Publication de données personnelles respectueuse de la vie privée : une démarche fondée sur le co-clustering / Privacy preserving microdata publishing

Benkhelif, Tarek

27 November 2018

Il y a une forte demande économique et citoyenne pour l’ouverture des données individuelles. Cependant, la publication de telles données représente un risque pour les individus qui y sont représentés. Cette thèse s’intéresse à la problématique de l’anonymisation de tables de données multidimensionnelles contenant des données individuelles dans un objectif de publication. On se concentrera plus particulièrement sur deux familles d’approches pour l’anonymisation: la première vise à fondre chaque individu dans un groupe d’individus, la deuxième est basée sur l’ajout d’un bruit perturbateur aux données originales. Deux nouvelles approches sont développées dans le cadre de l’anonymisation par groupe, elles consistent à agréger les données à l’aide d’une technique de coclustering puis à utiliser le modèle produit, pour générer des enregistrements synthétiques, dans le cas de la première solution. La deuxième proposition quant à elle, cherche à atteindre le formalisme du k-anonymat. Enfin, nous présentons DPCocGen un nouvel algorithme d’anonymisation respectueux de la confidentialité différentielle. Tout d'abord, un partitionnement sur les domaines est utilisé pour générer un histogramme multidimensionnel bruité, un co-clustering multidimensionnel est ensuite effectué sur l'histogramme bruité résultant en un schéma de partitionnement. Enfin, le schéma obtenu est utilisé pour partitionner les données originales de manière différentiellement privée. Des individus synthétiques peuvent alors être tirés des partitions. / There is a strong economic and civic demand for the opening of individual data. However, the publication of such data poses a risk to the individuals represented in it. This thesis focuses on the problem of anonymizing multidimensional data tables containing individual data for publishing purposes. In particular, two data anonymization approaches families will be focused on: the first aims to merge each individual into a group of individuals, the second is based on the addition of disruptive noise to the original data. Two new approaches are developed in the context of group anonymization. They aggregate the data using a co-clustering technique and then use the produced model, to generate synthetic records, in the case of the first solution. While the second proposal seeks to achieve the formalism of k-anonymity. Finally, we present a new anonymization algorithm “DPCocGen” that ensures differential privacy. First, a data-independent partitioning on the domains is used to generate a perturbed multidimensional histogram, a multidimensional co-clustering is then performed on the noisy histogram resulting in a partitioning scheme. Finally, the resulting schema is used to partition the original data in a differentially private way. Synthetic individuals can then be drawn from the partitions.

K-anonymat

Révélation de l’information des analystes et tenue de marché sur le NASDAQ / Analyst’s information disclosure and market making on the NASDAQ

Karam, Arzé

10 November 2010

Cette thèse examine l’impact du comportement des teneurs de marché informés sur le NASDAQ dans le cas où teneurs et analystes sont affiliés à la même banque d’investissement. L’objectif est de tester les hypothèses des modèles existants quant au rôle des teneurs informés dans la diffusion de l’information et sur l’impact que leur comportement peut avoir sur la qualité de marché en utilisant des modèles économétriques sophistiqués. En outre, la thèse aborde empiriquement la problématique de l’anonymat et examine le rôle de l’identifiant SIZE dans la formation des prix autour de l’annonce publique de l’analyste affilié et en intra-journalier. Cette composante, nommée à présent NSDQ, permet aux teneurs de coter anonymement leurs prix dans le carnet. Les résultats montrent qu’avant l’annonce la fourchette agrégée est moins faible quand analystes et teneurs sont liés ; et, les parts informationnelles des cotations identifiées sont plus importantes relativement à celles cotées sous SIZE. En intra-journalier, les cotations sous SIZE sont abondantes quand les conditions de marché changent. Le sujet présente un intérêt sur le plan institutionnel et pratique. En effet, la SEC est favorable à la réglementation de l’information et à l’augmentation de la transparence des marchés. Cependant, les résultats de la thèse suggèrent qu’un accès privilégié aux teneurs peut rendre l’environnement d’échange moins coûteux et donc améliorer la qualité de ce marché. Par ailleurs, l’anonymat pré-transactionnel permet aux teneurs de mieux gérer le risque d’anti-sélection en présence des investisseurs informés au cours de la journée. / This dissertation focuses on the impact of informed market makers’ behavior on NASDAQ, where some market makers may possess information from their analysts affiliated to the same brokerage firm. The motivation for this research is driven by the fact that the extant literature is yet to provide a satisfactory explanation for the impact of informed market making on market quality. The dissertation uses state-of-the-art econometric modeling to perform comprehensive empirical tests of the existing theory on the subject. It addresses also the issue of pre-trade anonymity by examining the role of SIZE around the analyst report and in intraday analysis. This feature, presently named NSDQ, provides market makers the possibility to hide their identifiers while quoting on the book. The results show that the inside spread prior the announcement is lower in case of affiliation; and, the non anonymous quotes contribute the most in terms of information shares relative to SIZE quotes prior the announcement of the affiliated analyst report. In intraday analysis, SIZE quotes vary with market conditions throughout the day. The findings from this dissertation have implications for market design. The SEC’s stated position is that information regulation and increased transparency are fundamental to market fairness. However, the results suggest that the environment of significant information sharing presents lower trading costs and thus better market quality. Further, the option to quote anonymously gives market makers the ability to protect themselves from informed traders throughout the day.

Analystes affiliés

Anonymat pré-transactionnel

Sur quelques questions de cryptographie : Anonymat révocable et Une généralisation du chiffrement de Goldwasser-Micali

Alessio, Davide

13 December 2011

Le chiffrement est sûrement une primitive fondamentale parmi les fonctions cryptogra- phiques. Cela rend possible à deux parties, d'ordinaire appelées Alice et Bob, de commu- niquer au travers d'un canal non sécurisé en permettant qu'un adversaire, Eve, ne puisse pas comprendre leur communication. Il pourrait sembler assez facile d'identifier les contraintes nécessaires pour le design d'un " bon " schéma de chiffrement. Il s'avère en réalité que la définition d'un modèle de sécurité rigoureux n'est pas trivial. Ceci dépend fortement du contexte. La sécurité même dépend du contexte. Ce document s'ouvre avec un chapitre d'introduction à la cryptographie à clé publique. Nous décrirons ensuite comment la sécurité d'une telle primitive est évaluée en définissant de façon rigoureuse un attaquant, en particulier cela signifie fixer son but et les moyens dont il dispose. La suite de ce document s'organise autour de deux parties. La première partie concerne l'anonymat révocable. Nous obtenons et présentons deux schémas pour garantir l'anonymat pour l'envoyeur d'un message chiffré mais avec la possibilité pour un troisième acteur de confiance, si le cas le nécessite, de révéler l'identité de l'envoyeur. Cette primitive a été appliquée dans les contextes du chiffrement à clé publique et du chiffrement broadcast. Dans la deuxième partie, nous nous dédions à l'étude et à l'amélioration d'un schéma de chiffrement à clé publique dont l'original est dû à Goldwasser et Micali. Notre travail généralise leur schéma en fournissant une famille de schémas de chiffrement. Notre travail est motivé par la recherche de l'amélioration de l'efficacité (en termes de bande passante) du schéma original, afin de pouvoir chiffrer des messages plus longs dans un chiffré de la même taille.

cryptologie

anonymat

anonymat revocable

sécurité

Protocoles cryptographiques pour la bourse

Peika, Caroline

January 2004

Mémoire numérisé par la Direction des bibliothèques de l'Université de Montréal.

Action électronique

Authentification

Anonymat inconditionnel

Corrélation de transactions

Pour une philosophie de la subjectivation. Etude sur Michel Foucault / For a Philosophy of the Subjectivation. A Study of Michel Foucault

Fujita, Kojiro

11 May 2015

Cette thèse cherche à mettre en lumière la philosophie de la subjectivation chez Michel Foucault. Dans notre perspective, le premier Foucault (d’Histoire de la folie à Les mots et les choses) a essayé de surmonter la philosophie du sujet pour avancer une pensée de l’anonymat, mais le dernier Foucault (de L’archéologie du savoir à Histoire de la sexualité) a tenté de reprendre au-delà de cet anonymat le problème du sujet jusqu’à élaborer finalement le concept de subjectivation. Ainsi, notre thèse se demande comment le dernier Foucault a continué à réexaminer le sujet dans trois domaines anonymes, savoir, pouvoir et éthique, et ce pour dégager de ce parcours foucaldien ce qu’on pourrait appeler au fond la philosophie de la subjectivation. Cette philosophie consiste donc en trois éléments : la logique de la subjectivation, la politique de la subjectivation et l’éthique de la subjectivation. Dès lors que la plupart des études existantes se sont attachées à cette dernière, notre thèse se consacre prioritairement aux deux premières : la première partie de la thèse traite la logique de la subjectivation pour montrer notre existence dans le système du savoir, et la deuxième traite la politique de la subjectivation pour montrer notre existence dans celui du pouvoir. Ces recherches ne peuvent plus s’accomplir par les pensées traditionnelles (réalisme de l’objectivité scientifique, phénoménologie de la subjectivité transcendantale, épistémologie des formes idéales, herméneutique du sens fondamental, etc.), jamais étrangères à la philosophie du sujet, mais seulement par la pensée foucaldienne elle-même, bien destinée à celle de la subjectivation. Cette thèse lit ainsi la pensée foucaldienne par celle-ci elle-même pour en dégager la philosophie de la subjectivation. Elle aboutit cependant non seulement à montrer le concept de subjectivation, mais aussi à trouver paradoxalement ce qu’on pourrait appeler la « contre-subjectivation. / This thesis seeks to shed light on the philosophy of the subjectivation in the work of Michel Foucault. From our perspective, the early Foucault (from Madness and Civilization to The Order of Things) strived to overcome the philosophy of the subject in order to advance a thought of anonymity, but the later Foucault (from The Archaeology of Knowledge to The History of Sexuality) attempted to take up the problem of the subject again beyond that anonymity so as to finally elaborate the concept of subjectivation. Hence, our thesis inquires how the later Foucault continued to re-examine the subject in three anonymous domains – knowledge, power and ethics –, in order to extract from Foucault’s works what one can finally call the philosophy of the subjectivation. Thus this philosophy consists of three elements: the logic of the subjectivation, the politics of the subjectivation and the ethics of the subjectivation. Since most existing studies are related to the later element, our thesis is primarily devoted to the former two. The first half of the thesis addresses the logic of the subjectivation to reveal our existence in the system of knowledge, and the second half deals with the politics of the subjectivation to reveal our existence in that of power. Theses researches can no longer be accomplished by traditional thoughts (realism of scientific objectivity, phenomenology of transcendental subjectivity, epistemology of ideal forms, hermeneutics of fundamental meaning, etc.), which are never foreign to the philosophy of the subject, but only by Foucault’s thought itself, which is well destined to the philosophy of the subjectivation. Thus, our thesis reads Foucault’s thought by this same thought itself in order to extract the philosophy of the subjectivation from there. However, ultimately, it not only explores the concept of subjectivation, but also paradoxically sheds light on what one can call the “counter-subjectivation”.

Michel Foucault

Subjectivation

Sujet

Anonymat

Savoir

Pouvoir

Michel Foucault

Subjectification

Subject

Anonymity

Knowledge

Power

194

Conception et optimisation de mécanismes cryptographique anonymes / Design and Improvements of anonymous cryptographic primitives

Sanders, Olivier

24 September 2015

Les nouvelles technologies ont profondément modifié nos usages mais ne sont pas que synonymes d’avantages pour leurs utilisateurs. Elles ont en effet de lourdes conséquences sur notre vie privée, ce qui est bien souvent sous-estimé. Les utilisateurs de moyens de paiement électronique ne réalisent par exemple pas toujours que leurs transactions peuvent révéler des informations particulièrement intimes à leur sujet, telles que leur localisation, leur état de santé ou mêmes leurs croyances.Nous nous intéressons dans ce mémoire aux techniques cryptographiques permettant de concilier les exigences de sécurité traditionnelles et le respect de la vie privée. Dans une première partie nous étudions deux cas particuliers, celui du paiement anonyme et celui de l’authentification anonyme. Nous proposons de nouvelles constructions qui offrent une meilleure efficacité que les solutions existantes, ouvrant ainsi la voie à de réelles applications pratiques. Chacun de ces systèmes fait l’objet d’une étude de sécurité montrant qu’ils offrent de solides garanties sous des hypothèses raisonnables.Cependant, afin de satisfaire des contraintes techniques souvent très fortes dans ces contextes, il peut être nécessaire d’optimiser ces constructions qui nécessitent souvent un nombre significatif de calculs. Dans une deuxième partie nous proposons donc des moyens pour améliorer l’efficacité des opérations et algorithmes les plus fréquemment utilisés. Chacune de ces contributions peut présenter un intérêt au-delà du contexte de l’anonymat. / New technologies offer greater convenience for end-users but usually at the cost of a loss in terms of privacy, which is often underestimated by the latter. For example, knowledge by a third party of the information related to a transaction is far from insignificant since it may reveal intimate details such as whereabouts, religious beliefs or health status.In this thesis, we are interested in cryptographic technics allowing to reconcile both security requirements and user’s privacy. In a first part, we will focus on two specific cases: anonymous payment and anonymous authentication. We propose new constructions, improving the efficiency of state-of-the-art solutions, which make all the features of these primitives more accessible for practical applications. We provide a detailed security analysis for each scheme, proving that they achieve the expected properties under reasonable assumptions.However, to fulfill the strong technical constraints of these use cases, it may be necessary to optimize these constructions which are usually rather complex. To this end, we propose in a second part, new solutions to improve the efficiency of most common operations and algorithms. Each of these contributions is not restricted to anonymous systems and thus may be of independent interest.

Cryptographie

Anonymat

Clé publique

Monnaie électronique

Cryptography

Anonymity

Public key

Electronic cash

005.8

Non-observabilité des communications à faible latence

Bernard, Nicolas

23 September 2008

Cette thèse s'articule autour de deux parties, toutes deux liées à la protection de la vie privée dans les réseaux informatiques en général et sur l'Internet en particulier.<br /><br />Dans la première partie, nous proposons un système permettant d'établir des communications interactives non-observables, c'est-à-dire telles qu'un observateur ne puisse pas déterminer vers quelle(s) destination(s) sont établies ces communications, ni même, en fait, être certain qu'il y a bien de vraies communications!<br />Ce système innove par le niveau de protection qu'il vise, puisque même un observateur très puissant ne devrait pas être à même de la contourner.<br />Cette protection se base sur l'Onion-Routing et le complète avec des méthodes sophistiquées destinées à déjouer l'analyse de trafic.<br /><br />Dans la seconde partie, nous nous intéressons plus particulièrement au protocole DNS.<br />Bien qu'il soit possible de le protéger avec notre proposition de la partie précédente, cela dégrade ses performances (en termes de latence), ce qui à son tour a un impact sur celles des protocoles qui utilisent DNS.<br />Dans cette partie, nous proposons une solution spécifique à DNS, qui fournit à la fois un bon niveau de protection et de meilleures performances.<br /><br />Ces deux systèmes peuvent bien sûr se combiner, mais aussi être utilisés comme des briques séparées, avec d'autre mécanismes de protection de la vie privée.

sécurité réseau

vie privée

non-observabilité

anonymat

DNS

Onion-Routing

analyse de trafic

Formal Verification of Voting and Auction Protocols : From Privacy to Fairness and Verifiability / Vérification formelle des protocoles de vote et de vente aux enchères : De l'anonymat à l'équité et la vérifiabilité

Dreier, Jannik

25 November 2013

Dans cette thèse nous étudions formellement la sécurité des protocoles de vote et d'enchère en ligne. Le vote en ligne est utilisé en Estonie et dans certaines régions de la Suisse. D'autre part, les enchères en ligne sont de plus en plus populaires: eBay comptait plus de 112 millions utilisateurs actifs et plus de 350 millions d'objets à vendre en 2012, avec un chiffre d'affaires de 14 milliards de dollars. Dans ces deux applications, la sécurité est primordiale, à cause d'enjeux financiers et politiques. Dans le cas des protocoles de vote, le secret du vote est crucial pour le libre choix des votants. Nous proposons une hiérarchie des notions de secret du vote par rapport à plusieurs niveaux de coercition, des attaques spécifiques (comme l'abstention forcé), et des votants corrompus. Nous développons également des notions généralisées pour le cas des votes pondérés (par exemple par rapport au nombre d'actions dans une société), et montrons que pour beaucoup de protocoles le cas avec plusieurs votants sous attaque se réduit au cas avec un seul votant sous attaque. Ce résultat a été obtenu grâce à un autre résultat dans le pi-calcul appliqué montrant que tout processus fini peut se décomposer de manière unique en processus premiers. Nous illustrons notre hiérarchie sur plusieurs exemples, soulignant comment elle permet d'évaluer le niveau d'anonymat d'un protocole donné. Dans le cas des protocoles d'enchère en ligne, nous proposons aussi une hiérarchie de notions d'anonymat, et plusieurs notions d'équité et d'authentification comme la non-interférence, la non-annulation et la non-répudiation. Nous analysons ces propriétés automatiquement à l'aide de l'outil ProVerif sur trois exemples, et découvrons plusieurs faiblesses. De plus, nous proposons une définition abstraite de la vérifiabilité, et l'appliquons sur des exemples aussi bien dans le modèle calculatoire que dans le modèle symbolique en utilisant CryptoVerif et ProVerif respectivement. Nous démontrons dans le modèle calculatoire qu'un des protocoles est vérifiable, et découvrons plusieurs faiblesses sur le deuxième exemple. Finalement nous étudions le concept d'«enchères vraiment vérifiable par les enchérisseurs», c'est-à-dire des protocoles d'enchère ou le bon déroulement peut être vérifié par un non-expert, car la sécurité est assurée par des moyens physiques, et non cryptographiques. Nous proposons deux tels protocoles, et une analyse formelle de ces protocoles avec ProVerif grâce à une modélisation symbolique des propriétés physiques. / In this document, we formally analyze security in electronic voting and electronic auctions. On-line voting over is now available in several countries, for example in Estonia or parts of Switzerland. Similarly, electronic auctions are increasingly used: eBay had over 112 million active users and over 350 million listings in 2012, and achieved a revenue of more than 14 billion US Dollars. In both applications, security is a main concern, as fairness is important and money is at stake. In the case of voting protocols, privacy is crucial to ensure free elections. We propose a hierarchy of privacy notions in the Applied Pi-Calculus, including different levels of coercion, special attacks such as forced-abstention attacks, and inside attackers. We also provide generalized notions for situations where votes are weighted (e.g. according to the number of shares in a company), and show that for many protocols the case with multiple coerced voters can be reduced to the case with one coerced voter. This result is made possible by a unique decomposition result in the Applied Pi-Calculus showing that any finite process has a unique normal form with respect to labeled bisimilarity. Moreover we provide multiple case studies illustrating how our taxonomy allows to assess the level of privacy ensured by a voting protocol. In the case of auction protocols we also consider a hierarchy of privacy notions, and several fairness and authentication properties such as Non-Interference, Non-Cancellation and Non-Repudiation. We analyze all these properties automatically using ProVerif on three case studies, and identify several flaws. Moreover we give an abstract definition of verifiability in auctions and provide case studies in the symbolic and computational model using ProVerif and CryptoVerif respectively. Again, we identify several shortcomings, but also give a computational proof for one protocol. Finally we explore the idea of ``true bidder-verifiable auctions'', i.e. auctions that can be verified by a non-expert, as the property is ensured through physical properties instead of complex cryptography. We propose two such protocols, discuss how to model the underlying physical properties, and provide a formal analysis of both protocols using ProVerif.

Sécurité

Vérification

Protocol

Anonymat

Vote

Vente aux enchères

Security

Verification

Protocol

Privacy

Voting

Auctions

004

"Don et anonymat : la question des identités"

Benjelloun, Mohamed Amine

27 June 2013

A travers notre pratique de pédopsychiatre confronté au vécu de familles interpellées par la question du don de gamètes ou d'organes, il nous a semblé que nombre d'apories traversant les phénomènes de la donation et de l'anonymat n'étaient pas pris en compte par la médecine.Si le don et l'anonymat traversent toute la médecine au point que celle-ci les a hissé au rang de principes, ils ne font pas l'objet d'un enseignement ou d'une réflexion approfondie. La philosophie et la littérature apportent aussi certaines réponses possibles . Le don est un présent sans la présence, portant en lui une part d'abandon, sans raison, à quelqu'un qui ne demande rien, puisque justement il ne saurait pas qu'on lui a donné. L'anonymat permet de s'effacer, pour pouvoir rencontrer l'Autre, au plus prés. Ceci commence dès l'origine, pour permettre au sujet d'approcher dans l'errance et le doute une rencontre avec l'inconnu et le dehors, loin d'une altérité qui ne serait que radicale. Enfin, la question du don d'organes, du don de gamètes, de l'anonymat obligent à repenser simultanément la question de la relation et celle de l'identité. Le donneur et le receveur se rencontrent, l'un est obligatoirement plongé dans le temps de l'autre : comment construire une sphère propre et une sphère de l'autre, une intersubjectivité qui rendrait possible la communication entre matériaux d'origine différente ? Comment reconnaître ego et alter, comme des ipséités ? Les concepts d'identité narrative, d'histoires empêtrées, permettent de dépasser la question de l'anonymat. L'anonymat protégerait alors l'identité. Et mieux, permet alors à la reconnaissance, toute éthique, d'advenir. / Through our practice of child psychiatry and confronted with the lived of families concerned with the question of gametes or organs donation, it seems that numerous aporia related to donation and anonymity experiences have not been considered by medicine. If donation and anonymity have been central to medicine to the point that they have become principles, they have never been subjects of education or profound reflection. Philosophy and literature also bring some possible answers. Donation is a present without the presence, carrying with itself some abandonment, without reason, to someone who doesn't ask for anything, precisely because he would not know that he was given something. Anonymity gives an opportunity to fade away, just to be able to meet the other, closer. This obliteration starts from the very beginning. It aims at any founding trace, in order, paradoxically to allow the subject to approach in wandering and doubt a possible encounter with the unknown and the outside, far from an otherness that be only would be radical.Finally, the issue of organ donation, of gamete donation, of anonymity, forces us to rethink simultaneously the question of relationship and identity. The donor and recipient, meet and are necessarily immersed in the other's time: how to build a sphere for oneself and a sphere for the other, an intersubjectivity which would enable the communication between materials of different origin? How to recognize ego and alter, as ipseities? Concepts of narrative identity, entangled stories allow to pass over the question of anonymity. Anonymity would then protect identity. And better still, would allow for an ethical recognition to happen.

Ethique

Don

Anonymat

Identité

Philosophie de la médecine

Littérature

Ethics

Donation

Anonymous

Philosophy of medicine,

Literature

Anonymat et vie privée sur internet

Pillot, Guillaume

21 November 2018

L'explosion de la bulle internet au début des années 2000 a eu d'énormes impacts sociaux et économiques. Aujourd'hui, le nombre d'internautes approche les quatre milliards et internet s'est ancré dans notre vie quotidienne. De plus en plus d'informations circulent dans ce réseau et depuis les révélations d'Edward Snowden, le public a pris conscience du besoin de protéger sa vie privée. Ce mémoire présente dans un premier temps les concepts généraux de l'anonymat et de la protection de la vie privée sur internet. Ensuite, les réseaux anonymes les plus populaires y sont étudiés : JAP, Mixmaster, TOR et I2P. Nous verrons que la meilleure protection de ces réseaux est leur taille. [1] a élaboré un système de paiement pour rémunérer les relais de TOR dans le but d'encourager les internautes à participer sur le réseau anonyme. Nous verrons comment adapter ce système au réseau anonyme I2P. / Since the beginning of this century, the explosion of the internet has had an important social and economic impact. Today, the number of internet users has approached four billion and it has become a part of our daily lives. More and more information circulates on the internet and since Edward Snowden's global surveillance disclosure in 2013, the public is now aware about the necessity to protect their private lives. In a rst time, this thesis introduces anonymity and privacy general concepts'. Then, the following popular anonymous networks are studied: JAP, Mixmaster, TOR and I2P. We will see that the best protection for these network is their size. [1] has elaborates a payment system for remunerates the TOR relays in order to encourage Internet users to participate in the anonymous network. We will see how adapt this system on the I2P anonymous network.

QA 76.05 UL 2018

Internet -- Sécurité -- Mesures

Droit à la vie privée

Anonymat

Réseaux anonymes (Informatique)