Global ETD Search

101	L'encadrement juridique de la gestion électronique des données médicales. / Legal framework for the electronic management of medical data Etien-Gnoan, N'Da Brigitte 18 December 2014 (has links) La gestion électronique des données médicales consiste autant dans le simple traitement automatisé des données personnelles que dans le partage et l'échange de données relatives à la santé. Son encadrement juridique est assuré, à la fois, par les règles communes au traitement automatisé de toutes les données personnelles et par celles spécifiques au traitement des données médicales. Cette gestion, même si elle constitue une source d'économie, engendre des problèmes de protection de la vie privée auxquels le gouvernement français tente de faire face en créant l'un des meilleurs cadres juridiques au monde, en la matière. Mais, de grands chantiers comme celui du dossier médical personnel attendent toujours d'être réalisés et le droit de la santé se voit devancer et entraîner par les progrès technologiques. Le développement de la télésanté bouleverse les relations au sein du colloque singulier entre le soignant et le soigné. L'extension des droits des patients, le partage de responsabilité, l'augmentation du nombre d'intervenants, le secret médical partagé constituent de nouveaux enjeux avec lesquels il faut, désormais compter. Une autre question cruciale est celle posée par le manque d'harmonisation des législations augmentant les risques en cas de partage transfrontalier de données médicales / The electronic management of medical data is as much in the simple automated processing of personal data in the sharing and exchange of health data . Its legal framework is provided both by the common rules to the automated processing of all personal data and those specific to the processing of medical data . This management , even if it is a source of economy, creates protection issues of privacy which the French government tries to cope by creating one of the best legal framework in the world in this field. However , major projects such as the personal health record still waiting to be made and the right to health is seen ahead and lead by technological advances . The development of e-health disrupts relationships within one dialogue between the caregiver and the patient . The extension of the rights of patients , sharing responsibility , increasing the number of players , the shared medical confidentiality pose new challenges with which we must now count. Another crucial question is posed by the lack of harmonization of legislation increasing the risks in cross-border sharing of medical Données personnelles Données médicales Vie privée Traitement automatisé Dossier médical personnel E-Santé Télésanté Télémédecine Hébergeur Déclaration Agrément Consentement Secret médical Confidentialité Interopérabilité Référentiels Masquage Responsabilité médicale Personal data Medical data Privacy Automated processing Personal health records E-Health Telehelth Telemedicine Hosting Reporting Approval Consent Confidentiality Interoperability Standards Masking Medical liability
102	Les clauses contractuelles et non-concurrence : approche de droit des affaires / Contractual clauses of non-compete : from a Business Law perspective Dufour, Maxime 08 December 2016 (has links) Dans notre monde actuel, les entreprises utilisent, pour se prémunir de toute atteinte et protéger au maximum leurs intérêts économiques, des techniques contractuelles élaborées par la pratique telles que les clauses de non-concurrence, les clauses de confidentialité, les clauses de non-réaffiliation et les clauses de non sollicitation.Ces clauses occupent de multiples champs de l’activité contractuelle en mêlant le droit des contrats, le droit des affaires et le droit du travail. Elles visent à interdire au cocontractant, d’exercer une activité professionnelle, de divulguer des informations secrètes, ou encore d’embaucher certains collaborateurs. Ainsi, elles viennent limiter une liberté fondamentale, plus spécialement la liberté du commerce et de l’industrie. Dès lors, il semble nécessaire d’élaborer un régime juridique commun à toutes ces clauses afin de préserver d’un coté la protection de l’activité économique des entreprises et de l’autre la sauvegarde de la liberté économique des contractants soumis à de telles clauses. L’intérêt d’un régime commun est d’anticiper les conditions de validité et de mise en œuvre des ce type de clauses. De cette façon, la prévisibilité ne ferait plus défaut aux contractants. L’élaboration de ce droit commun passe par deux étapes. La première est relative à l’identification des clauses limitatives de concurrence. Il s’agit de saisir leur autonomie par rapport aux contrats dans lesquels elles peuvent être insérées et d’en tirer les conséquences au niveau leur validité. La seconde est relative à la mise en œuvre de ces clauses. Leur application est délicate car dépendante pour une grande partie de la précision de leur contenu. En cas de non-respect, un vaste choix de remèdes est offert au contractant déçu pour venir sanctionner le manquement contractuel constaté. / In the modern world, to guard themselves from damage and to protect at best their economical interests, companies use contractual techniques developed by usage such as non-compete clauses,confidentiality clauses, non-reaffiliation clauses and non-solicitation clauses. These clauses cover many fields of contractual legality, mixing contract law, labor law and business law. Their aim is to prohibit the co-contractor to practice a professional activity, to disclose secret information, or even to employ specific colleagues, or contributors. Thus, they are brought to restrict a fundamental freedom, specifically the freedom of trade and of industry. As a result, it appears necessary to formulate a common legal system for all these clauses so as to preserve on one side the protection of the economic activity of the companies et on the other side the safeguard of the economic freedom of the co-contractors subject to these clauses. The benefit of a common legal system is the anticipation of the conditions of validity and implementation of this type of clause. In this way, the cocontractants will not lack in foresight. The development of this common right is in two steps. This includes confirming their autonomy relative to the contracts in which they may be inserted and draw the necessary conclusions regarding their validity. The second step is relative to the implementation of these clauses. Their application is sensitive because it depends for the most part on the precision of their content. In case of a breach of contract, a large array of legal remedies is available to the aggrieved contractor to penalize the breach of contract. Clause de non-concurrence Clause de confidentialité Clause de non-réaffiliation Liberté du commerce et de l’industrie Autonomie Contenu et but des clauses Validité Ntérêt légitime Proportionnalité Contrepartie financière Nullité Exécution Effet relatif Opposabilité Interprétation Rédaction des clauses Sanctions de l’inexécution Non-compete clause Confidentiality clause Non-reaffiliation-clause Non-solicitation Clause Freedom of trade and industry Autonomy Content and aim of clauses Validity Legitimate interest Proportionality Financial consideration Nullity Execution Relative effect Opposability Interpretation Drafting of the clauses Penalizing breaches 340
103	La responsabilité civile des conseillers en génétique au Québec et les conséquences juridiques de la non-reconnaissance : vers un encadrement juridique? Zawati, Ma'n Hilmi Mohammad 08 1900 (has links) Depuis maintenant quelques décennies, les conseillers en génétique jouent un rôle de plus en plus important dans le domaine de la génétique médicale. Leur apport ainsi que l’importance de leur rôle sont aujourd’hui incontestables. Leur statut juridique, cependant, demeure incertain et requiert une analyse approfondie. En effet, n’étant pas reconnue par le Code des professions du Québec, la pratique du conseil génétique se trouve conséquemment privée de la protection octroyée par ce Code aux autres professionnels, notamment celle ayant trait au titre et à l’exclusivité des actes. Devant ce statu quo et dans l’optique de la protection du public, l’étude de la responsabilité civile du conseiller en génétique s’avère nécessaire. Trois obligations principales ressortent de cette analyse, soit les obligations de compétence, de renseignement et de confidentialité. En ce qui a trait aux conséquences juridiques de la non-reconnaissance, elles ne sont pas négligeables. En vérité, l’inertie du législateur québécois floue la relation qu’a le conseiller en génétique avec les autres membres de son équipe multidisciplinaire, et ce, surtout en ce qui a trait à la délimitation des actes qu’il peut prodiguer. En effet, ce dernier risque d’empiéter sur certains aspects de la pratique médicale et infirmière, engendrant ainsi sa responsabilité pénale. Finalement, il s’est avéré important de chercher des pistes de solutions étrangères pouvant se transposer au Québec. Le cas de la France se trouve à être un exemple pertinent, puisque le législateur français a reconnu législativement le conseiller en génétique en tant que professionnel et a protégé tant le titre que l’exclusivité des actes de ce dernier. / In recent decades, genetic counselors have played an increasingly important role in the field of medical genetics. Today, their contribution and the importance of their role are indisputable. Their legal status, however, remains uncertain and requires further analysis. Indeed, not being recognized by the Professional Code of Quebec, the practice of genetic counselors is consequently deprived of the protection granted by this Code to other professionals, notably the exclusivity of their titles and acts. Given this status quo and with the aim of protecting the public, a study of the civil liability of genetic counselors becomes necessary. Three main duties of genetic counselors emerge from this analysis: the duty to proficiency, the duty to inform, and the duty of confidentiality. Moreover, there are several legal consequences for non-recognition of this emerging profession. Indeed, the inaction of the Quebec legislator has resulted in a confusing relationship between the genetic counselor and the other members of the multidisciplinary team, especially with regard to the delimitation of services which the counselor can provide. Indeed, the latter may infringe on certain aspects of the medical practice and nursing, thereby engendering his penal liability. This situation leads us to foreign jurisdictions in an effort to find possible solutions which can be transposed in Quebec. The situation in France comes as a relevant example, since the French legislature has legally recognized the genetic counselor as a professional and has protected his title as well as the exclusivity of his practice. Conseiller en génétique Responsabilité civile Pratique médicale Pratique infirmière Obligation de compétence Obligation de renseignement Obligation de confidentialité Responsabilité pénale Genetic counselors Civil Liability Medical practice Nursing Duty to proficiency Duty to inform Duty of confidentiality Penal liability
104	Vers une plateforme holistique de protection de la vie privée dans les services géodépendants Sahnoune, Zakaria 04 1900 (has links) No description available. Services géodépendants Mesure de confiance Quantification de risques Position jumelle Position indicatrice Réseaux pair-à-pair Transfert inconscient Information mutuelle Logique floue Location-based services Location privacy Location privacy-preserving mechanism Risk quantification Trust measurement Twin positions Telltale positions P2P networks Oblivious transfer Mutual information Fuzzy logic
105	La médiation des différends civils en droit de l'Union Européenne et ses incidences sur les droits français, anglais et grec / Mediation of civil disputes in the European Union law of and its impact on French, English and Greek law Mouzaki, Dionysia 14 June 2018 (has links) Aujourd’hui l’Union européenne favorise la règlementation de la médiation par une démarche générale sous la directive n° 2008/52/CE sur certains aspects de la médiation en matière civile et commerciale et par une démarche sectorielle sous la directive n° 2013/11/UE relative au règlement extrajudiciaire des litiges de consommation et le règlement n° 524/2013/UE en ligne des litiges de consommation. Cette tendance législative apparaît comme une exigence d’améliorer l’accès à la justice en réduisant son coût, sa lenteur et sa complexité. La question qui se pose est de savoir dans quel cadre juridique la médiation facilite la résolution amiable des différends ainsi que l’accès à la justice en réduisant le déséquilibre qui caractérise les rapports juridiques, dès lors qu’on écarte la protection juridictionnelle. La réponse appelle l’analyse de la règlementation de la médiation dans le droit de l’Union européenne et dans les droits nationaux examinés. Le droit de l’Union implique que les États membres prennent les mesures nécessaires pour l’application correcte d’une directive (article 288 § 3 TFUE) ; l’application du droit de l’Union européenne devant être assurée sous le respect des principes d’équivalence et d’efficacité. Comment cela peut-être garantie ? La réception du droit de l’Union européenne a contribué à atténuer les ambivalences préexistantes autour du concept de la médiation et a ainsi facilité la mise en place d’une référence commune à la médiation, si elle n’a pas permis une transposition homogène. Dans les trois systèmes étudiés la médiation se manifeste globalement en tant que « phénomène conventionnel », mais qui se situe au carrefour du droit substantiel et processuel. Si l’entier du processus s’exprime de manière conventionnelle, la convention de médiation, acte fondateur du processus, relève d’une dimension duale, à la fois conventionnelle et processuelle Quelle sera la liaison future entre médiation et justice traditionnelle ? La volonté de ne plus laisser la règlementation de la médiation au domaine privé, mais de lui réserver une place centrale dans les règles étatiques parait claire dans les trois systèmes nationaux. Cette « processualisation » de la médiation conduira-t-elle à l’émergence d’« un droit à la médiation » ? Quel rôle contient désormais le droit d’accès au juge (article 6 § 1 Convention EDH et 47 de la Charte européenne des droits de la Charte des droits fondamentaux) autour du développement législatif de la médiation ? Les réponses nécessitent l’analyse du régime qui donne accès à la médiation et du cadre processuel qui garantit l’accomplissement « légitime » de son processus. Le développement opportun de la médiation exige que les personnes qui assurent sa mise en œuvre puissent justifier d’une formation sérieuse en la matière, ainsi qu’un statut fiable pour inciter les intéressés d’y recourir. Quel est le statut du médiateur ? La comparaison des droits nationaux nous permettra d’envisager le meilleur modèle régulateur pour encadrer les compétences du tiers intervenant. Mais un système de médiation réellement efficace s’est traduit par un aboutissement efficace. Comment se valorise-t-il l’ « accord amiable », l’issue négociée en droit, voire en résolution extrajudiciaire d’un différend ? Y a-t-il un contrôle de légalité de l’accord issu de la médiation et si oui, comment ce contrôle se manifeste-t-il ? Les réponses relèvent de l’analyse du régime de l’accord issu de la médiation. / With regard to the Directive n° 52/2008CE of the European Parliament and the Council of 21 May 2008 in certain aspects of mediation in civil and commercial matters, as well as the Directive 2013/11/EU of the European Parliament and of the Council of 21 May 2013 on alternative dispute resolution for consumer disputes and amending Regulation (EC) No 2006/2004 and Directive 2009/22/EC also the Regulation (EU) n°524/2013 of the European Parliament and the Council of 21 May 2013 on online dispute resolution for consumer disputes and amending Regulation (EC) No 2006/2004 and Directive 2009/22/EC (Regulation on consumer ODR), this thesis examine the main lines for the development of mediation set out by the European Union. How the tendency to develop mediation within Europe, represented by the directive the European texts above has been reflected in the three legal systems examined? How mediation works in systems where law is rigid and its infringement is being severely sanctioned (civil law applied in France and Greece) and how does it work in common law (applied in the United Kingdom)? Mediation law is nowadays largely presented as a flexible way to avoid court’s costs, longevity and complexity. But should it be integrated in procedural law as a kind of complementary justice within the courts? Can positive law, courts and amiable dispute resolution cooperate in an effective manner? An effective cooperation of public justice and mediation could be of major importance for the improvement of procedural law, as access to justice is not always guaranteed. Public justice has not always being successful, since the severe application of law has been proven unable to create a social and dynamic legal system. Thus, it often cultivates “bitterness” against judicial adventure. In this regard, mediation promises a profound change in the way of settling disputes. However, the idea of a “private” justice based in contract law does not go without mistrusts. The imbalance between the parties is usually obvious in contract law and fosters the strongest party. The question then is to know if a secure legal framework of mediation based on the particularities of national legal systems could facilitate its proper implementation. The main concept of the thesis is to present a legal structure of mediation combined by the European law’s directives and their implementation in the three national laws. But the nature, the process, as well as the relation of mediation with courts are examined in parallel with the conformity of mediation in the article 6 § 1 of the European Convention of Human Rights, the fundamental right of a public hearing by a tribunal. Médiation Union européenne Directive n° 2008/52/CE Règlement n° 524/2013/UE Convention de médiation Libre disponibilité des droits Droit souple Confidentialité Directive n° 2013/11/UE Mediation Mediation clause Mediation settlement Pre-Action protocols Settlement enforcement The court as the last resort Without prejudice principle Confidentiality 340
106	La protection de l'enfant contre le risque de naître avec le virus de l'immunodéficience humaine en droit congolais et comparé / The protection of the child against the risk of being born with the human immunodeficiency virus in congolese and comparative law Angelesi Bayenga, Fils 19 December 2018 (has links) La transmission prénatale du VIH de la mère à l’enfant est à l’origine de la majorité des infections à VIH/sida chez les nourrissons. En dépit du risque quasi omniprésent de faire naître des enfants infectés et de l’accès encore très limité aux thérapies antirétrovirales, le nombre des femmes séropositives menant leur grossesse à terme est en augmentation constante en Afrique subsaharienne. Motivée par ce constat empirique, l’étude aborde une gamme des questions juridiques et de bioéthique, pour certaines encore inédites, tiraillées entre désir légitime d’enfant (droit à l’enfant) et devoir de la société de mettre les futurs enfants à l’abri d’un handicap congénital prévisible reconnu comme incurable (droit de l’enfant). Fondamentalement, elle interroge le législateur sur la manière de saisir le risque biologique de transmission maternelle du VIH, sans rompre avec l’équilibre éthique nécessaire entre les droits et libertés fondamentaux de la femme ou mère séropositive et l’intérêt supérieur de l’enfant à naître. À partir de l’exemple du droit congolais et suivant la démarche d’information comparative, l’étude s’attache à démontrer systématiquement que face à la forte probabilité de naître avec le VIH, la protection que les droits africains actuels apportent à l’enfant est insuffisante et, à certains égards, incohérente. Pour y remédier, elle préconise un nouveau paradigme de normativité fondé sur la philosophie de la recherche d’une conciliation éthique, qui n’apparaisse pas manifestement disproportionnée, entre l’autonomie de soi de la femme ou mère séropositive sur son corps et la responsabilité de ses choix en matière de santé de la reproduction. Ainsi, grâce à ses nombreuses propositions innovantes de refonte du droit, cette étude est-elle parvenue à contribuer, significativement, à la recherche d’outils théoriques nécessaires à l’émergence de nouveaux droits africains en ordre de bataille pour des générations futures sans sida. / Prenatal HIV transmission from mother to child is responsible for the majority of HIV / AIDS infections in infants. Despite the almost ubiquitous risk of infected children and still very limited access to antiretroviral therapy, the number of HIV-positive women who complete their pregnancies is increasing steadily in sub-Saharan Africa. Motivated by this empirical observation, the study tackles a range of legal and bioethical questions, some of which are still unpublished, torn between legitimate desire for children (right to the child) and society's obligation to protect future children against a predictable congenital disability recognized as incurable (right of the child). Fundamentally, it questions the legislator on how to capture the biological risk of maternal HIV transmission without breaking the necessary ethical balance between the fundamental rights and freedoms of the HIV-positive woman or mother and the best interests of the unborn child. Using the example of Congolese law and following the comparative information approach, the study seeks to systematically demonstrate that, in the face of the high probability of being born with HIV, the protection that the current African rights bring to the child is insufficient and, in some respects, incoherent. To remedy this, she advocates a new paradigm of normativity based on the philosophy of seeking an ethical reconciliation which does not appear to be manifestly disproportionate between the autonomy of the woman or mother who is HIV-positive on her body and the responsibility of its choices in reproductive health. Thus, thanks to its many innovative proposals for the revision of the law, has this study managed to contribute significantly to the search for theoretical tools necessary for the emergence of new African rights in order of battle for future generations without AIDS. Conception/Contraception Bioéthique/Droit comparé africain. Conception/contraception Bioethics/ African comparative law Eugenic abort
107	Détection dynamique des intrusions dans les systèmes informatiques / Dynamic intrusion detection in computer systems Pierrot, David 21 September 2018 (has links) La démocratisation d’Internet, couplée à l’effet de la mondialisation, a pour résultat d’interconnecter les personnes, les états et les entreprises. Le côté déplaisant de cette interconnexion mondiale des systèmes d’information réside dans un phénomène appelé « Cybercriminalité ». Des personnes, des groupes mal intentionnés ont pour objectif de nuire à l’intégrité des systèmes d’information dans un but financier ou pour servir une cause. Les conséquences d’une intrusion peuvent s’avérer problématiques pour l’existence d’une entreprise ou d’une organisation. Les impacts sont synonymes de perte financière, de dégradation de l’image de marque et de manque de sérieux. La détection d’une intrusion n’est pas une finalité en soit, la réduction du delta détection-réaction est devenue prioritaire. Les différentes solutions existantes s’avèrent être relativement lourdes à mettre place aussi bien en matière de compétence que de mise à jour. Les travaux de recherche ont permis d’identifier les méthodes de fouille de données les plus performantes mais l’intégration dans une système d’information reste difficile. La capture et la conversion des données demandent des ressources de calcul importantes et ne permettent pas forcément une détection dans des délais acceptables. Notre contribution permet, à partir d’une quantité de données relativement moindre de détecter les intrusions. Nous utilisons les événements firewall ce qui réduit les besoins en terme de puissance de calcul tout en limitant la connaissance du système d’information par les personnes en charge de la détection des intrusions. Nous proposons une approche prenant en compte les aspects techniques par l’utilisation d’une méthode hybride de fouille de données mais aussi les aspects fonctionnels. L’addition de ces deux aspects est regroupé en quatre phases. La première phase consiste à visualiser et identifier les activités réseau. La deuxième phase concerne la détection des activités anormales en utilisant des méthodes de fouille de données sur la source émettrice de flux mais également sur les actifs visés. Les troisième et quatrième phases utilisent les résultats d’une analyse de risque et d’audit technique de sécurité pour une prioritisation des actions à mener. L’ensemble de ces points donne une vision générale sur l’hygiène du système d’information mais aussi une orientation sur la surveillance et les corrections à apporter. L’approche développée a donné lieu à un prototype nommé D113. Ce prototype, testé sur une plate-forme d’expérimentation sur deux architectures de taille différentes a permis de valider nos orientations et approches. Les résultats obtenus sont positifs mais perfectibles. Des perspectives ont été définies dans ce sens. / The expansion and democratization of the digital world coupled with the effect of the Internet globalization, has allowed individuals, countries, states and companies to interconnect and interact at incidence levels never previously imagined. Cybercrime, in turn, is unfortunately one the negative aspects of this rapid global interconnection expansion. We often find malicious individuals and/or groups aiming to undermine the integrity of Information Systems for either financial gain or to serve a cause. The consequences of an intrusion can be problematic for the existence of a company or an organization. The impacts are synonymous with financial loss, brand image degradation and lack of seriousness. The detection of an intrusion is not an end in itself, the reduction of the delta detection-reaction has become a priority. The different existing solutions prove to be cumbersome to set up. Research has identified more efficient data mining methods, but integration into an information system remains difficult. Capturing and converting protected resource data does not allow detection within acceptable time frames. Our contribution helps to detect intrusions. Protect us against Firewall events which reduces the need for computing power while limiting the knowledge of the information system by intrusion detectors. We propose an approach taking into account the technical aspects by the use of a hybrid method of data mining but also the functional aspects. The addition of these two aspects is grouped into four phases. The first phase is to visualize and identify network activities. The second phase concerns the detection of abnormal activities using data mining methods on the source of the flow but also on the targeted assets. The third and fourth phases use the results of a risk analysis and a safety verification technique to prioritize the actions to be carried out. All these points give a general vision on the hygiene of the information system but also a direction on monitoring and corrections to be made.The approach developed to a prototype named D113. This prototype, tested on a platform of experimentation in two architectures of different size made it possible to validate our orientations and approaches. The results obtained are positive but perfectible. Prospects have been defined in this direction. Securité Détection d'intrusions Pare-feu (firewall) Apprentissage supervisé Collecte de renseignements Journaux (logs) Évènements Attaques Clustering Validité des clusters Disponibilité Intégrité Confidentialité Traçabilité Apprentissage non-surpervisé Security Intrusion detection Firewall Supervised machine learning Unsupervised machine learning Information gathering Logs Events Attacks Clustering Cluster validity Avaibility Integrity Privacy Traceability 004
108	Sécurité et vie privée dans les applications web / Web applications security and privacy Somé, Dolière Francis 29 October 2018 (has links) Dans cette thèse, nous nous sommes intéressés aux problématiques de sécurité et de confidentialité liées à l'utilisation d'applications web et à l'installation d'extensions de navigateurs. Parmi les attaques dont sont victimes les applications web, il y a celles très connues de type XSS (ou Cross-Site Scripting). Les extensions sont des logiciels tiers que les utilisateurs peuvent installer afin de booster les fonctionnalités des navigateurs et améliorer leur expérience utilisateur. Content Security Policy (CSP) est une politique de sécurité qui a été proposée pour contrer les attaques de type XSS. La Same Origin Policy (SOP) est une politique de sécurité fondamentale des navigateurs, régissant les interactions entre applications web. Par exemple, elle ne permet pas qu'une application accède aux données d'une autre application. Cependant, le mécanisme de Cross-Origin Resource Sharing (CORS) peut être implémenté par des applications désirant échanger des données entre elles. Tout d'abord, nous avons étudié l'intégration de CSP avec la Same Origin Policy (SOP) et démontré que SOP peut rendre CSP inefficace, surtout quand une application web ne protège pas toutes ses pages avec CSP, et qu'une page avec CSP imbrique ou est imbriquée dans une autre page sans ou avec un CSP différent et inefficace. Nous avons aussi élucidé la sémantique de CSP, en particulier les différences entre ses 3 versions, et leurs implémentations dans les navigateurs. Nous avons ainsi introduit le concept de CSP sans dépendances qui assure à une application la même protection contre les attaques, quelque soit le navigateur dans lequel elle s'exécute. Finalement, nous avons proposé et démontré comment étendre CSP dans son état actuel, afin de pallier à nombre de ses limitations qui ont été révélées dans d'autres études. Les contenus tiers dans les applications web permettent aux propriétaires de ces contenus de pister les utilisateurs quand ils naviguent sur le web. Pour éviter cela, nous avons introduit une nouvelle architecture web qui une fois déployée, supprime le pistage des utilisateurs. Dans un dernier temps, nous nous sommes intéressés aux extensions de navigateurs. Nous avons d'abord démontré que les extensions qu'un utilisateur installe et/ou les applications web auxquelles il se connecte, peuvent le distinguer d'autres utilisateurs. Nous avons aussi étudié les interactions entre extensions et applications web. Ainsi avons-nous trouvé plusieurs extensions dont les privilèges peuvent être exploités par des sites web afin d'accéder à des données sensibles de l'utilisateur. Par exemple, certaines extensions permettent à des applications web d'accéder aux contenus d'autres applications, bien que cela soit normalement interdit par la Same Origin Policy. Finalement, nous avons aussi trouvé qu'un grand nombre d'extensions a la possibilité de désactiver la Same Origin Policy dans le navigateur, en manipulant les entêtes CORS. Cela permet à un attaquant d'accéder aux données de l'utilisateur dans n'importe qu'elle autre application, comme par exemple ses mails, son profile sur les réseaux sociaux, et bien plus. Pour lutter contre ces problèmes, nous préconisons aux navigateurs un système de permissions plus fin et une analyse d'extensions plus poussée, afin d'alerter les utilisateurs des dangers réels liés aux extensions. / In this thesis, we studied security and privacy threats in web applications and browser extensions. There are many attacks targeting the web of which XSS (Cross-Site Scripting) is one of the most notorious. Third party tracking is the ability of an attacker to benefit from its presence in many web applications in order to track the user has she browses the web, and build her browsing profile. Extensions are third party software that users install to extend their browser functionality and improve their browsing experience. Malicious or poorly programmed extensions can be exploited by attackers in web applications, in order to benefit from extensions privileged capabilities and access sensitive user information. Content Security Policy (CSP) is a security mechanism for mitigating the impact of content injection attacks in general and in particular XSS. The Same Origin Policy (SOP) is a security mechanism implemented by browsers to isolate web applications of different origins from one another. In a first work on CSP, we analyzed the interplay of CSP with SOP and demonstrated that the latter allows the former to be bypassed. Then we scrutinized the three CSP versions and found that a CSP is differently interpreted depending on the browser, the version of CSP it implements, and how compliant the implementation is with respect to the specification. To help developers deploy effective policies that encompass all these differences in CSP versions and browsers implementations, we proposed the deployment of dependency-free policies that effectively protect against attacks in all browsers. Finally, previous studies have identified many limitations of CSP. We reviewed the different solutions proposed in the wild, and showed that they do not fully mitigate the identified shortcomings of CSP. Therefore, we proposed to extend the CSP specification, and showed the feasibility of our proposals with an example of implementation. Regarding third party tracking, we introduced and implemented a tracking preserving architecture, that can be deployed by web developers willing to include third party content in their applications while preventing tracking. Intuitively, third party requests are automatically routed to a trusted middle party server which removes tracking information from the requests. Finally considering browser extensions, we first showed that the extensions that users install and the websites they are logged into, can serve to uniquely identify and track them. We then studied the communications between browser extensions and web applications and demonstrate that malicious or poorly programmed extensions can be exploited by web applications to benefit from extensions privileged capabilities. Also, we demonstrated that extensions can disable the Same Origin Policy by tampering with CORS headers. All this enables web applications to read sensitive user information. To mitigate these threats, we proposed countermeasures and a more fine-grained permissions system and review process for browser extensions. We believe that this can help browser vendors identify malicious extensions and warn users about the threats posed by extensions they install. Web Navigateurs Applications web Sécurité Extensions de navigateurs Communication inter-iframes Confidentialité Vie privé Pistage Empreinte de navigateurs Web Browser Web applications Security Same origin policy Content origin policy Cross-origin resource sharing Browser extensions Privacy Cross-iframe communication Third party web tracking Browser fingerprinting
109	Towards causal federated learning : a federated approach to learning representations using causal invariance Francis, Sreya 10 1900 (has links) Federated Learning is an emerging privacy-preserving distributed machine learning approach to building a shared model by performing distributed training locally on participating devices (clients) and aggregating the local models into a global one. As this approach prevents data collection and aggregation, it helps in reducing associated privacy risks to a great extent. However, the data samples across all participating clients are usually not independent and identically distributed (non-i.i.d.), and Out of Distribution (OOD) generalization for the learned models can be poor. Besides this challenge, federated learning also remains vulnerable to various attacks on security wherein a few malicious participating entities work towards inserting backdoors, degrading the generated aggregated model as well as inferring the data owned by participating entities. In this work, we propose an approach for learning invariant (causal) features common to all participating clients in a federated learning setup and analyse empirically how it enhances the Out of Distribution (OOD) accuracy as well as the privacy of the final learned model. Although Federated Learning allows for participants to contribute their local data without revealing it, it faces issues in data security and in accurately paying participants for quality data contributions. In this report, we also propose an EOS Blockchain design and workflow to establish data security, a novel validation error based metric upon which we qualify gradient uploads for payment, and implement a small example of our Blockchain Causal Federated Learning model to analyze its performance with respect to robustness, privacy and fairness in incentivization. / L’apprentissage fédéré est une approche émergente d’apprentissage automatique distribué préservant la confidentialité pour créer un modèle partagé en effectuant une formation distribuée localement sur les appareils participants (clients) et en agrégeant les modèles locaux en un modèle global. Comme cette approche empêche la collecte et l’agrégation de données, elle contribue à réduire dans une large mesure les risques associés à la vie privée. Cependant, les échantillons de données de tous les clients participants sont généralement pas indépendante et distribuée de manière identique (non-i.i.d.), et la généralisation hors distribution (OOD) pour les modèles appris peut être médiocre. Outre ce défi, l’apprentissage fédéré reste également vulnérable à diverses attaques contre la sécurité dans lesquelles quelques entités participantes malveillantes s’efforcent d’insérer des portes dérobées, dégradant le modèle agrégé généré ainsi que d’inférer les données détenues par les entités participantes. Dans cet article, nous proposons une approche pour l’apprentissage des caractéristiques invariantes (causales) communes à tous les clients participants dans une configuration d’apprentissage fédérée et analysons empiriquement comment elle améliore la précision hors distribution (OOD) ainsi que la confidentialité du modèle appris final. Bien que l’apprentissage fédéré permette aux participants de contribuer leurs données locales sans les révéler, il se heurte à des problèmes de sécurité des données et de paiement précis des participants pour des contributions de données de qualité. Dans ce rapport, nous proposons également une conception et un flux de travail EOS Blockchain pour établir la sécurité des données, une nouvelle métrique basée sur les erreurs de validation sur laquelle nous qualifions les téléchargements de gradient pour le paiement, et implémentons un petit exemple de notre modèle d’apprentissage fédéré blockchain pour analyser ses performances. Federated Learning Causal Machine Learning Fairness Out-of-distribution generalization Robustness Apprentissage fédéré Apprentissage automatique causal Blockchain Généralisation hors distribution Robustesse Équité Privacy preserving machine learning Generalization
110	Cloud data storage security based on cryptographic mechanisms / La sécurité des données stockées dans un environnement cloud, basée sur des mécanismes cryptographiques Kaaniche, Nesrine 15 December 2014 (has links) Au cours de la dernière décennie, avec la standardisation d’Internet, le développement des réseaux à haut débit, le paiement à l’usage et la quête sociétale de la mobilité, le monde informatique a vu se populariser un nouveau paradigme, le Cloud. Le recours au cloud est de plus en plus remarquable compte tenu de plusieurs facteurs, notamment ses architectures rentables, prenant en charge la transmission, le stockage et le calcul intensif de données. Cependant, ces services de stockage prometteurs soulèvent la question de la protection des données et de la conformité aux réglementations, considérablement due à la perte de maîtrise et de gouvernance. Cette dissertation vise à surmonter ce dilemme, tout en tenant compte de deux préoccupations de sécurité des données, à savoir la confidentialité des données et l’intégrité des données. En premier lieu, nous nous concentrons sur la confidentialité des données, un enjeu assez considérable étant donné le partage de données flexible au sein d’un groupe dynamique d’utilisateurs. Cet enjeu exige, par conséquence, un partage efficace des clés entre les membres du groupe. Pour répondre à cette préoccupation, nous avons, d’une part, proposé une nouvelle méthode reposant sur l’utilisation de la cryptographie basée sur l’identité (IBC), où chaque client agit comme une entité génératrice de clés privées. Ainsi, il génère ses propres éléments publics et s’en sert pour le calcul de sa clé privée correspondante. Grâce aux propriétés d’IBC, cette contribution a démontré sa résistance face aux accès non autorisés aux données au cours du processus de partage, tout en tenant compte de deux modèles de sécurité, à savoir un serveur de stockage honnête mais curieux et un utilisateur malveillant. D’autre part, nous définissons CloudaSec, une solution à base de clé publique, qui propose la séparation de la gestion des clés et les techniques de chiffrement, sur deux couches. En effet, CloudaSec permet un déploiement flexible d’un scénario de partage de données ainsi que des garanties de sécurité solides pour les données externalisées sur les serveurs du cloud. Les résultats expérimentaux, sous OpenStack Swift, ont prouvé l’efficacité de CloudaSec, en tenant compte de l’impact des opérations cryptographiques sur le terminal du client. En deuxième lieu, nous abordons la problématique de la preuve de possession de données (PDP). En fait, le client du cloud doit avoir un moyen efficace lui permettant d’effectuer des vérifications périodiques d’intégrité à distance, sans garder les données localement. La preuve de possession se base sur trois aspects : le niveau de sécurité, la vérification publique, et les performances. Cet enjeu est amplifié par des contraintes de stockage et de calcul du terminal client et de la taille des données externalisées. Afin de satisfaire à cette exigence de sécurité, nous définissons d’abord un nouveau protocole PDP, sans apport de connaissance, qui fournit des garanties déterministes de vérification d’intégrité, en s’appuyant sur l’unicité de la division euclidienne. Ces garanties sont considérées comme intéressantes par rapport à plusieurs schémas proposés, présentant des approches probabilistes. Ensuite, nous proposons SHoPS, un protocole de preuve de possession de données capable de traiter les trois relations d’ensembles homomorphiques. SHoPS permet ainsi au client non seulement d’obtenir une preuve de la possession du serveur distant, mais aussi de vérifier que le fichier, en question, est bien réparti sur plusieurs périphériques de stockage permettant d’atteindre un certain niveau de la tolérance aux pannes. En effet, nous présentons l’ensemble des propriétés homomorphiques, qui étend la malléabilité du procédé aux propriétés d’union, intersection et inclusion / Recent technological advances have given rise to the popularity and success of cloud. This new paradigm is gaining an expanding interest, since it provides cost efficient architectures that support the transmission, storage, and intensive computing of data. However, these promising storage services bring many challenging design issues, considerably due to the loss of data control. These challenges, namely data confidentiality and data integrity, have significant influence on the security and performances of the cloud system. This thesis aims at overcoming this trade-off, while considering two data security concerns. On one hand, we focus on data confidentiality preservation which becomes more complex with flexible data sharing among a dynamic group of users. It requires the secrecy of outsourced data and an efficient sharing of decrypting keys between different authorized users. For this purpose, we, first, proposed a new method relying on the use of ID-Based Cryptography (IBC), where each client acts as a Private Key Generator (PKG). That is, he generates his own public elements and derives his corresponding private key using a secret. Thanks to IBC properties, this contribution is shown to support data privacy and confidentiality, and to be resistant to unauthorized access to data during the sharing process, while considering two realistic threat models, namely an honest but curious server and a malicious user adversary. Second, we define CloudaSec, a public key based solution, which proposes the separation of subscription-based key management and confidentiality-oriented asymmetric encryption policies. That is, CloudaSec enables flexible and scalable deployment of the solution as well as strong security guarantees for outsourced data in cloud servers. Experimental results, under OpenStack Swift, have proven the efficiency of CloudaSec in scalable data sharing, while considering the impact of the cryptographic operations at the client side. On the other hand, we address the Proof of Data Possession (PDP) concern. In fact, the cloud customer should have an efficient way to perform periodical remote integrity verifications, without keeping the data locally, following three substantial aspects : security level, public verifiability, and performance. This concern is magnified by the client’s constrained storage and computation capabilities and the large size of outsourced data. In order to fulfill this security requirement, we first define a new zero-knowledge PDP proto- col that provides deterministic integrity verification guarantees, relying on the uniqueness of the Euclidean Division. These guarantees are considered as interesting, compared to several proposed schemes, presenting probabilistic approaches. Then, we propose SHoPS, a Set-Homomorphic Proof of Data Possession scheme, supporting the 3 levels of data verification. SHoPS enables the cloud client not only to obtain a proof of possession from the remote server, but also to verify that a given data file is distributed across multiple storage devices to achieve a certain desired level of fault tolerance. Indeed, we present the set homomorphism property, which extends malleability to set operations properties, such as union, intersection and inclusion. SHoPS presents high security level and low processing complexity. For instance, SHoPS saves energy within the cloud provider by distributing the computation over multiple nodes. Each node provides proofs of local data block sets. This is to make applicable, a resulting proof over sets of data blocks, satisfying several needs, such as, proofs aggregation Stockage des données dans le cloud Confidentialité des données Intégrité des données Preuve de possession de données Sécurité des données dans le cloud Cryptographie basée sur l'identité Cryptographie homomorphique Preuve sans apport de connaissance Cloud data storage Data confidentiality Data integrity Proof of data possession Cloud data security Identity based cryptography Homomorphic cryptography Zero-knowledge proofs

Search results