L'usurpation d'identité numérique sur Internet : Etude comparée des solutions françaises, mexicaines et nord-américaines / Digital Identity Theft on the Internet : comparative research between the of Mexico , France and the US law / Usurpación de identidad digital : un estudio comparativo de soluciones francesas, mexicanas y norteamericanas

Solis Arredondo, Cynthia

22 January 2018

L'identité numérique des personnes est devenue une des plus importantes valeurs immatérielles dans la vie quotidienne, la réputation personnelle, académique, le profil et le déroulement de la carrière professionnelle, mais encore plus que ça, la liberté d'être sur la toile sans avoir peur de l'usurpation de notre identité est l'inspiration de ce travail de thèse. Dans le monde numérique les frontières n'existent plus, les interactions avec les personnes de tout le monde sont de plus en plus courantes, le commerce électronique, les réseaux sociaux, les démarches administratives en ligne, l’échange d’information entre pays et gouvernements, et aussi les rapports romantiques dans les applications mobiles, c’est aussi la raison d’être une étude de droit comparé entre le droit mexicain, français et américain. Dans la première partie nous développons les éléments de l’identité numérique, les données personnelles comprises dans l’ensemble de ce concept qui est à la fois mal compris et en conséquence mal protégé mais aussi très importante dans le développement de l’économie numérique. La deuxième partie, comprend les interprétations de l’identité numérique dans le domaine du droit pénal du droit administratif et du droit civil et commercial. Il y a notamment des différences entre l’interprétation qui fait le droit pénal de l’identité en tant que bien juridique protégé ; en comparaison avec les interprétations du droit administratif qui protège l’identité numérique en tant que donnée personnelle, la mise en œuvre de la reconnaissance internationale du droit à la protection des données à caractère personnel et devient la régulation qui définit les règles de leur traitement, ainsi qui impose les sanctions au traitement illicite et de l’autre côté le droit civil qui d’une part reconnait le droit de la personnalité et le droit à l’image. La troisième partie est dédiée à l’étude de l’identité numérique comme source d’évolution du droit, ainsi qu’aux atteintes à l’ensemble des éléments qui font partie de cette identité. Le droit est toujours derrière l’innovation et malgré tout, à côté de l’évolution de l’humanité, des inventions, de la technologie et du développement, il existe l’évolution des actes illicites et de moyens de commission des délits dans l’endroit numérique. Même si le phénomène de l’usurpation d’identité n’est pas nouveau, il a surmonté dans le monde dans les cinq dernières années grâce aux nouvelles technologies qui permettent de créer, modifier, altérer, falsifier, reproduire et diffuser les données personnelles, photos et identifiants de façon très rapide et au niveau mondial, ce qui permet de vendre dans le marché noir plein de données personnelles pour après faire différents types d’utilisation illicite, notamment l’usurpation d’identité. Ainsi comme la nouvelle technologie sert à la sophistication des activités illicites, il existe un travail des entreprises de sécurité informatique pour lutter de façon technique contre les atteintes aux systèmes d’information, aux réseaux et à l’information, en particulier les atteintes aux données personnelles, donc, à la fin de cette partie on fait une étude des outils numériques crées à cet effet. / The digital identity has become one of the most important immaterial values in everyday life, the personal and academic reputation, the professional profile, but even more than that, the freedom to be on the web without to be afraid of the usurpation of our identity is the inspiration of this thesis work. In the digital world, borders no longer exist, interactions with people around the world are becoming more common, e-commerce, social networks, online procedures, information exchange between countries and governments, and also personal relationships in mobile applications, this is also the reason for being a comparative law study between Mexican, French and American law. In the first part, we develop the elements of digital identity, the personal data included in the whole of this concept which is both misunderstood and therefore poorly protected but also very important in the development of the digital economy. The second part, understands the interpretations of digital identity in the field of criminal law administrative law and civil and commercial law. In particular, there are differences between the interpretation of the criminal law of identity as protected legal property; in comparison with interpretations of the administrative law that protects the digital identity as personal data, the implementation of international recognition of the right to the protection of personal data and becomes the regulation that defines the rules of their treatment, thus imposing sanctions on the unlawful treatment and on the other side the civil right which a party recognizes the right of the personality and the right to the personal image. The third part is dedicated to the study of digital identity as a source of evolution of the law, as well as to the attacks on all the elements that are part of this identity. Law is always behind innovation and yet, alongside the evolution of humanity, inventions, technology and development, there is the evolution of illicit acts and means of committing crimes in the world digital environment. Even though the phenomenon of identity theft is not new, it has overcome in the world in the last five years thanks to new technologies that allow to create, modify, alter, falsify, reproduce and disseminate personal data, photos and identifiers in a very fast and global way, which allows to sell in the deep web full of personal data for later to make different types of illegal use, including identity theft. As the new technology is used for the sophistication of illicit activities, there is a work of computer security companies to fight technically against attacks on information systems, networks and information, especially data breaches of personal data, so at the end of this part we do a study of digital tools created for this purpose.

Données Personnelles

Cybercriminalité

Usurpation d'Identité

Personal Data

Cybercrime

Identity Theft

Proposition de nouveaux mécanismes de protection contre l'usurpation d'identité pour les fournisseurs de services Internet / Proposal for new protections against identity theft for ISPs

Biri, Aroua

25 February 2011

De plus en plus d’organisations sont informatisées et plus une organisation est grande, plus elle peut être la cible d’attaques via Internet. On note également que les internautes utilisent de plus en plus Internet pour faire des achats sur des sites de commerce électronique, pour se connecter à l’administration en ligne, pour voter de manière électronique, etc. Par ailleurs, certains d’entre eux ont de plus en plus d'équipements électroniques qui peuvent être raccordés à Internet et ce dans divers sites (domicile, voiture, lieu de travail, etc.). Ces équipements forment ce qu’on appelle un réseau personnel qui permet la mise en place de nouvelles applications centrées sur l’internaute. Les fournisseurs de services Internet peuvent ainsi étoffer leurs offres de services en présentant une offre de sécurisation de ce genre de réseau. Selon le rapport du cabinet « Arbor Networks » intitulé « Worldwide Infrastructure Security Report », les menaces identifiées comme les plus sévères sont relatives aux attaques de déni de service distribué. Ce type d’attaque a pour but de rendre indisponible un service en empêchant les utilisateurs légitimes de l'utiliser. Il utilise la technique de l’usurpation d’identité qui consiste en la création de paquets (de type IP, ARP, etc.) avec une adresse source forgée et ce dans le but d’usurper un système informatique ou d’usurper l’identité de l’émetteur. La technique de l’usurpation d’identité permet ainsi de rendre un service indisponible, d’écouter, de corrompre, de bloquer le trafic des internautes ou de nuire au bon fonctionnement des protocoles de routage et des réseaux personnels des clients. De plus, la technique de l’usurpation d’identité est également utilisée pour des activités interdites par la loi « Hadopi » en rigueur en France comme le téléchargement illégal. De ce fait, les fournisseurs de services Internet se doivent de prémunir leurs clients des attaques basées sur la technique de l’usurpation d’identité. Ces dits fournisseurs comptent sur les protocoles de routage qu’ils déroulent pour participer au bon acheminement des données de leurs clients. Cependant, le protocole intra-domaine OSPF et le protocole inter-domaine BGP sont vulnérables aux attaques utilisant la technique de l’usurpation d’identité qui peuvent conduire à l’acheminement des paquets vers des destinataires non légitimes ou au déni de service. Nous proposons donc deux mécanismes dédiés respectivement au protocole intra-domaine OSPF et au protocole inter-domaine BGP. D’une part, afin de protéger les routeurs OSPF contre les attaques utilisant la technique d’usurpation d’identité, nous avons préconisé le stockage de l’identité et du matériel cryptographique dans un coffre-fort électronique que sont les cartes à puce. Les cartes déroulent ensuite un algorithme de dérivation de clés avec les cartes des routeurs voisins ainsi qu’avec celle du routeur désigné. Les clés dérivées entre les cartes à puce servent à signer les messages OSPF et à authentifier le niveau MAC. Nous avons décrit par la suite la plateforme du démonstrateur et les scénarios de tests adoptés pour évaluer les performances de notre prototype et les comparer avec ceux du logiciel Quagga sur la base de trois critères : le temps requis pour traiter une annonce d'état de liens, le temps de convergence ainsi que le temps de re-calcul d’une table de routage après un changement. Ces temps augmentent peu avec l’introduction de la carte à puce implémentant les fonctions de sécurité proposées. Ainsi, cette solution permet de renforcer la sécurité du protocole OSPF avec un impact raisonnable sur les performances. D’autre part, afin de protéger les routeurs BGP contre les attaques utilisant la technique d’usurpation d’identité, nous avons préconisé la « clustérisation » des domaines Internet et la sécurisation des liens entre les clusters ainsi qu’au sein de chacun d’eux grâce aux paradigmes de « web of trust » et de la cryptographie sans certificats […] / More and more organizations are computerized and more an organization is great, plus it can be the target of Internet attacks. Moreover, some of them have a growing number of electronic equipments that can be connected to the Internet from various locations (home, car, workplace, etc.). These devices form a so-called personal area network that allows the development of new applications centered on users. The ISPs can then expand their service offerings by providing a secure supply of such networks. According to the report of the firm “Arbor Networks”, entitled "Worldwide Infrastructure Security Report ", the most severe threats are related to distributed denial of service. This type of attack aims to make available a service by preventing legitimate users from using it. It uses the technique of identity theft that involves the creation of packages (like IP, ARP, etc.) with a forged source address and that in order to usurp the Identity of the issuer or of the computer system. Thus, the technique of identity theft allows to render a service unavailable, to listen, to corrupt, to block traffic from Internet users or to undermine the legitimate operation of routing protocols and personal networks. Moreover, the technique of identity theft is also used for prohibited activities by "HADOPI" law in France and related to illegal downloading issues. Thus, the ISPs have a duty to protect their customers from attacks based on the technique of identity theft. The mechanisms of protection against spoofing attacks for access networks are crucial for customer adoption of new applications offered by Internet service providers. This part of the doctoral thesis is part of the European project “MAGNET Beyond" whose vision is to put into practice the concept of personal networks, with the ultimate objective to design, develop, prototype and validate the concept. In the context of user equipment’s access to the network of an Internet services provider from a public place, we proposed a cross-layer protocol based on the principles of information theory. This protocol fixes the security hole not addressed by other proposals that is the attack of identity theft that occurs at the beginning of communication and thus protects users against the middle man attacks. We proposed that the person who wants to have secure access to the Internet must be on a specific circle has been called "RED POINT" so that the attacker is not able to be on the same circle at the same time. The proposed cross-layer protocol can be divided into three phases: the phase of checking the position of the user, the extraction phase of the shared secret of the physical layer and the phase of the derivation of the shared key at the MAC layer. We subsequently validated our solution through a formal tool AVISPA and presented the results of its implementation. In a private context, communication between devices convey users' personal data which may be confidential, so we must prevent equipment not belonging to the legitimate user to access its network. Thus, we proposed two mechanisms of protection against attacks based on spoofing so that illegitimate equipment is unable to impersonate legitimate equipment. The first phase will be dedicated to personal networks and the second will be dedicated to the particular case of medical networks. Regarding the mechanism dedicated to personal networks, we have proposed the use of a protocol based on out-of-band channel in order to provide certificates to user equipments. We derive bilateral key for personal network’s equipments of the same site and between equipments at remote sites. Concerning the particular case of medical networks, we proposed to cover their deployment phases and their operational phases. This proposal was submitted to the IEEE 802.15.6 working group that conducts research for the standardization of medical networks […]

Usurpation d'identité

Fournisseurs de services Internet

Protocoles de routage

DNSSEC

Mécanismes d'appairage

Cryptographie

Hotspots

Canaux hors bande

Identity theft

ISP

Routing protocols

DNSSEC

Peering mechanisms

Cryptography

Hotspots

Out-of-band channels