Une série de technologies visant à renforcer la protection de la vie privée
Dans l’UE, le droit à la vie privée est un droit fondamental, inscrit dans la Charte des droits fondamentaux de l’Union européenne(s’ouvre dans une nouvelle fenêtre). Mais dans un monde où les services internet tels que le courrier électronique et la messagerie sont omniprésents dans nos vies, ce droit est souvent négligé. «Ces services exigent souvent que les données soient traitées en clair et sur des serveurs gérés par un seul fournisseur de services», explique Thomas Schneider, professeur d’informatique et directeur du Cryptography and Privacy Engineering Group(s’ouvre dans une nouvelle fenêtre) (ENCRYPTO) à l’université technique de Darmstadt(s’ouvre dans une nouvelle fenêtre). Le problème est que le traitement non crypté de ces données peut porter atteinte à la vie privée du propriétaire des données, à savoir l’utilisateur du service. En outre, le fait d’avoir un seul fournisseur de services introduit un point de défaillance unique dans le système, où une attaque réussie contre le fournisseur peut compromettre les données privées de nombreux utilisateurs. «Bien que des mesures aient été prises pour limiter légalement le pouvoir d’un fournisseur de services sur les données des utilisateurs, comme le règlement général sur la protection des données de l’UE(s’ouvre dans une nouvelle fenêtre) (RGPD), il s’est avéré très difficile de trouver un équilibre entre le besoin de services préservant la vie privée et le besoin d’un ensemble riche de fonctionnalités», ajoute Thomas Schneider. Le projet PSOTI(s’ouvre dans une nouvelle fenêtre), financé par l’UE, contribue à trouver cet équilibre.
De nouvelles façons de protéger les données des utilisateurs
Au cœur du projet se trouvent plusieurs technologies et protocoles innovants visant à renforcer la protection de la vie privée. «Nos solutions développées aident à protéger les données des utilisateurs tout en permettant à plusieurs fournisseurs de services indépendants de les traiter conjointement et en toute sécurité», explique Thomas Schneider. L’une de ces solutions est un cadre pour le calcul bipartite sécurisé à protocole mixte. Le protocole favorise considérablement la communication des blocs de construction communs tels que les multiplications et les produits scalaires, avec de vastes applications dans l’apprentissage automatique préservant la vie privée. Deux autres cadres mis au point par le groupe ENCRYPTO ont été cités comme exemples de meilleures pratiques pour les projets à source ouverte dans le guide des Nations unies sur les technologies d’amélioration de la protection de la vie privée pour les statistiques officielles(s’ouvre dans une nouvelle fenêtre). Le projet PSOTI, soutenu par le Conseil européen de la recherche(s’ouvre dans une nouvelle fenêtre), a également conçu un outil en ligne appelé Encrypted Multi-Channel Communication(s’ouvre dans une nouvelle fenêtre), ou EMC2. Les personnes peuvent se servir de l’outil pour communiquer via deux canaux de communication indépendants, tels que le courrier électronique et WhatsApp. «Grâce à cet outil, le message est protégé, même si l’un des canaux est piraté ou compromis», note Thomas Schneider.
Identifier les attaques concrètes contre la vie privée dans les services Internet
Au cours du projet, les chercheurs ont aussi identifié des atteintes concrètes à la vie privée dans les services internet existants. Il s’agit notamment de l’exposition des informations de contact des utilisateurs dans les applications de messagerie populaires telles que WhatsApp, Signal et Telegram(s’ouvre dans une nouvelle fenêtre). Ils ont également relevé une vulnérabilité de la confidentialité dans le protocole AirDrop d’Apple pour le partage de fichiers(s’ouvre dans une nouvelle fenêtre). «Sur la base de ces résultats, nous avons proposé des solutions alternatives de préservation de la vie privée qui s’appuient sur certaines des solutions de PSOTI», fait remarquer Thomas Schneider. Les recherches menées dans le cadre du projet sur la découverte de contacts privés ont remporté le deuxième prix du Prix allemand de la sécurité informatique de 2020.
Un nouveau projet vise à automatiser les solutions respectueuses de la vie privée
PSOTI a montré que certains services internet peuvent être étendus pour protéger la vie privée sans sacrifier leur capacité à traiter les données des utilisateurs. Ouvrir la voie à de nouvelles opportunités de recherche. «La prochaine grande étape consistera à développer des outils capables de générer automatiquement des solutions respectueuses de la vie privée à partir de spécifications de haut niveau», conclut Thomas Schneider. Thomas Schneider et son équipe franchiront cette étape dans le cadre du projet PRIVTOOLS, financé par l’UE au moyen d’une subvention de consolidation du CER(s’ouvre dans une nouvelle fenêtre).