment par fragment (avec chiffrement et replication) sur les pairs ;
Lors d’un acces au fichier, les fragments sont recuperes, reassembles,dechiffres ;
Le protocole de routage ne permet pas a un pair d’identifier quienvoie un fragment, fait une requete ou recupere un fragment ;
Un pair ne peut pas savoir de quels fichiers il heberge les fragments ;
Modes darknet et open-net ;
Freenet fournit une infrastructure qui peut etre utilisee par d’autresapplications ;
Freesites : sites web accessibles uniquement par Freenet ;
Modele de reseau small world.
Guillaume Piolle SED - Outils 6 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Gestion de l’espace de stockage par les pairs
Les fragments les plus demandes sont favorises ;
Lorsque l’espace disque vient a manquer, les fragments les moinsdemandes peuvent etre supprimes au profit de nouveaux fragments.
Aucun pair n’est responsable d’un fragment donne !Plus un fichier est demande, plus il est replique : le seul moyen desupprimer un fichier du reseau est que tout le monde arrete d’y acceder.
Guillaume Piolle SED - Outils 7 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Fragmentation et chiffrement
Chaque fichier est fragmente en fichiers chiffres de 32kio. Le nom defichier du fragment est son condensat cryptographique et sert aconstruire un CHK (Content Hash Keys).
Un manifeste liste l’ensemble des fragments pour un fichier donne. Lenom de fichier du fragment constitue sa cle d’acces.
La methode de stockage distribue des fragments permet de recuperer unfragment si on en connaıt la cle d’acces.
Guillaume Piolle SED - Outils 8 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Recuperation et dechiffrement
Un client peut demander un fichier avec une requete du type :http://localhost:8888/CHK@xxx,yyy,zzz
La chaıne CHK@xxx,yyy,zzz constitue le CHK du manifeste : xxx est lacle d’acces, yyy la cle de dechiffrement et zzz un ensemble d’optionscrypto.
Le client recupere le manifeste, le dechiffre, puis recupere chacun desfragments et les dechiffre.
Consequence
Les pairs stockant les fragments peuvent difficilement savoir a quel fichierils correspondent et peuvent difficilement les dechiffrer.
Guillaume Piolle SED - Outils 9 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Tables de hachage distribuees (DHT)
Structure de donnees de type cle-valeurs (table de hachage) distribueesur un reseau de nœuds.
Utilisee pour le stockage distribuee d’une maniere generale (en particulierpour des applications pair a pair).
Systeme completement distribue, tolerant aux fautes (dedisponibilite) et passant a l’echelle.
Acces par un nom complet et precis (la cle pouvant etre le condensat dunom), ne permet pas par defaut la recherche par mots-cles.
Nombreuses variations sur un meme theme.
Guillaume Piolle SED - Outils 10 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Tables de hachage distribuees (DHT)
Principe : l’espace de hachage est partitionne de maniere a associer unnœud ou un cluster de nœuds a chaque partition de cles, pour permettrele routage. On dispose d’un operateur de distance sur l’espace dehachage.
Par exemple, les nœuds peuvent etre etiquetes par des nombres repartisequitablement dans l’espace de hachage (ni ), le nœud nk etantresponsable du stockage des cles situes entre nk et nk+1 (dans la versionChordDHT).
Operations : les requetes put(k, data) ou get(k) sont propagees dansle reseau jusqu’a atteindre le nœud responsable du stockage de cette cle.
Guillaume Piolle SED - Outils 11 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Overlay network et Key-based routing
Pour assurer un routage correct, les nœuds doivent s’organiser de manierea assurer la propriete suivante :
Pour toute cle k et tout nœud n, soit n est responsable dustockage de k, soit n est en relation avec un nœud n′ plusproche de k (au sens de la distance dans l’espace de hachage).
Il est alors facile de trouver un algorithme de routage naıf.
Il y a un compromis entre le nombre de voisins par nœud (qui doit resterfaible pour faciliter la maintenance) et la taille de la pire route. Laplupart des DHT visent un equilibre ©(log n)/© (log n) (definition dusmall world).
Guillaume Piolle SED - Outils 12 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Overlay network
Les nœuds portent un numero compris entre 0 et 1 ;
A partir d’une configuration donnee, on essaie de se rapprocher dusmall world en intervertissant des positions (dans le cas du darknet)de maniere a raccourcir les distances entre voisins (utilisation del’algorithme de Metropolis-Hastings) ;
A partir d’une topologie aleatoire, (et d’une distribution aleatoire desdonnees sur les nœuds), le reseau evolue spontanement vers unestructure de grappes de cliques hebergeant des donnees de cles tresproches.
Guillaume Piolle SED - Outils 13 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Insertion de donnees (principe)
1 Reception d’une requete put(k, data) au nœud x ;
2 A partir de la cle, calculer un nombre xk (dans [0,1]) ;
3 Mettre la donnee en cache ;
4 S’il existe un voisin x ′ tel que d(x ′, xk ) < d(x , xk ), lui transmettre larequete.
x ne sait pas d’ou provient initialement la requete (mais la chaınepeut etre reconstituee si suffisamment de nœuds sont compromis) ;
x ne connaıt pas tous les nœuds qui vont stocker la donnee.
Guillaume Piolle SED - Outils 14 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Recuperation de donnees (principe)
Initialisation du marquage des voisinsReception au noeud x d’une requete get(k) depuis x0Si la donnee est en cache :renvoyer (k, data) a x0, terminer.
Sinon :Si le TTL de la requete est atteint :Renvoyer "echec", terminer.
Sinon :Marquer x0, calculer x(k), incrementer le hop countTant qu’il existe des voisins non marques :Transmettre la requete a x’, noeud voisin non marque le plus proche de x(k)Marquer x’Reception d’un messageTant que le message est get(k) en provenance de x’’ :Marquer x’’, Renvoyer "echec" a x’’
Fin tant queSi le message est (k, data) :Mettre en cache (k, data)Renvoyer (k, data) a x0, terminer.
Si le message est "echec" :Poursuivre.
Fin tant queFin si
Fin si
Guillaume Piolle SED - Outils 15 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Freenet
Protection des communications : Freenet
Signed Subspace Keys
Les CHK permettent de gerer des fichiers statiques.
Les SSK permettent de gerer la publication de donnees dont le contenuchange au cours du temps, mais dont on doit s’assurer de l’authenticite :les freesites, typiquement.
Principe : a l’insertion, l’auteur genere a la fois une cle symetrique pourle chiffrement et une paire de cles DSA pour la signature des fragments.La cle publique est stockee (chiffree) avec les fragments. La SSK estcomposee du condensat de la cle publique (cle d’acces au fichier), de lacle symetrique et des options crypto.
Guillaume Piolle SED - Outils 16 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Protection des communications : Tor
Tor = The Onion Router
Principe : faire transiter les messages par un certain nombre de nœuds(machines) choisis au hasard, avant de les remettre a leur destinataire, enutilisant des chiffrements successifs entre les nœuds (chiffrement encouches, d’ou l’image de l’oignon).
Tor est un reseau de machines (nœuds Tor), avec des nœuds « d’entree »et « de sortie », que tout le monde peut utiliser de cette maniere.
Guillaume Piolle SED - Outils 17 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Protection des communications : Tor
Guillaume Piolle SED - Outils 18 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Protection des communications : Tor
Guillaume Piolle SED - Outils 19 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Etablissement d’un circuit Tor par le nœud A : principe
A choisit une sequence de nœuds commencant par un nœud d’entree (B)et terminant par un nœud de sortie, et recupere les cles publiques desnœuds du circuit ;
A associe en interne a B un nouveau numero de circuit circIDAB ;
A envoie un message create a B, contenant circIDAB et la premieremoitie d’un Diffie-Hellman chiffree avec la cle publique de B ;
B renvoie un message created, avec la deuxieme moitie duDiffie-Hellman et le condensat de la cle de session KAB ;
A envoie un relay extend a B en lui designant C et en transmettant unemoitie de Diffie-Hellman chiffree avec la cle publique de C ;
B choisit en interne un nouveau numero de circuit circIDBC , qu’il associe acircIDAB ;
B transmet le message a C dans un create etiquete circIDBC ;
C renvoie un message created que B transmet a A sous la forme d’unrelay extended : A et C partagent KAC ;
etc.
Guillaume Piolle SED - Outils 20 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Protection des communications : Tor
Proprietes assurees
Anonymisation IP du client, vis-a-vis de tout le monde excepte lenœud d’entree ;
Contenu des messages et destinataire chiffres jusqu’au nœud desortie (point sensible).
Mais !
Necessite d’utiliser un proxy specifique sur la machine client ;
Necessite de « torrefier » les applications ;
Grand temps de latence, inadapte pour les gros volumes de donnees ;
Pas d’anonymisation applicative : on peut etre identifie par lecontenu des messages ;
Les nœuds d’entree et de sortie sont publics et peuvent etre interditsd’acces.
Guillaume Piolle SED - Outils 21 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Protection des communications : Tor
Proprietes assurees
Anonymisation IP du client, vis-a-vis de tout le monde excepte lenœud d’entree ;
Contenu des messages et destinataire chiffres jusqu’au nœud desortie (point sensible).
Mais !
Necessite d’utiliser un proxy specifique sur la machine client ;
Necessite de « torrefier » les applications ;
Grand temps de latence, inadapte pour les gros volumes de donnees ;
Pas d’anonymisation applicative : on peut etre identifie par lecontenu des messages ;
Les nœuds d’entree et de sortie sont publics et peuvent etre interditsd’acces.
Guillaume Piolle SED - Outils 21 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Sans Tor ni HTTPSGuillaume Piolle SED - Outils 22 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
HTTPSGuillaume Piolle SED - Outils 23 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
TorGuillaume Piolle SED - Outils 24 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Tor + HTTPSGuillaume Piolle SED - Outils 25 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Protection des communications : Tor
Tor hidden services
Sites web ou services divers, accessibles uniquement depuis Tor. Unhidden service a une URI en .onion, mais pas d’adresse IP : services nongeolocalisables, a priori completement anonymes.
Mise en place d’un hidden service
1 Le nœud fournisseur du service choisit plusieurs pointsd’introduction parmi les autres nœuds, leur transmet sa cle publiqueet etablit des circuits avec eux ;
2 Le nœud de service cree un descripteur incluant sa cle publique et laliste des points d’introduction, et le signe ;
3 Le nœud publie le descripteur dans une DHT, sous une cleXXX.onion ou XXX est une chaıne de 16 caracteres derivee de sa clepublique.
Guillaume Piolle SED - Outils 26 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Acces a un hidden service
1 Le client dispose de l’adresse XXX.onion (via un moteur derecherche par exemple : http://ahmia.fi/) ;
2 Le client telecharge le descripteur depuis la DHT ;
3 Le client choisit un nœud pour servir de point de rendez-vous, iletablit un circuit et lui envoie un secret de session ;
4 Le client forge un message d’introduction, incluant l’identite dupoint de RDV et le secret de session, le tout chiffre avec la clepublique du service ;
5 Le client envoie le message d’introduction a un point d’introduction(via un circuit Tor), qui le transmet au nœud de service ;
6 Le nœud de service dechiffre le message d’introduction et etablit uncircuit jusqu’au point de RDV, aupres duquel il s’identifie avec lesecret de session ;
7 Le point de RDV notifie le client, client et nœud de service peuventalors communiquer par leurs circuits respectifs au point de RDV.
Guillaume Piolle SED - Outils 27 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Tor : vulnerabilites et attaques
Tor et le global adversary
Tor est sensible aux attaques par correlations entree-sortie (=end-to-end correlation = traffic confirmation).Une telle attaque est realisable dans le cas d’une collusion entredestinataire et ISP ou entre nœud de sortie et ISP, ou d’une manieregenerale si l’attaquant peut observer le trafic en entree et en sortie dureseau. On parle de global adversary.
Compromission du nœud de sortie
Le controle d’un nœud de sortie permet d’acceder au trafic en clair (horsTLS), particulierement riche, et eventuellement d’inferer l’identite decertains utilisateurs ou de chaıner certaines activites (Zetter 2007).
Guillaume Piolle SED - Outils 28 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Tor : vulnerabilites et attaques
Pommes pourries et attaques applicatives
Certains protocoles et applications (i.e. BitTorrent) peuvent exposer desadresses IP dans leur trafic ou permettre de correler du trafic torrefieavec du trafic non torrefie (Le Blond et al. 2011).
Mouse fingerprinting
Chaınage entre un trafic torrefie et un trafic non torrefie, si le meme sitede profilage est visite : profilage, avec JavaScript, de la mobilite de lasouris (plus general que Tor).
Attaques du chiffrement en oignon
Plusieurs attaques connues permettent d’abaisser (un peu) le niveau desecurite du chiffrement lorsqu’on controle k nœuds parmi les n d’uncircuit. Neanmoins, en cas d’attaque ciblee, il est beaucoup plus facile etefficace d’implanter un malware sur la machine client. . .
Guillaume Piolle SED - Outils 29 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Tor
Une application de Tor : Whonix
Guillaume Piolle SED - Outils 30 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
1 Protection des communications
2 Tracage de navigateurCas d’usageCookies HTTPCookies immortelsInjection HTTPRedirections HTTPETAGs HTTPHSTSFingerprinting de navigateurEt Do Not Track ?
3 Tracage wifi
4 Reseaux sociaux, vie privee et distribution
Guillaume Piolle SED - Outils 31 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cas d’usage
Cas d’usage
Fonctionnalite recherchee
Possibilite d’assigner un identifiant unique et persistant a unutilisateur, a un navigateur ou a une plate-forme physique.
Possibilite d’associer un profil a cet identifiant.
Pourquoi fait-on du tracage ?
Personnalisation explicite des services, gestion « classique » dessessions, des clients, des visiteurs enregistres ou non ;
Affectation d’un profil comportemental a un utilisateur,permettant de « personnaliser son experience » en lui proposant dela publicite ciblee, des tarifs adaptes, des contenus interessants(personnalisation). . .
Conception et amelioration de ces profils comportementaux(apprentissage, clustering) ;
. . .
Guillaume Piolle SED - Outils 32 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cas d’usage
Cas d’usage
Toujours dans l’interet de l’utilisateur ?
En partie, oui, mais. . .
Possibilite de derive discriminatoire (intentionnelle ou non) ;
Techniques de suivi systematiquement orientees vers uncontournement des preferences, reglages et protections mis en placepar l’utilisateur : contournement du controle des cookies, suivi entreonglets, suivi entre navigateurs, entre machines, mise en echec duSame Origin Policy, de Do Not Track. . .
Generalisation d’un certain « paternalisme de mauvaise foi » dans lajustification de ces techniques.
Guillaume Piolle SED - Outils 33 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cas d’usage
Cas d’usage
Qui met en place du tracage ?
Tout le monde ! a un niveau ou a un autre. . . Il est principalementpropose/impose par les intermediaires techniques ou commerciaux :regies publicitaires, CDNs, proxy/caches mutualises. . .
Une certaine forme de centralisation
Certains acteurs sont dans des situations de quasi-monopole ;
Interactive Advertising Bureau + Digital Advertising Alliance =90 % des annonceurs publicitaires sur le web (2012) ;
Meme sans position hegemonique, de par les fonctionnalitesproposees certains fournisseurs sont en position d’agregerefficacement l’information sur les utilisateurs.
Les sites de presse sont particulierement « touches » :https://trackography.org/
Guillaume Piolle SED - Outils 34 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cookies HTTP
Cookies HTTP
Les cookies sont des informations textuelles ajoutees dans les en-tetes derequetes/reponses HTTP afin d’introduire une differentiation, de manierea simuler la notion d’etat conversationnel.Ils sont rattaches a un domaine et peuvent avoir une date d’expirationou une duree de vie.
Contenu des cookies
La taille des cookies est limitee (4 kio max). Ils contiennent en general :
Soit des informations textuelles tres breves (preferences de langue oud’interface par exemple) ;
Soit un identifiant correspondant a des donnees stockees sur leserveur.
Guillaume Piolle SED - Outils 35 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cookies HTTP
Cookies HTTP
Familles et caracteristiques des cookies
Cookies de session : volatiles ;
Cookies persistants ;
Cookies « securises » : utilises uniquement sur HTTPS ;
Cookies « HttpOnly » : inaccessibles a JavaScript, Flash ou tout cequi n’est pas HTTP ;
Cookies tiers : places par un autre domaine que celui qui est visite(typique du suivi publicitaire, mais aussi de certains mecanismes deSSO) ;
Supercookies : cookies positionnes pour un top-level domain(inutilisable maintenant ?).
L’utilisation de cookies necessite la collaboration du navigateur. Ilspeuvent donc en principe etre bloques ou supprimes par l’utilisateur(mais. . . ).
Guillaume Piolle SED - Outils 36 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cookies HTTP
Cookies HTTP
Detection
Les cookies HTTP classiques font partie integrante du protocole decommunication entre navigateur et serveur(s). Le navigateur (et parextension l’utilisateur) est donc parfaitement en mesure de detecter leurutilisation.
Contremesures
Les cookies peuvent etre refuses par le navigateur (il ignore simplementl’en-tete correspondant), eventuellement de maniere selective (refus descookies tiers, listes noires de domaines. . . ). L’utilisateur peut supprimerles cookies, selectivement ou en masse.
Aucun systeme moderne de tracage ne sera empeche defonctionner par une suppression des cookies ou un « nettoyage »du navigateur. Meme un refus complet de tout cookie HTTP n’empechepas la tracabilite. La suite devrait vous en convaincre. . .
Guillaume Piolle SED - Outils 37 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cookies HTTP
Cookies HTTP
Detection
Les cookies HTTP classiques font partie integrante du protocole decommunication entre navigateur et serveur(s). Le navigateur (et parextension l’utilisateur) est donc parfaitement en mesure de detecter leurutilisation.
Contremesures
Les cookies peuvent etre refuses par le navigateur (il ignore simplementl’en-tete correspondant), eventuellement de maniere selective (refus descookies tiers, listes noires de domaines. . . ). L’utilisateur peut supprimerles cookies, selectivement ou en masse.
Aucun systeme moderne de tracage ne sera empeche defonctionner par une suppression des cookies ou un « nettoyage »du navigateur. Meme un refus complet de tout cookie HTTP n’empechepas la tracabilite. La suite devrait vous en convaincre. . .
Guillaume Piolle SED - Outils 37 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cookies immortels
Cookies immortels
Cookies immortels ou zombies, respawning cookies, permacookies,evercookies, parfois supercookies : cookies HTTP qui ont la capacite dereapparaıtre dans la base du navigateur apres leur suppression.
Cette fonctionnalite est habituellement assuree par du code JavaScript ouFlash qui stocke l’information identifiante dans le local storage deHTML5 ou les local shared objects Flash (ou dans tout espace destockage persistant et accessible) et reconstitue le cookie au besoin.
Guillaume Piolle SED - Outils 38 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cookies immortels
Cookies immortels
Le principe des cookies immortels
Guillaume Piolle SED - Outils 39 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Cookies immortels
Cookies immortels
Detection
Le navigateur (ou une extension) a les moyens de surveiller l’utilisationqui est faite du stockage HTML5, et eventuellement de la rapprocher ducontenu des cookies.
Contremesures
Le stockage HTML5 peut etre nettoye, de maniere selective ou globale. Ilexiste des extensions de navigateurs pour cela.
Guillaume Piolle SED - Outils 40 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Injection HTTP
Injection HTTP
Principe : un FAI ou un transporteur peut injecter des meta-donnees dansdu trafic non chiffre – typiquement sous la forme d’en-tetes HTTP (ouSMTP) specifiques. Ces meta-donnees peuvent etre une identificationfournie par l’intermediaire technique, a destination d’un site web client(ou pas) de leur service d’identification.
Principalement utilise sur les terminaux mobiles.
Pratiques observees notamment par des operateurs aux USA, en Espagne,aux Pays-Bas, au Canada, en Inde. . . En 2016, Verizon est condamnepour des pratiques s’appuyant sur cette technique [opt-out ajoute depuis].Twitter (MoPub), entre autres, exploite/exploitait les donnees injectees(en achetant un profil a Verizon).
https://www.accessnow.org/aibt/
Guillaume Piolle SED - Outils 41 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Injection HTTP
Injection HTTP
Exemple d’injection par le FAI
Guillaume Piolle SED - Outils 42 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Injection HTTP
Injection HTTP
Exemple d’injection par le FAI
Guillaume Piolle SED - Outils 42 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Injection HTTP
Injection HTTP
HTTP Header Enrichment documente par Juniper
Ajout automatique d’un Mobile Subscriber ISDN number par unequipement reseau (routeur en bordure de reseau mobile) :
GET /256k.html HTTP/1.1Host: 10.45.45.2Accept */*Accept−Language: en−usAccept−Encoding: gzip, deflateUser−Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.1.4322X−MSISDN: <MSISDN #>
https://www.juniper.net/documentation/en_US/junos-mobility12.1/
topics/concept/httphe-mobility-overview.html
Technos similaires chez Cisco, standard Open Mobile Alliance, brevets d’AT&T
ou de Verizon
Guillaume Piolle SED - Outils 43 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Injection HTTP
Injection HTTP
Detection
Les en-tetes injectes peuvent etre detectes par un serveur web (commecelui monte a l’epoque par AccessNow pour les usagers americains).
Contremesures
L’injection d’en-tetes HTTP classique ne peut avoir lieu sur un traficchiffre de bout en bout (HTTPS sur TLS), sauf man-in-the-middle.Seulement, comme c’est le serveur web qui beneficie du service, ilpeut forcer un passage en HTTP (recommandation technique dansle brevet AT&T) ;
Le protocole SPDY de Google, qui encapsule le trafic HTTP/S pouren ameliorer les performances, empeche l’injection d’en-tetes HTTP.
Guillaume Piolle SED - Outils 44 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Redirections HTTP
Redirections HTTP
Un serveur (typiquement, un raccourcisseur d’URL, mais pas forcement)peut generer des redirections permanentes (HTTP 301) a la volee,incluant un identifiant unique pour le navigateur. Les redirectionspermanentes pouvant etre mises en cache par le navigateur, l’informationpeut avoir une certaine perennite sans figurer dans les cookies (mais unraccourcisseur d’URL est aussi un bon moyen de contourner le refus descookies tiers. . . ).
Guillaume Piolle SED - Outils 45 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Redirections HTTP
Redirections HTTP
Detection
Difficile depuis un navigateur unique, il faut pouvoir determiner si unememe URI engendre des redirections differentes pour des utilisateursdifferents.
Contremesures
La methode n’est pas tres robuste, il suffit d’un rechargement complet dela page pour nettoyer le cache du navigateur. De plus, les navigateurs necachent pas tous les redirections 301, et avec des durees differentes. C’estune technique qui est destinee a etre combinee avec d’autres.
Guillaume Piolle SED - Outils 46 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Redirections HTTP
Redirections HTTP
Un cousin : le cookie syncing entre domaines
Deux domaines en collusion peuvent partager des informations sur lescookies de session via des redirections (largement utilise dans la nature –agregation au niveau des regies, des brokers, des CDN. . . ). Un autremoyen de resister a la suppression des cookies, sans traces visibles pourl’utilisateur.
Guillaume Piolle SED - Outils 47 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
ETAGs HTTP
ETAGs HTTP
Finalite originelle des ETAGs
Entity tag : identifiant opaque d’une ressource, dans une versiondonnee, envoye dans les en-tetes HTTP et permettant au navigateur degerer son cache et d’economiser de la bande passante.
Guillaume Piolle SED - Outils 48 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
ETAGs HTTP
ETAGs HTTP
Finalite originelle des ETAGs
Entity tag : identifiant opaque d’une ressource, dans une versiondonnee, envoye dans les en-tetes HTTP et permettant au navigateur degerer son cache et d’economiser de la bande passante.
Guillaume Piolle SED - Outils 48 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
ETAGs HTTP
ETAGs HTTP
Utilisation des ETAGs pour le tracage
Le ETAG est de format libre (meme si. . . ), sa mise en cache par lenavigateur en fait un canal cache de stockage utilisable pour maintenir unlien avec un profil cote serveur.
Detection
Il est tres difficile (impossible ?) de savoir si un ETAG est utilise demaniere « non conventionnelle » (en tout cas si le tracage est fait demaniere astucieuse).
Contremesures
Il est techniquement possible de refuser les ETAGs ou de vider le cachecorrespondant (via une extension par exemple).
Guillaume Piolle SED - Outils 49 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
HSTS
HSTS
HTTP Strict Transport Security (HSTS)
Principe : un site web en HTTPS/HSTS demande au navigateur, via unen-tete particulier, de ne plus jamais acceder a ce site en HTTP, pendantun delai specifie (qui peut etre long).Protege de certains vols de session et d’attaques en SSL/TLS stripping.
Detournement pour du suivi de navigateur
Un site www.example.com inclut plusieurs contenus pointant versa.example.com, b.example.com, c.example.com...
L’activation ou non de HSTS (dynamique, en fonction du navigateur) sur chaquesous-domaine permet d’encoder un bit d’information ;
Lors des visites suivantes, le navigateur se souvient de la configuration HSTS etfait directement sa requete soit vers https://a.example.com soit vershttp://a.example.com.
→ cache HSTS (longue duree, non manipulable directement par l’utilisateur) exploitecomme canal cache de stockage.
Guillaume Piolle SED - Outils 50 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
HSTS
HSTS
Detection
Difficile ou impossible dans le cas general, mais on peut s’attendre a voirune serie de references systematiques a des sous-domaines voisins, sansraison particuliere.
Contremesures mises en œuvre dans WebKit (mars 2018)
1 Limitation de HSTS au nom visite (www.example.com), ou TLD+1(example.com) + limitation du nombre de redirections pouvant etrechaınees ;
2 Non-respect de HSTS pour les domaines deja concernes par unblocage de cookies ou par d’autres contre-mesures.
https://webkit.org/blog/8146/protecting-against-hsts-abuse/
Guillaume Piolle SED - Outils 51 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Fingerprinting de navigateur
Fingerprinting de navigateur
Principe
Des informations discriminantes sur le navigateur ou la plate-forme sontcollectees par le serveur, de maniere passive ou active. Un profil,idealement unique, est attribue pour le tracage.
Quels moyens pour collecter l’information ?
En-tetes des requetes du navigateur ;
JavaScript ;
HTML5 (Canvas notamment) ;
Maladies veneriennes executees dans le navigateur (Flash, appletsJava) ;
. . .
Guillaume Piolle SED - Outils 52 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Fingerprinting de navigateur
Fingerprinting de navigateur
Elements utilises pour le profilage
Versions d’OS et de navigateur ;
Fuseau horaire, formats et langues acceptees ;
Polices de caracteres et writing scripts disponibles ;
Resolution d’ecran et profondeur de couleur ;
Bit DNT ;
Plugins installes et leurs versions ;
HTML5 Canvas ;
Nombre de cœurs du CPU ;
APIs : support multipoint, AudioContext, WebGL,encodage/decodage de formats graphiques. . .
Guillaume Piolle SED - Outils 53 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Fingerprinting de navigateur
Fingerprinting de navigateur
Le Canvas fingerprinting
La methode HTMLCanvasElement.toDataURL() convertit l’image,generee de maniere procedurale, en une chaıne de caractere qui constituedirectement l’empreinte.
Guillaume Piolle SED - Outils 54 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Fingerprinting de navigateur
Fingerprinting de navigateur
Mises en œuvre experimentales ou pedagogiques
EFF Panopticlick : https://panopticlick.eff.org/. Utilise dutracage par cookies et differentes techniques de fingerprinting ;
Inria AmIUnique : https://amiunique.org/. Panopticlick + localstorage, Canvas [WebGL ajoute ensuite ?]. Taux d’identification de90.5 %.
Cao, Li & Wijmans, (Cross-)Browser Fingerprinting via OS andHardware Level Features, 2017 : AmIUnique + WebGL, concurrence,AudioContext. Taux d’identification de 99.2 %.
Plus d’infos sur le fingerprinting WebGL :https://browserleaks.com/webgl
Fingerprinting AudioContext :https://audiofingerprint.openwpm.com/
Bibliotheque populaire pour le fingerprinting :https://github.com/Valve/fingerprintjs2
Guillaume Piolle SED - Outils 55 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Fingerprinting de navigateur
Fingerprinting de navigateur
Detection
La collecte passive (en-tetes de requetes HTTP) est par essenceindetectable (mais peu efficace en soi).
Les techniques de collecte active sont detectables au cas par cas (parsignature), en surveillant l’utilisation des APIs et ressources.
Contremesures
Protection par normalisation de tous les elements sortant et desreponses aux diverses APIs (necessite de les avoir identifiees) :informations standard, desactivation de fonctionnalites riches. Mise enœuvre dans Tor Browser, certains outils portes au fur et a mesure dansFirefox (FF 58 alerte sur le canvas fingerprinting).
Contremesure la plus efficace : navigateur normalise dans une VMnormalisee (Tor Browser dans Whonix par exemple).
Guillaume Piolle SED - Outils 56 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Et Do Not Track ?
Et Do Not Track ?
W3C Tracking Preference Expression (DNT)
Specification (2011-) pour la transmission d’un bit d’information “Do NotTrack” via les en-tetes HTTP envoyees par le navigateur, pour exprimerun choix de l’utilisateur.
Demande aupres de la FTC depuis 2007, declaration d’intention de MSpour IE en 2010, implementation via en-tetes pour Firefox en 2011 etadoption par les autres navigateurs.
OK mais techniquement, comment ca marche ?
Ca ne marche pas.
On envoie un signal au serveur et on espere qu’il en tiendra compte.
C’est tout.
Guillaume Piolle SED - Outils 57 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Et Do Not Track ?
Et Do Not Track ?
W3C Tracking Preference Expression (DNT)
Specification (2011-) pour la transmission d’un bit d’information “Do NotTrack” via les en-tetes HTTP envoyees par le navigateur, pour exprimerun choix de l’utilisateur.
Demande aupres de la FTC depuis 2007, declaration d’intention de MSpour IE en 2010, implementation via en-tetes pour Firefox en 2011 etadoption par les autres navigateurs.
OK mais techniquement, comment ca marche ?
Ca ne marche pas.
On envoie un signal au serveur et on espere qu’il en tiendra compte.
C’est tout.
Guillaume Piolle SED - Outils 57 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Et Do Not Track ?
Et Do Not Track ?
Une question d’interpretation
La DAA interprete DNT d’une maniere pas completement intuitive : Onarrete de proposer de la publicite ciblee, mais on continue de collecter,d’exploiter et de monetiser les donnees de l’usager.
Un choix actif des utilisateurs
La DAA s’est engagee a « respecter » DNT, a condition qu’il soitdesactive par defaut dans les navigateurs.2012 : MS active DNT par defaut sur IE10/W8 (Privacy by Default).Fielding, l’auteur de la spec DNT, replique en patchant Apache (avec uncommentaire incendiaire) pour que le DNT d’IE10 soit ignore (patchcommente un mois plus tard). En 2015, MS fait marche arriere dansWindows 10.
Guillaume Piolle SED - Outils 58 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Et Do Not Track ?
Et Do Not Track ?
Support de DNT ?
Certaines societes, comme Twitter ou Pinterest, declarentexplicitement qu’elles respectent DNT en cessant de tracer lesutilisateurs ;
DAA et autres organisations : exigences de respect plus ou moinsfortes, sauf pour un DNT par defaut ;
De nombreuses (grosses) societes ont annonce ne pas respecter DNT (oude maniere tres limitee), mettant en avant l’absence de consensus surl’interpretation de cette information : Microsoft, Google, Facebook,Yahoo !...
Guillaume Piolle SED - Outils 59 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
1 Protection des communications
2 Tracage de navigateur
3 Tracage wifiDecouverte de reseaux en 802.11Profilage par les probe requestsSuivi par adresse MAC
4 Reseaux sociaux, vie privee et distribution
Section preparee sur la base des travaux et supports pedagogiquesde Mathieu Cunche (Privatics – INSA Lyon / Inria)
Guillaume Piolle SED - Outils 60 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Decouverte de reseaux en 802.11
Decouverte de reseaux en 802.11
Mode passif : on attend les beacons des AP ;
Mode actif : on envoie des probe requests avec les SSID connus eton attend des probe responses (moins couteux en energie, privilegiepar les mobiles)
Decouverte passive Decouverte active
Guillaume Piolle SED - Outils 61 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Decouverte de reseaux en 802.11
Decouverte de reseaux en 802.11
Les informations des probe requests sont envoyees en clair, plusieurs foispar minutes lorsque le terminal n’est pas associe a un access point.
0
5000
10000
15000
20000
25000
30000
35000
40000
0 50 100 150 200 250
Nb
occu
ren
ce
Delta frame (seconds)
Guillaume Piolle SED - Outils 62 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Profilage par les probe requests
Profilage par les probe requests
Profil / empreinte associe a une adresse MAC = ensemble des SSIDsdiffuses
Guillaume Piolle SED - Outils 63 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Profilage par les probe requests
Profilage par les probe requests
Demonstrationhttps://github.com/cunchem/gtk-wifiscanner
Guillaume Piolle SED - Outils 64 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Profilage par les probe requests
Profilage par les probe requests
Geolocalisation des SSIDs
Il est possible, dans une certaine mesure, d’associer une localisation plusou moins precise a un SSID.
Exemples de bases de donnees utilisables :
WiGLE (https://wigle.net/, non limite au wifi) ;
Skyhook (http://www.skyhookwireless.com/) ;
Bases collaboratives de wardriving . . .
(les bases et API les plus courantes s’appuient plutot sur le BSSID,inutilisable dans ce cas d’usage)
Limitations
SSIDs utilises par de nombreux AP differents (peut etre mitige parcorrelation) ;
Incompletude des bases de donnees.
Guillaume Piolle SED - Outils 65 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Profilage par les probe requests
Profilage par les probe requests
Analyse geographique d’une population
Collecte passive des listes de SSID a l’occasion d’evenementspolitiques ou religieux ;
Profilage / segmentation de la population en inferant lesvilles/regions d’origine.
Experimentation en Italie sur la base de 11 millions de probe requestscollectees lors d’evenements publics a Rome (correlation entre lesdonnees de deux meetings politiques et les resultats du vote qui a suivi).
A. Di Luzio, A. Mei and J. Stefa, Mind your probes : de-anonymization of largecrowds through smartphone wifi probe requests, INFOCOM 2016.
Guillaume Piolle SED - Outils 66 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Profilage par les probe requests
Profilage par les probe requests
SSIDs et inference du reseau social
Hypothese : dans certains cas, le fait que deux cartes wifi connaissent lememe SSID peut etre le signe d’un lien social entre deux individus.
On generalise a la similarite entre des empreintes a base de SSID(exploitation de plusieurs metriques de similarites prenant en compte lapopularite d’un SSID donne).
Experimentation par collecte publique a Sidney, validation avec des jeuxde donnees de volontaires. Detection de 80 % des liens avec 8 % d’erreur.
M. Cunche, M.-A. Kaafar and R. Boreli, Linking wireless devices usinginformation contained in wifi probe requests, Pervasive and Mobile Computing,2013.
Guillaume Piolle SED - Outils 67 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Profilage par les probe requests
Profilage par les probe requests
Analyse semantique des SSID
Informations recuperables par analyse manuelle :
Affiliation (societe, organisation, universite. . . ) ;
Conferences et evenements publics visites ;
Lieux visites (hotels, restaurants, gares, aeroports. . . ) ;
Individus nommes (« iPhone de Marc Dupont »).
Automatisation de l’analyse semantique
En appliquant des metriques de similarite aux chaınes de caracteres(Seneviratne et al. 2015) ;
Outils de Named Entity Recognition (Chernyshev et al. 2016).
Guillaume Piolle SED - Outils 68 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Profilage par les probe requests
Profilage par les probe requests : contremesures
NULL probe requests
champ SSID laisse vide ;
Les AP doivent repondre a toutes les probe requests.
Maintenant adopte par les principaux fabricants.
Meilleur mecanisme de decouverte ?
Cle partagee entre terminaux et APs, les terminaux diffusent un challengeauquel les AP doivent repondre : aucun SSID n’est jamais diffuse.J. Lindqvist et al., Privacy-preserving 802.11 access-point discovery, WiSec2009.
Guillaume Piolle SED - Outils 69 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Suivi par adresse MAC
Suivi par adresse MAC
Adresse MAC = identifiant unique relativement fiable et persistant,renforcable par correlation avec d’autres informations.
Diffuse automatiquement sur plusieurs dizaines de metres, enpermanence.
Possibilite d’un suivi relativement facile (geographique, temporel,semantique) des terminaux wifi :
Guillaume Piolle SED - Outils 70 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Suivi par adresse MAC
Suivi par adresse MAC
Applications du tracage wifi
Physical analytics dans les centres commerciaux : frequence et dureedes visites, nombre de visiteurs, trajets empruntes dans le magasin,lieux d’interet ou de desinteret. . .
Support pour le profilage et la publicite ciblee
Les poubelles wifi de Londres (aout 2013) : detection d’individus parwifi, affichage de publicite ciblee sur un ecran, en s’appuyant sur unprofil connu (habitudes de consommation, age, sexe. . . ). Interdictionpar la ville de Londres, rappel a la loi par l’ICO ;
Affaire FTC - Nomi (2015) : suivi des mouvements dans un magasin,la FTC impose un mecanisme d’opt-out ;
Refus CNIL - JCDecaux / Fidzup (septembre 2015) : opposition autracage systematique des pietons par wifi a la Defense.
Guillaume Piolle SED - Outils 71 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Suivi par adresse MAC
Suivi par adresse MAC
Une reponse aux critiques : « anonymisation » de l’adresse MAC
Principale methode utilisee : hachage des 48 bits
Pourquoi ca ne sert a rien
Espace de depart reduit : 248 (precalcul exhaustif : 2,6 jours) ;
L’allocation n’est pas aleatoire/uniforme, seul 1 % de l’espace estalloue (109 secondes) ;
Calcul prenant en compte les parts de marche des fabricants (24 bitsd’Organization Unique Identifier) 7 secondes pour precalculer99 % des adresses MAC existantes.
Experimentation : MD5 (oui, bon. . . ), oclHashcat-plus, GPU AMD R9 280X
Des solutions plus efficaces ?
Keyed hash, hachage multiple avec sel/cles multiples, degradation irreversiblede l’information de l’adresse MAC. . .
Guillaume Piolle SED - Outils 72 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Suivi par adresse MAC
Suivi par adresse MAC
Vers des identifiants LL pseudonymes, pseudo-aleatoires
Idee : changement periodique et automatique de l’adresse MAC utilisee.
Quand utiliser une adresse pseudonyme ?
Seulement pendant le probing ?
En permanence ? problematique : casse les mecanismes de controled’acces par @MAC et les exploitations de l’@MAC par les couchessuperieures.
M. Gruteser & D. Grunwald, Enhancing location privacy in wireless LANthrough disposable interface identifiers : a quantitative analysis, MobileNetworks and Applications 10.3, 2005.
Guillaume Piolle SED - Outils 73 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Suivi par adresse MAC
Suivi par adresse MAC
Mise en œuvre des @MAC pseudo-aleatoires
Apple iOS
Nouvelle @MAC pour chaque salve de probing ;
Fonctionne uniquement dans des configurations specifiques (donneesmobiles et geolocalisation desactivees) ;
Non-reinitialisation du numero de sequence → echec.
GNU/Linux
Similaire a iOS, non active par defaut.
Microsoft Windows 10
@MAC pseudo-aleatoire pour le probing ;
Une @MAC differente pour chaque reseau (generee par hachage apartir d’un secret local, du SSID et d’un nonce aleatoire).
Guillaume Piolle SED - Outils 74 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
1 Protection des communications
2 Tracage de navigateur
3 Tracage wifi
4 Reseaux sociaux, vie privee et distributionPlates-formes de reseaux sociauxCentralisation, decentralisation, distribution
Guillaume Piolle SED - Outils 75 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Plates-formes de reseaux sociaux
Plates-formes de reseaux sociaux
SNS = Social Network System
Risques de vie privee lies a un SNS
Risques de securite : usurpation d’identite, hameconnage, predation,chantage, arnaques diverses ;
Risques de profilage : collection de donnees par les applications oupar Facebook, revente de listes de contacts et de donnees sociales ;
Risques lies a l’e-reputation : exploration du reseau par lesrecruteurs, les employeurs, les clients. . .
Guillaume Piolle SED - Outils 76 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Plates-formes de reseaux sociaux
Plates-formes de reseaux sociaux
Cas d’ecole : Kevin Colvin, 2007
Stagiaire dans une banque britannique en 2007, probablement la premierepersonne limogee a cause de Facebook, affaire tres mediatisee.
Une photo de soiree postee sur FB a servi a prouver qu’il avait menti surune absence pour urgence familiale.
Nathalie Blanchard, 2009
En arret maladie pour depression grave, on lui retire ses allocations parcequ’elle poste une photo d’elle souriante dans un bar.
De nombreuses personnes se plaignent que des photos d’elles diffusees surdes reseaux sociaux ont un impact negatif sur leur employabilite.
Guillaume Piolle SED - Outils 77 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Plates-formes de reseaux sociaux
Facebook vs Europe
L’affaire Max Schrems
Etudiant en droit autrichien, il faut valoir aupres de Facebook son droitd’acces aux donnees le concernant (en vertu du droit irlandais).
Il recoit un CD correspondant a une liasse de 1200 pages.
Apres une analyse minutieuse des donnees, il depose 22 plaintes contreFacebook aupres du Data Protection Commissioner irlandais.
Details de l’affaire, en cours :
http://www.europe-v-facebook.org/
A notamment debouche sur un arret de la Cour de Justice de l’Unioneuropeenne invalidant l’accord de Safe Harbor avec les Etats-Unis.
Guillaume Piolle SED - Outils 78 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Plates-formes de reseaux sociaux
Facebook vs Europe
L’affaire Max Schrems : quelques motifs de plaintes
Les « pokes », les messages postes et les messages prives sontconserves meme apres leur suppression par l’utilisateur ;
Facebook collecte des informations sur des non-utilisateurs pourcreer des profils de remplacement ;
Les informations collectees via le friend finder sont utilisees sans leconsentement de l’utilisateur ;
Les utilisateurs ne connaissent pas les parametres de re-publicationdes messages postes sur les pages d’autres personnes ;
La demande d’acces n’a pas recu une reponse suffisammentcomplete ;
. . .
Guillaume Piolle SED - Outils 79 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Plates-formes de reseaux sociaux
Plates-formes de reseaux sociaux : une origine du mal
La centralisation, un risque structurel
Comme dans la majorite des applications en ligne, le fournisseur deservice de reseau social centralise le stockage des donnees, le controlesur ces donnees, la definition des politiques de securite, leur mise enœuvre, la gestion de l’identite. . .
La topologie de l’application est un risque particulier parce qu’elle estassociee a la richesse et au volume des donnees impliquees (intereteconomique de l’operateur a abuser du controle qui lui est concede).
Solution classique pour un meilleur controle par les utilisateurs etl’elimination d’un modele d’adversaire trop puissant : la decentralisation(mais c’est plus facile a dire qu’a faire. . . ).
Guillaume Piolle SED - Outils 80 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Architectures applicatives pour les SNS
Architectures centraliseesExemples nombreux : Facebook, LinkedIn, Twitter, FourSquare. . .Relative facilite de conception, de deploiement, d’administration. . .Une autorite centralisee peut exercer un controle unilateral sur lesinformations des usagers.
Guillaume Piolle SED - Outils 81 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Architectures applicatives pour les SNS
Architectures decentraliseesDiaspora*, SuperNova, PeerSon. . .Les utilisateurs se connectent a un superpeer de leur choix, qui leurfournit une partie des services.Repartition de la charge de calcul, tout en permettant aux utilisateurs derester des « clients », possibilite d’avoir une gestion collegiale. . .Les superpeers restent un point de centralisation du controle et peuventetre sensibles aux collusions.
Guillaume Piolle SED - Outils 82 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Architectures applicatives pour les SNS
Architectures completement distribueesPrivacyWatch, Safebook, FOAF. . .Tous les pairs sont « egaux » et responsables d’une partie des servicesfournis par le systeme.Aucune entite ne dispose de plus de pouvoir ou de controle (pas de pointde faiblesse designe), potentiellement meilleur controle des utilisateurssur leurs donnees.Problemes de disponibilite des donnees et d’application des politiquescomplexes.
Guillaume Piolle SED - Outils 83 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Caracteriser plus finement la decentralisation
Le niveau de centralisation / decentralisation d’une application n’est pasune notion monolithique : certains aspects peuvent etre concus demaniere centralisee, d’autre de maniere decentralisee, d’autre de manieredistribuee.
L’evaluation du niveau de centralisation doit se faire fonctionnalitepar fonctionnalite et propriete par propriete, afin de pouvoir en tirerdes conclusions precises en termes de controle des donnees (et deprotection de la vie privee).
Par exemple, on peut avoir dans une meme application :
un stockage completement pair-a-pair (sur une DHT par exemple) ;
une politique de controle d’acces definie au niveau du serveur locald’une organisation participant a l’application ;
une gestion de l’identite via une autorite centrale certifiant desidentifiant. . .
Guillaume Piolle SED - Outils 84 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Caracteriser plus finement la decentralisation
Exemple de caracterisation d’un service architectural : l’espace destockage
Centralise : une autorite centrale fournit l’espace de stockage pourles donnees de tous les utilisateurs ;
Decentralise : un ensemble donne d’autorites autonomes fournitcollectivement l’espace de stockage pour les donnees de tous lesutilisateurs ;
Distribue : l’ensemble de tous les pairs fournit l’espace de stockagepour les donnees de tous les utilisateurs.
R. P. M. Marin, Enhancing Privacy Protection in Social Network SystemsThrough Decentralization and Policy Conflict Management, PhD thesis,CentraleSupelec, 2015.
Guillaume Piolle SED - Outils 85 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Caracteriser plus finement la decentralisation
Exemple de caracterisation d’un service de securite : le chiffrement
Centralise : une seule autorite centrale doit etre compromise pourpouvoir dechiffrer les donnees de tous les utilisateurs ;
Decentralise : un ensemble donne d’autorites autonomes doit etrecompromis pour pouvoir dechiffrer les donnees de tous lesutilisateurs ;
Distribue : l’ensemble de tous les pairs doit etre compromis pourpouvoir dechiffrer les donnees de tous les utilisateurs.
R. P. M. Marin, Enhancing Privacy Protection in Social Network SystemsThrough Decentralization and Policy Conflict Management, PhD thesis,CentraleSupelec, 2015.
Guillaume Piolle SED - Outils 86 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Caracteriser plus finement la decentralisation
Exemple de caratcerisation d’une propriete de vie privee : la non-chaınabilite
Centralisee : les activites des utilisateurs sont non-chaınable pour tout lemonde sauf pour une autorite centrale. Seule l’autorite centrale doit etrecompromise pour pouvoir chaıner les activites de tous les utilisateurs ;
Decentralisee : les activites des utilisateurs sont non-chaınable pour toutle monde sauf pour une ou plusieurs entites parmi un ensemble donned’autorites autonomes. L’ensemble de ces autorites doit etre compromispour pouvoir chaıner les activites de tous les utilisateurs ;
Distribuee : les activites des utilisateurs sont non-chaınable pour tout lemonde. L’ensemble de tous les pairs doit etre compromis pour pouvoirchaıner les activites de tous les utilisateurs.
R. P. M. Marin, Enhancing Privacy Protection in Social Network SystemsThrough Decentralization and Policy Conflict Management, PhD thesis,CentraleSupelec, 2015.
Guillaume Piolle SED - Outils 87 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Centralisation, decentralisation, distribution
Centralisation/distribution des proprietes des SNS
Guillaume Piolle SED - Outils 88 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Credits iconographiques
– The Freenet Project, http://freenetproject.org/ (GFDL 1.3) ;
– The Tor Project, Inc., http://www.torproject.org/ (CC-BY 3.0) ;
– Electronic Frontier Foundation, Tor and HTTPS,https://www.eff.org/pages/tor-and-https (CC-BY) ;
– Whonix - Anonymous Operating System,https://www.whonix.org/wiki/Main_Page (GPL 3+) ;
– G. Acar, The Web never forgets : Persistent tracking mechanisms in thewild (https://securehomes.esat.kuleuven.be/~gacar/persistent/), KU Leuven ;
– A. Truong, A short guideto supercookies : whether you’re being tracked and how to opt out (https://qz.com/634294/a-short-guide-to-supercookies-whether-youre-being-tracked-and-how-to-opt-out/),Quartz Media, 2016 ;
– E. Bursztein, Tracking users that block cookies with a http redirect(https://www.elie.net/blog/security/tracking-users-that-block-cookies-with-a-http-redirect), EliE.net, 2011 ;
– S. Englehardt, The hidden perils of cookie syncing (https://freedom-to-tinker.com/2014/08/07/the-hidden-perils-of-cookie-syncing/),Freedom to Tinker, 2014 ;
Guillaume Piolle SED - Outils 89 / 90
Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux
Credits iconographiques
– I. Grigorik, Mise en cache HTTP (https://developers.google.com/web/fundamentals/performance/optimizing-content-efficiency/http-caching), GoogleDevelopers, 2017 ;
– G. Acar et al., The Web Never Forgets : Persistent Tracking Mechanisms in theWild, ACM SIGSAC Conference on Computer and Communications Security, 2014, pp.674-689 ;
0
5000
10000
15000
20000
25000
30000
35000
40000
0 50 100 150 200 250
Nb
occu
ren
ce
Delta frame (seconds) – M. Cunche, Privacy challenges in 802.11networks, School on cybersecurity, Lyon, 2016 ;
– R. P. M. Marin, Enhancing Privacy Protection in Social Network Systems ThroughDecentralization and Policy Conflict Management, PhD thesis, CentraleSupelec, 2015.
Autres references utilisees
Ochronus Online, User tracking with HTTP Redirect(https://ochronus.com/user-tracking-http-redirect/), 2013 ;
J. Angwin & J. Larson, Somebody’s Already Using Verizon’s ID to Track Users(https://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users), Propublica, 2014.
Guillaume Piolle SED - Outils 90 / 90