Le droit des données personnelles : une police administrative spéciale / Data law : a "police administrative spéciale"

Ochoa, Nicolas

08 December 2014

L’objet de ce travail est de démontrer que le droit des données personnelles ne se réduit pas au droit à la protection des données personnelles. En effet, il existe une thèse dominante au terme de laquelle le droit des données personnelles a pour objet exclusif la protection de la personne fichée et constitue, en tant que tel, un élément de la protection de la vie privée.Or, une telle lecture procède d’une isolation clinique de certaines dispositions essentielles au sein des instruments relatifs aux données personnelles. Le droit positif invalide cette thèse et révèle que ces normes poursuivent deux enjeux distincts. Le premier tient effectivement à la protection de la personne fichée et a à ce titre été isolé au sein d’un droit à la protection des données personnelles en droit de l’Union européenne. Le second tient dans l’usage sans entraves de l’informatique et implique la liberté de traiter des données personnelles. Au sein des instruments juridiques relatifs aux données personnelles, ces deux intérêts ne constituent pas deux objectifs de rang et d’intérêt égal juxtaposés l’un à côté de l’autre. Ils sont articulés et hiérarchisés. Le but premier de ces instruments est de garantir la liberté de traitement des données personnelles en tant qu’elle conditionne la liberté de l’usage de procédés informatiques. La protection des droits et libertés fondamentales des personnes fichées n’en constitue que la limite, étroitement subordonnée et circonscrite à ce but principal.De ce constat, il est possible de déduire que les instruments juridiques relatifs aux données personnelles constituent une même police administrative spéciale. Cette police a pour but de consacrer et d’aménager une liberté publique à ce jour innommée : la liberté de traitement des données personnelles. Elle a pour effet et non pour objet de protéger la personne fichée, non pas seulement parce que cette dernière serait titulaire d’un droit fondamental mais aussi et surtout au titre de la protection d’un ordre public spécial. / Data law cannot be reduced to data protection law. Data law instruments have two purposes. The main one is not data protection but the organization of the freedom of data treatment. Data protection is just the limit to this main purpose and cannot be thought in an independent manner.

Droit des données personnelles

Liberté de l'informatique

Vie privée

CNIL

Société de l'information

Data law

Private life

342.085

Analyse économique de l'émergence et du développement d'une offre privée de soins en Algérie / Economic analysis of emergence and development of private healthcare in Algeria

Zehnati, Ahcène

08 June 2014

En Algérie, le champ de la santé s’est modifié avec l’émergence et l’extension du secteur privé des soins à but lucratif dans ses deux composantes : cliniques privées et médecine de ville, mettant ainsi fin à l’hégémonie durant trois décennies du secteur public. Un système de soins hybride en a résulté où un secteur public caractérisé par de multiples dysfonctionnements semble nourrir un secteur privé en pleine croissance. Cette dynamique s’opère dans un contexte de transition plurielle : une transition économique mal assumée, une transition sociologique avec une forte urbanisation, une rapide transition démographique, une transition épidémiologique en cours et une transition politique toujours en suspens. Les interactions entre les stratégies individuelles des professionnels de santé et les éléments contextuels ont déterminé les évolutions du système de santé algérien. Les cliniques privées comme nouvelle figure dans le paysage sanitaire sont des structures innovantes dans le sens où de nouvelles méthodes d’organisation et de travail, des modalités de coopération inhabituelles et des modes de coordination inédits ont émergé en rupture avec les modes de fonctionnement anciens créant ainsi une dynamique collective entre médecins et patients. Elles attirent aussi bien les médecins, en quête de compléments de revenus, que les patients à la recherche d’une rapide prise en charge, évitant les longues attentes dans le secteur public. Au fonctionnement cloisonné du système de soins se substitue un fonctionnement en réseau dans les rapports entre les différents acteurs au gré des affinités, des sensibilités et des intérêts financiers. / In Algeria, the health field has changed with the emergence and expansion of the private healthcare sector profit in its two components: private clinics and physicians in liberal, thus ending the hegemony over three decades the public sector. A hybrid system where care has resulted in a public sector characterized by multiple failures seems to feed a growing private sector. This dynamic occurs in the context of a plural transition: an unplanned economic transition, a sociological transition with a strong urbanization, rapid demographic transition, an epidemiological transition and ongoing political transition still pending. Interactions between individual strategies of health professionals and the contextual elements have determined the evolution of the Algerian health system. The private clinics as new figure in the healthcare landscape reveals innovative structures in the sense that, new methods of organization and working with unusual interaction and coordination modes that emerged out leading to a drift from the old operating mode systems creating a collective dynamics between doctors and patients. They attract both doctors, looking for additional income, patients in search of an immediate and better care, try to avoid long waiting list in the public sector. The enclosed operating care system is replaced by an operation network in relation between the various actors in the healthcare system according to affinities, sensitivities and financial interests.

Émergence

Clinique privée

Médecine de ville

Réseau

Algérie

Emergence

Private clinic

Liberal medicine

Network

Algeria

330

Passage à l’échelle des systèmes de recommandation avec respect de la vie privée / Privacy-enabled scalable recommender systems

Moreno Barbosa, Andrés Dario

10 December 2014

L'objectif principal de la thèse est de proposer une méthode de recommandation prenant en compte la vie privée des utilisateurs ainsi que l'évolutivité du système. Pour atteindre cet objectif, une technique hybride basée sur le filtrage par contenu et le filtrage collaboratif est utilisée pour atteindre un modèle précis de recommandation, sous la pression des mécanismes visant à maintenir la vie privée des utilisateurs. Les contributions de la thèse sont trois : Tout d'abord, un modèle de filtrage collaboratif est défini en utilisant agent côté client qui interagit avec l'information sur les éléments, cette information est stockée du côté du système de recommandation. Ce modèle est augmenté d’un modèle hybride qui comprend une stratégie basée sur le filtrage par contenu. En utilisant un modèle de la connaissance basée sur des mots clés qui décrivent le domaine de l'article filtré, l'approche hybride augmente la performance de prédiction des modèles sans élever l’effort de calcul, dans un scenario du réglage de démarrage à froid. Finalement, certaines stratégies pour améliorer la protection de la vie privée du système de recommandation sont introduites : la génération de bruit aléatoire est utilisée pour limiter les conséquences éventuelles d'une attaque lorsque l'on observe en permanence l'interaction entre l'agent côté client et le serveur, et une stratégie basée sur la liste noire est utilisée pour s’abstenir de révéler au serveur des interactions avec des articles que l'utilisateur considère comme pouvant transgresser sa vie privée. L'utilisation du modèle hybride atténue l'impact négatif que ces stratégies provoquent sur la performance prédictive des recommandations. / The main objective of this thesis is to propose a recommendation method that keeps in mind the privacy of users as well as the scalability of the system. To achieve this goal, an hybrid technique using content-based and collaborative filtering paradigms is used in order to attain an accurate model for recommendation, under the strain of mechanisms designed to keep user privacy, particularly designed to reduce the user exposure risk. The thesis contributions are threefold : First, a Collaborative Filtering model is defined by using client-side agent that interacts with public information about items kept on the recommender system side. Later, this model is extended into an hybrid approach for recommendation that includes a content-based strategy for content recommendation. Using a knowledge model based on keywords that describe the item domain, the hybrid approach increases the predictive performance of the models without much computational effort on the cold-start setting. Finally, some strategies to improve the recommender system's provided privacy are introduced: Random noise generation is used to limit the possible inferences an attacker can make when continually observing the interaction between the client-side agent and the server, and a blacklisted strategy is used to refrain the server from learning interactions that the user considers violate her privacy. The use of the hybrid model mitigates the negative impact these strategies cause on the predictive performance of the recommendations.

Systèmes de recommandation

Vie privée

Profil utilisateur

Recommender systems

Privacy

User profiling

Efficience du phosphore et innovation des engrais phosphatés / Phosphorus efficiency and innovation of phosphate fertilizers

Pluchon, Sylvain

17 September 2019

Ce mémoire de validation des acquis de l’expérience (VAE) s’inscrit dans le cadre d’une demande d’accès au diplôme de doctorat. Il s’organise autour de trois parties. La première est un bilan de parcours, la deuxième est une analyse des activités de recherche et la troisième est un bilan des productions scientifiques. Autour de nombreux exemples, il structure une analyse des acquis et des compétences. Dans le premier chapitre, le bilan de parcours s’appuie sur une analyse chronologique et catégorielle des activités (travaux de recherche, animation scientifique, encadrement, enseignement, etc.) aussi bien en recherche publique que privée. Il rend compte de nombreuses évolutions sensibles : évolution du positionnement à la recherche, spécialisation progressive des sujets d’étude, internationalisation croissante des échanges scientifiques, structuration du réseau partenarial, management d’équipe…Dans le deuxième chapitre, plusieurs travaux scientifiques sont présentés portant sur l’amélioration de l’efficience d’utilisation du phosphore selon diverses approches (complexation, solubilisation bactérienne, voie de signalisation, vectorisation de principes actifs et modélisation de diffusion…). Ces sujets de recherche s’organisent autour de la compréhension des processus, des mécanismes d’actions et des domaines de validité des solutions à destination du milieu agricole. Enfin, dans le troisième chapitre, les types de productions scientifiques (publications, brevets, autorisations de mise sur le marché, posters, communications, rapports d’expertise…) rendent compte de la trans / This manuscript is part of a process of recognition of acquired experience. It is organized around three parts. The first part is an assessment of the course, the second part is an analysis of the research activities and the third part is a review of the scientific productions. Around many examples, it structures an analysis of skills and competencies. In the first chapter, the assessment of the course is based on a chronological and categorical analysis of activities (research work, scientific animation, supervision, teaching, etc.) in both public and private research. It reports on many significant developments: evolution of positioning to research, progressive specialization of the subjects of study, increasing internationalization of scientific exchanges, structuring of the partnership network, team management ...In the second chapter, several scientific works are presented on the improvement of the efficiency of use of phosphorus according to various approaches (complexation, bacterial solubilization, signaling pathway, vectorization of active principles and diffusion modeling ...). These research topics are organized around the understanding of processes, mechanisms of action and areas of validity of solutions for the agricultural community. Finally, in the third chapter, the types of scientific productions (publications, patents, marketing authorizations, posters, communications, expert reports ...) reflect the transdisciplinary of the work, reveal the importance of protection strategies. intellectual property and concretize the complementary nature of the laborato

Nutrition phosphatée

Recherche publique

R&D privée

Phosphorus efficiency

Public research

Private R-D department

Analyse forensique de la mémoire des cartes à puce / Memory carving of smart cards memories

Gougeon, Thomas

04 October 2017

Dans notre monde toujours plus connecté, les cartes à puce sont impliquées quotidiennementdans nos activités, que ce soit pour le paiement, le transport, le contrôle d’accès ou encore la santé.Ces cartes contiennent des informations personnelles liées aux faits et gestes de leur possesseur.Le besoin d’interpréter les données contenues dans les mémoires de ces cartes n’a jamais été aussiimportant. Cependant, sans les spécifications de l’application, il est difficile de connaître quellesinformations sont stockées dans la carte, leur emplacement précis, ou encore l’encodage utilisé.L’objectif de cette thèse est de proposer une méthode qui retrouve les informations stockéesdans les mémoires non volatile des cartes à puce. Ces informations peuvent être des dates (e.g.,date de naissance, date d’un événement) ou des informations textuelles (e.g., nom, adresse). Pourretrouver ces informations, un décodage exhaustif des données à l’aide de différentes fonctions dedécodage est possible. Malheureusement, cette technique génère de nombreux faux positifs. Unfaux positif apparaı̂t lorsqu’une fonction de décodage est appliquée sur des données qui ont étéencodées avec une fonction différente. Cette thèse s’appuie alors sur trois contributions exploitantles spécificités des cartes à puce pour éliminer ces faux positifs. La première contribution identifie lesobjets cryptographiques dans les mémoires non volatiles des cartes à puce afin de ne pas effectuer ledécodage sur ces données. Les deux autres contributions retrouvent respectivement des informationstextuelles et des dates dans ces mémoires. Afin de valider ces méthodes, elles sont chacune appliquéessur 371 mémoires de cartes à puce de la vie réelle. / In our increasingly connected world, smart cards are involved in any everyday activity, and theygather and record plenty of personal data. The need to interpret the raw data of smart card memoryhas never been stronger. However, without the knowledge of the specifications, it is difficult toretrieve what are the information stored, their location, and the encoding used to store them.The objective of this thesis is to propose a method retrieving the stored information in thenon-volatile memory of smart cards. This information include dates (e.g., birth date or event date)and textual information (e.g., name, address). In order to retrieve these information, it is possibleto perform an exhaustive decoding of the data with several decoding functions. Unfortunately,this technique generates a lot of false positives. Indeed, a false positive occurs when a decodingfunction is applied to data that have been encoded with another function. This thesis proposesthree contributions exploiting smart cards specificities to eliminate the false positives. The firstcontribution identifies cryptographic material in these non-volatile memories in order to preventthe false positives generated by the decoding of these cryptographic objects. The two otherscontributions retrieve respectively textual information and dates in these memories. In order tovalidate these methods, they are applied on 371 memory dumps of real-life smart cards.

Forensique informatique

Cartes à puce

Vie privée

Digital forensics

Smart cards

Privacy

Personalising privacy contraints in Generalization-based Anonymization Models / Personnalisation de protection de la vie privée sur des modèles d'anonymisation basés sur des généralisations

Michel, Axel

08 April 2019

Les bénéfices engendrés par les études statistiques sur les données personnelles des individus sont nombreux, que ce soit dans le médical, l'énergie ou la gestion du trafic urbain pour n'en citer que quelques-uns. Les initiatives publiques de smart-disclosure et d'ouverture des données rendent ces études statistiques indispensables pour les institutions et industries tout autour du globe. Cependant, ces calculs peuvent exposer les données personnelles des individus, portant ainsi atteinte à leur vie privée. Les individus sont alors de plus en plus réticent à participer à des études statistiques malgré les protections garanties par les instituts. Pour retrouver la confiance des individus, il devient nécessaire de proposer dessolutions de user empowerment, c'est-à-dire permettre à chaque utilisateur de contrôler les paramètres de protection des données personnelles les concernant qui sont utilisées pour des calculs.Cette thèse développe donc un nouveau concept d'anonymisation personnalisé, basé sur la généralisation de données et sur le user empowerment.En premier lieu, ce manuscrit propose une nouvelle approche mettant en avant la personnalisation des protections de la vie privée par les individus, lors de calculs d'agrégation dans une base de données. De cette façon les individus peuvent fournir des données de précision variable, en fonction de leur perception du risque. De plus, nous utilisons une architecture décentralisée basée sur du matériel sécurisé assurant ainsi les garanties de respect de la vie privée tout au long des opérations d'agrégation.En deuxième lieu, ce manuscrit étudie la personnalisations des garanties d'anonymat lors de la publication de jeux de données anonymisés. Nous proposons l'adaptation d'heuristiques existantes ainsi qu'une nouvelle approche basée sur la programmation par contraintes. Des expérimentations ont été menées pour étudier l'impact d’une telle personnalisation sur la qualité des données. Les contraintes d’anonymat ont été construites et simulées de façon réaliste en se basant sur des résultats d'études sociologiques. / The benefit of performing Big data computations over individual’s microdata is manifold, in the medical, energy or transportation fields to cite only a few, and this interest is growing with the emergence of smart-disclosure initiatives around the world. However, these computations often expose microdata to privacy leakages, explaining the reluctance of individuals to participate in studies despite the privacy guarantees promised by statistical institutes. To regain indivuals’trust, it becomes essential to propose user empowerment solutions, that is to say allowing individuals to control the privacy parameter used to make computations over their microdata.This work proposes a novel concept of personalized anonymisation based on data generalization and user empowerment.Firstly, this manuscript proposes a novel approach to push personalized privacy guarantees in the processing of database queries so that individuals can disclose different amounts of information (i.e. data at different levels of accuracy) depending on their own perception of the risk. Moreover, we propose a decentralized computing infrastructure based on secure hardware enforcing these personalized privacy guarantees all along the query execution process.Secondly, this manuscript studies the personalization of anonymity guarantees when publishing data. We propose the adaptation of existing heuristics and a new approach based on constraint programming. Experiments have been done to show the impact of such personalization on the data quality. Individuals’privacy constraints have been built and realistically using social statistic studies

Big Data

Matériel sécurisé

Data privacy and security

Big Data

Secure Hardware

Les données personnelles et la propriété du soi / Personal data and self-ownership

Perbal, Bernard

12 December 2018

La progression fulgurante des sciences biologiques, dont les impacts sociétaux n’avaient peut être pas été suffisamment anticipés par le droit international, a créé des conflits conceptuels qu’il est souhaitable d’appréhender dans des débats constructifs respectueux de la richesse des différences individuelles, afin d’éviter des cloisonnements idéologiques qui ne seront d’aucun bénéfice pour l’Humanité. L’analyse des sources du concept de données personnelles et de l’évolution de son acception, renvoie au très long et difficile chemin parcouru depuis les premiers textes fondateurs européens jusqu’à la consécration de la notion de respect du droit à la vie privée que l’on doit à l’opiniâtreté de ses deux défenseurs qu’étaient Samuel Warren et Louis Brandeis, dont l’œuvre séminale a impacté le droit international dans son ensemble. Les données personnelles, maintenant identifiées à des data, sont devenues des ressources convoitées par les mondes de l’économie, du commerce électronique, de la biomédecine et de la criminologie. La dématérialisation des caractéristiques individuelles qui en a découlé a provoqué une immense vague de problèmes et différends relatifs aux modalités de collecte, traitement, diffusion et conservation de ces données, surtout quand elles concernaient des identifiants sensibles tels que les données génétiques. Les secrets de la vie et de l’hérédité s’ouvrent maintenant à un grand public souvent désarmé face aux entreprises qui souhaitent exploiter la richesse du soi intime des individus. Les potentialités nouvellement révélées du génie génétique humain, ont mis en exergue la faiblesse et l’inefficacité de textes juridiques et normatifs ayant mal vieilli qui conduisent à des clivages de principe rigides face à des technologies génétiques visant à améliorer le bien-être des peuples. Il est aujourd’hui nécessaire de dépassionner les débats et de redéfinir au plus tôt, sur des bases scientifiques objectives, le statut juridique des données génétiques et de l’information que leur exploitation peut livrer. / The dazzling growth of biological sciences, whose societal impacts might not have been well enough anticipated by the international law, has created conceptual conflicts that should be apprehended in constructive debates, respectful of the richness of individual differences, so as to avoid any ideological compartmentalization, which will be of no benefit to Humanity. The analysis of the roots of the concept of personal data and of the evolution of its acceptance, sends back to the very long and difficult journey from the very first European founding texts to the consecration of the right to privacy rooted in the obstinacy of its two defenders SW and LB whose seminal works have impacted international law as a whole. Personal information identified as data, has become coveted resources by the worlds of economy, electronic business, biomedicine and criminology. The dematerialization of individual characteristics brought with it an immense wave of issues and conflicts in relation with procedures of collection, processing, circulation and confidentiality of this type of data, especially when it dealt with sensitive identifiers such as genetic data. Technically unattainable until now, the secrets of life and heredity are currently being offered to the general public, who often finds itself powerless when facing companies willing to exploit the richness of their intimate self. The newly revealed potentialities of human genetic engineering, has put forth the weakness and inefficiencies of outdated legal and normative texts which, because of their inadequacy to societal evolution, lead to rigid divisions of principles before genetic technologies who aspire to take advantage of the understanding of genomes in order to improve the well being of people. It is necessary, today, to remove any passionate feeling to temper emotional debates by redefining, as soon as possible, the legal status of genetic data and the information that their exploitation can deliver.

Vie privée

Données personnelles

Criminalistique

Private life

Personal data

Forensic sciences

Nouvelles méthodes pour l'étude de la densité des foules en vidéo surveillance / New insights into crowd density analysis in video surveillance systems

Fradi, Hajer

28 January 2014

Désormais, l'analyse des scènes denses s'impose incontestablement comme une tâche importante pour contrôler et gérer les foules. Notre recherche a pour objectifs d'apporter des solutions à l'estimation de la densité de la foule et de prouver l'utilité de cette estimation comme préalable pour d'autres applications. Concernant le premier objectif, afin de cerner les difficultés de la détection de personnes dans une foule, on se focalise sur l'estimation de la densité basée sur un niveau d'analyse bas. Dans un premier temps, on démontre que nos approches sont plus adéquates que les méthodes de l’état de l’art que ce soit pour compter les individus ou pour estimer le niveau de la foule. Dans un second temps, nous proposons une approche innovante dans laquelle une estimation locale au niveau des pixels remplace l'estimation au niveau global de la foule ou le nombre des personnes. Elle est basée sur l’utilisation des suivis de caractéristiques visuelles dans une fonction de densité. Notre recherche a également pour objectif d'utiliser la densité comme information supplémentaire pour affiner d'autres tâches. D'abord, nous avons utilisé la mesure de la densité qui comporte une description pertinente à la répartition spatiale des individus afin d'améliorer leur détection et leur suivi dans les foules. Ensuite, en prenant en compte la notion de la protection de la vie privée, nous ajustons le niveau de floutage en fonction de la densité de la foule. Enfin, nous nous appuyons sur l’estimation locale de la densité ainsi que sur le mouvement en tant qu'attributs pour des applications de haut niveau telles que la détection des évolutions et la reconnaissance des événements. / Crowd analysis has recently emerged as an increasingly important problem for crowd monitoring and management in the visual surveillance community. In this thesis, our objectives are to address the problems of crowd density estimation and to investigate the usefulness of such estimation as additional information to other applications. Towards the first goal, we focus on the problems related to the estimation of the crowd density using low level features in order to avert typical problems in detection of high density crowd. We demonstrate in this dissertation, that the proposed approaches perform better than the baseline methods, either for counting people, or alternatively for estimating the crowd level. Afterwards, we propose a novel approach, in which local information at the pixel level substitutes the overall crowd level or person count. It is based on modeling time-varying dynamics of the crowd density using sparse feature tracks as observations of a probabilistic density function. The second goal is to use crowd density as additional information to complement other tasks related to video surveillance in crowds. First, we use the proposed crowd density measure which conveys rich information about the local distributions of persons to improve human detection and tracking in videos of high density crowds. Second, we investigate the concept of crowd context-aware privacy protection by adjusting the obfuscation level according to the crowd density. Finally, we employ additional information about the local density together with regular motion patterns as crowd attributes for high level applications such as crowd change detection and event recognition.

Videosurveillance

Comptage

Comportement

Densité de la foule

Détection

Vie privée

Video surveillance

Counting

Behaviour

Crowd density

Detection

Privacy

Vers une politique publique de la sécurité privée?Réguler la sécurité privée (1983-2014) / Towards a Public Policy for Private Security?Sociological analysis of the reform of the regulation of private security (1983-2014)

Paulin, Cédric

15 November 2017

La création, en 2011-2012, du Conseil national des activités privées de sécurité (CNAPS), nouvelle agence parapublique chargée de la régulation et du contrôle de la sécurité privée réglementée, a été perçue, tant par les professionnels du secteur que par les autorités publiques et même politiques (« révolution du secteur trente ans après la loi de 1983 »), comme une réforme fondamentale répondant aux évolutions de la sécurité privée. Cette réforme, qui intervient 30 ans après la première loi, celle du 12 juillet 1983, dite fondatrice en matière de sécurité privée, n’en est-elle qu’un lointain avenant ? Elle nécessite de réinterroger, après les avoir d’abord construites, les deux termes de l’articulation entre l’Etat et la sécurité privée, à savoir la régulation de la sécurité privée et la coproduction public/privé de la sécurité, jusqu’à poser la question de l’existence d’une politique publique de la sécurité privée.Associée à la création de la Délégation interministérielle à la sécurité privée (DISP) en 2010, devenue Délégation aux coopérations de sécurité en 2014, la question du sens et de la portée de ces évolutions administratives se pose : pourquoi et comment l’Etat en est-il arrivé à mettre en place une nouvelle régulation de la sécurité privée ? Comment qualifier et caractériser cette « régulation » ? Quelle est sa nature et quels sont les premiers résultats ?Dans le cadre de l’analyse cognitive de l’action publique, le registre de la traduction sera un outil théorique utile pour comprendre les modalités d’avancée de ces réformes.Un prologue définissant la place du chercheur dans l’objet d’étude et un épilogue dépassant la chronologie de l’étude (post-2014) contextualisent un peu plus largement, enfin, cette analyse sociologique de l’action publique. / The creation, in 2011-2012, of the National Council for Private Security Activities (CNAPS), a new parastatal agency in charge of regulating and controlling regulated private security, was perceived by professionals in the sector and By public and even political authorities ("the sector revolution thirty years after the 1983 Act"), as a fundamental reform for all the problems of the private security sector.Associated with the creation of the Interministerial Delegation for Private Security (DISP) in 2010, which became the Delegation for Security Cooperation in 2014, the question of the meaning and scope of these administrative developments arises: why and how the State managed to set up a new law enforcement for private security? How to describe and characterize this “law enforcement”? Which is its nature and what are the first results?The translation register, in a cognitive approach to public policy, will be a useful theoretical tool to understand the modalities of progress of these reforms.Is this reform, which takes place 30 years after the first law of 12 July 1983, the so-called founder in the field of private security, a distant endorsement? It needs to re-examine, after first constructing them, the two terms of the articulation between the State and private security, namely the public control of private security and public / private co-production of security up to raise the question of the existence of a public policy on private security.A prologue defining the place of the researcher in the object of study and an epilogue emerging from the chronology of the object (post-2014) contextualize a little more broadly, finally, this sociological analysis of public action.

Sécurité privée

Agence

Régulation

Cnaps

Private Security

Agency

Regulation

Cnaps

363.1

Vérification automatique de la protection de la vie privée : entre théorie et pratique / Automated Verification of Privacy in Security Protocols : Back and Forth Between Theory & Practice

Hirschi, Lucca

21 April 2017

La société de l’information dans laquelle nous vivons repose notamment sur notre capacité à échanger des informations de façon sécurisée. Ces échanges sécurisés sont réalisés au moyen de protocoles cryptographiques. Ils explicitent comment les différents agents communicants doivent se comporter et exploitent des primitives cryptographiques (e.g. chiffrement, signature) pour protéger les échanges. Étant donné leur prédominance et leur importance, il est crucial de s’assurer que ces protocoles accomplissent réellement leurs objectifs. Parmi ces objectifs, on trouve de plus en plus de propriétés en lien avec la vie privée (e.g. anonymat, non-traçabilité). Malheureusement, les protocoles développés et déployés souffrent souvent de défauts de conception entraînant un cycle interminable entre découverte d’attaques et amélioration des protocoles.Pour en sortir, nous prônons l’analyse mécanisée de ces protocoles par des méthodes formelles qui, via leurs fondements mathématiques, permettent une analyse rigoureuse apportant des garanties fortes sur la sécurité attendue. Parmi celles-ci, la vérification dans le modèle symbolique offre de grandes opportunités d’automatisation. La plupart des propriétés en lien avec la vie privée sont alors modélisées par l’équivalence entre deux systèmes. Toutefois, vérifier cette équivalence est indécidable dans le cas général. Deux approches ont alors émergé. Premièrement, pour un nombre borné de sessions d’un protocole, il est possible de symboliquement explorer toutes ses exécutions possibles et d’en déduire des procédures de décision pour l’équivalence. Deuxièmement, il existe des méthodes de semi-décision du problème dans le cas général qui exploitent des abstractions, notamment en considérant une forme forte d’équivalence.Nous avons identifié un problème majeur pour chacune des deux méthodes de l’état de l’art qui limitent grandement leur impact en pratique. Premièrement, les méthodes et outils qui explorent symboliquement les exécutions souffrent de l’explosion combinatoire du nombre d’états, causée par la nature concurrente des systèmes étudiés. Deuxièmenent, dans le cas non borné, la forme forte d’équivalence considérée se trouve être trop imprécise pour vérifier certaines propriétés telle que la non traçabilité, rendant cette approche inopérante pour ces propriétés.Dans cette thèse, nous proposons une solution à chacun des problèmes. Ces solutions prennent la forme de contributions théoriques, mais nous nous efforçons de les mettre en pratique via des implémentations afin de confirmer leurs impacts pratiques qui se révèlent importants.Tout d’abord, nous développons des méthodes de réduction d’ordres partiels pour réduire drastiquement le nombre d’états à explorer tout en s’assurant que l’on ne perd pas d’attaques. Nos méthodes sont conçues pour le cadre exigeant de la sécurité et sont prouvées correctes et complètes vis-à-vis de l’équivalence. Nous montrons comment elles peuvent s’intégrer naturellement dans les outils existants. Nous prouvons la correction de cette intégration dans un outil et proposons une implémentation complète. Finalement, nous mesurons le gain significatif en efficacité ainsi obtenu et nous en déduisons que nos méthodes permettent l’analyse d’un plus grand nombre de protocoles.Ensuite, pour résoudre le problème de précision dans le cas non-borné, nous proposons une nouvelle démarche qui consiste à assurer la vie privée via des conditions suffisantes. Nous définissons deux propriétés qui impliquent systématiquement la non-traçabilité et l’anonymat et qui sont facilement vérifiables via les outils existants (e.g. ProVerif). Nous avons implémenté un nouvel outil qui met en pratique cette méthode résolvant le problème de précision de l’état de l’art pour une large classe de protocoles. Cette nouvelle approche a permis les premières analyses de plusieurs protocoles industriels incluant des protocoles largement déployés, ainsi que la découverte de nouvelles attaques. / The information society we belong to heavily relies on secure information exchanges. To exchange information securely, one should use security protocols that specify how communicating agents should behave notably by using cryptographic primitives (e.g. encryption, signature). Given their ubiquitous and critical nature, we need to reach an extremely high level of confidence that they actually meet their goals. Those goals can be various and depend on the usage context but, more and more often, they include privacy properties (e.g. anonymity, unlinkability). Unfortunately, designed and deployed security protocols are often flawed and critical attacks are regularly disclosed, even on protocols of utmost importance, leading to the never-ending cycle between attack and fix.To break the present stalemate, we advocate the use of formal methods providing rigorous, mathematical frameworks and techniques to analyse security protocols. One such method allowing for a very high level of automation consists in analysing security protocols in the symbolic model and modelling privacy properties as equivalences between two systems. Unfortunately, deciding such equivalences is actually undecidable in the general case. To circumvent undecidability, two main approaches have emerged. First, for a bounded number of agents and sessions of the security protocol to analyse, it is possible to symbolically explore all possible executions yielding decision procedures for equivalence between systems. Second, for the general case, one can semi-decide the problem leveraging dedicated abstractions, notably relying on a strong form of equivalence (i.e. diff-equivalence).The two approaches, i.e. decision for the bounded case or semi-decision for the unbounded case, suffer from two different problems that significantly limit their practical impact. First, (symbolically) exploring all possible executions leads to the so-called states space explosion problem caused by the concurrency nature of security protocols. Concerning the unbounded case, diff-equivalence is actually too imprecise to meaningfully analyse some privacy properties such as unlinkability, nullifying methods and tools relying on it for such cases.In the present thesis, we address those two problems, going back and forth between theory and practice. Practical aspects motivate our work but our solutions actually take the form of theoretical developments. Moreover, we make the effort to confirm practical relevance of our solutions by putting them into practice (implementations) on real-world case studies (analysis of real-world security protocols).First, we have developed new partial order reduction techniques in order to dramatically reduce the number of states to explore without loosing any attack. We design them to be compatible with equivalence verification and such that they can be nicely integrated in frameworks on which existing procedures and tools are based. We formally prove the soundness of such an integration in a tool and provide a full implementation. We are thus able to provide benchmarks showing dramatic speedups brought by our techniques and conclude that more protocols can henceforth be analysed.Second, to solve the precision issue for the unbounded case, we propose a new methodology based on the idea to ensure privacy via sufficient conditions. We present two conditions that always imply unlinkability and anonymity that can be verified using existing tools (e.g. ProVerif). We implement a tool that puts this methodology into practice, hence solving the precision issue for a large class of protocols. This novel approach allows us to conduct the first formal analysis of some real-world protocols (some of them being widely deployed) and the discovery of novel attacks.

Vérification

Protocoles de sécurité

Vie privée

Méthodes formelles

Cryptographie

Verification

Security protocols

Privacy

Formal methods