Privacy preservation in internet of things : a game theory based approach / Protection de la vie privée dans internet des objets : une approche basée théorie des jeux

Riahi Sfar, Arbia

16 November 2017

La question de sécurité a toujours constitué un défi pour les chercheurs dans le domaine des réseaux de communication. L’apparition de nouveaux paradigmes, applications et des technologies d’un côté ; l’ubiquité et l’hétérogénéité des entités communicantes d’un autre côté, ont induit des problèmes de sécurité très complexes. Les préjudices engendrés sur la vie privée des utilisateurs peuvent être irréparables. D’abord, nous avons proposé une approche systémique et cognitive permettant d’inclure les aspects de sécurité d’Internet des Objets (IdO) dans un cadre cohérent. Comparé à l’approche analytique, elle peut manquer de rigueur théorique, mais reste flexible et utilisable dans la prise de décision dans l’environnement ubiquitaire d’IdO. Ensuite, nous avons défini des questions liées aux menaces accidentelles ou intentionnelles, pouvant arriver en cas de compromission de données privées échangées. La caractérisation du problème a eu lieu en étudiant les concepts fondamentaux dans IdO et les travaux de recherche effectués dans le contexte de la sécurité. En examinant les différents travaux de recherche, nous avons constaté que plusieurs solutions classiques restent applicables de point de vue sécurité mais sont limitées par des contraintes d’énergie, de mémoire et de capacité de calcul. Pour y remédier, nous avons visé à construire une réponse pragmatique en utilisant la théorie des jeux. L’avantage de cette approche réside dans ses bases mathématiques et formelles solides permettant d’atteindre les meilleurs équilibres. Après, nous avons justifié analytiquement nos choix portant sur des éléments essentiels de notre système, leurs interactions et leurs objectifs. Nous avons utilisé un calcul probabiliste basé sur un processus Markovien. Dans notre approche, nous avons défini trois scénarios différents (e-santé, commerce et transport intelligent), deux acteurs principaux (DH : Data Holder, et DR : Data Requester), ayant des comportements de types différents (trusted-regular, trusted-curious, untrusted-curious et untrusted-malicious), et un ensemble de stratégies dépendant de quatre paramètres (moyens de communication, détection d’attaque, motivation financière, et concession sur les données privées). Enfin, nous avons montré l’existence d’un équilibre du jeu avec une valeur de motivation financière et un niveau de protection des données privées satisfaisants, et en calculant les probabilités correspondantes. Nous avons validé notre modèle en obtenant des résultats numériques conformes à ceux tirés du modèle théorique. / Security questions have always constituted a research challenge in the field of communication networks. The appearance of new paradigms, concepts, applications and technologies from one hand, and the ubiquity and the heterogeneity of the communicating entities from another hand, led to new complex problems of security. In some cases, the damages caused to the private life of every user can be irreparable. First, we propose a systemic and cognitive approach to include all Internet of Things (henceforth IoT) security aspects in a coherent framework. Compared to the analytic approach, our vision may lack theoretical rigor, but remains a flexible approach that may be required during decision making in ubiquitous environment. Next, we identify precise questions related to accidental or intentional threats, which may lead to private data breach during their exchange over networks. Then, we characterize the privacy problem by studying the fundamental concepts of IoT and the research activities related to security. By examining the related research work, it has been noticed that several classical solutions remain applicable but are limited by energy constraints, memory space, and calculation capacities. To overcome this problem, we propose a logical and controllable solution based on game theory approach. The advantage of this choice resides in its solid mathematical and formal basis. Then, we analytically explain the choice of the main system components, their interactions and their objectives. We used a probabilistic approach using a Markovian process, where we define three different application scenarios (e-health, trade and intelligent transport), two main actors (private data owner and requester) with different player’s types (trusted-regular, trusted-curious, untrusted-curious and untrusted-malicious), and a set of strategies depending on communication facilities, attack detection, incentive motivation and privacy concession. Finally, we evaluate the model by demonstrating the existence of an equilibrium solution with a satisfactory value of incentive motivation and data privacy concession, and by calculating the final state probabilities. We validate the proposed model through numerical results obtained from the theoretical model.

Chaînes de Markov

Protection de la vie privée

Internet of things

Privacy

Game theory

Markov chains

Les scènes de l'intimité domestique dans les arts figurés en France (1780-1815) / Scenes of privacy in french figurative arts (1780-1815)

Lanno, Dorothée

10 November 2017

Cette thèse s’attache à étudier les représentations de la vie intime, réalisées dans des techniques et sur des supports variés (peinture, dessin, gravure), entre 1780 et 1815. À cette période, l’intimité connaît une évolution sémantique et une utilisation plus développée : d’une acception limitée à la définition des liens entre deux individus, progressivement sa signification prend une tournure secrète, et s’étend à tout ce que nous ne dévoilons qu’à un cercle réduit d’individus – qu’il s’agisse du for intérieur, des sentiments affectifs ou encore de la sexualité. Ces changements sémantiques sont accompagnés d’une évolution des pratiques domestiques, culturelles et littéraires qui corroborent l’idée d’une période décisive dans l’histoire de l’intimité. Ce travail analyse ainsi les différentes manières de figurer l’intimité, et interroge en outre la destination et la réception des œuvres, afin de comprendre ce que nous révèle la démonstration de l’intimité sur les mœurs de la société française au tournant du XIXe siècle. L’examen de différents modes de diffusion et d’exposition des images, ainsi que le dépouillement des témoignages écrits offerts par la critique permettent de cerner les goûts du public et d’avoir une idée sur la place qui était accordée à ces images, dans les expositions publiques et dans les collections privées. / This thesis examines the representations of private life, made with diverse technics and mediums (painting, drawing, engraving), between 1780 and 1815. At this time, intimacy shows an evolution in its semantic and its usage : from a limited meaning to the definition of the relationship between two individuals, gradually its signification approaches the notion of secrecy, and extends to everything we reveal only to small cercles of persons, to our heart of hearts, our emotional feelings, or sexuality. These semantic shifts come along a domestic, cultural and literary evolution, which support the idea of a decisive time period in the history of privacy. Therefore this work analyses the different ways of representing intimacy and questions whom those works of art were destined to and how they were received, in order to understand the habits and customs of the french society at the turning point of the 19th century. The study of the various methods of exhibiting the pictures as well as the analyse of the writing accounts of the art critics help to more fully understand the taste of the audience and the place the pictures had in the public expositions and in the private collections.

Portrait

Genre

Vie privée

Sentiment

Émotion

Portrait

Genre

Private life

Feeling

Emotion

700.4

704.9

A formal model for accountability / Un modèle formel pour la responsabilisation

Benghabrit, Walid

27 October 2017

Nous assistons à la démocratisation des services ducloud et de plus en plus d’utilisateurs (individuels ouentreprises) utilisent ces services dans la vie de tous lesjours. Dans ces scénarios, les données personnellestransitent généralement entre plusieurs entités.L’utilisateur final se doit d’être informé de la collecte, dutraitement et de la rétention de ses donnéespersonnelles, mais il doit aussi pouvoir tenir pourresponsable le fournisseur de service en cas d’atteinte àsa vie privée. La responsabilisation (ou accountability)désigne le fait qu’un système ou une personne estresponsable de ses actes et de leurs conséquences.Dans cette thèse nous présentons un framework deresponsabilisation AccLab qui permet de prendre enconsidération la responsabilisation dès la phase deconception d’un système jusqu’à son implémentation.Afin de réconcilier le monde juridique et le mondeinformatique, nous avons développé un langage dédiénommé AAL permettant d’écrire des obligations et despolitiques de responsabilisation. Ce langage est basé surune logique formelle FOTL ce qui permet de vérifier lacohérence des politiques de responsabilisation ainsi quela compatibilité entre deux politiques. Les politiques sontensuite traduites en une logique temporelle distribuéeque nous avons nommée FO-DTL 3, cette dernière estassociée à une technique de monitorage basée sur laréécriture de formules. Enfin nous avons développé unoutil monitorage appelé AccMon qui fournit des moyensde surveiller les politiques de responsabilisation dans lecontexte d’un système réel. Les politiques sont fondéessur la logique FO-DTL 3 et le framework peut agir enmode centralisée ou distribuée et fonctionne à la fois enligne et hors ligne. / Nowadays we are witnessing the democratization ofcloud services. As a result, more and more end-users(individuals and businesses) are using these services intheir daily life. In such scenarios, personal data isgenerally flowed between several entities. End-usersneed to be aware of the management, processing,storage and retention of personal data, and to havenecessary means to hold service providers accountablefor the use of their data. In this thesis we present anaccountability framework called AccountabilityLaboratory (AccLab) that allows to consideraccountability from design time to implementation time ofa system. In order to reconcile the legal world and thecomputer science world, we developed a language calledAbstract Accountability Language (AAL) that allows towrite obligations and accountability policies. Thislanguage is based on a formal logic called First OrderLinear Temporal Logic (FOTL) which allows to check thecoherence of the accountability policies and thecompliance between two policies. These policies aretranslated into a temporal logic called FO-DTL 3, which isassociated with a monitoring technique based on formularewriting. Finally, we developed a monitoring tool calledAccountability Monitoring (AccMon) which providesmeans to monitor accountability policies in the context ofa real system. These policies are based on FO-DTL 3logic and the framework can act in both centralized anddistributed modes and can run into on-line and off-linemodes.

Responsabilisation

Sécurité

Vie privée

Logique temporelle

Vérification

Monitorage

Accountability

Security

Privacy

Temporal logic

Verification

Monitoring

La gouvernance d'entreprise face au respect de la vie privée des salariés / The governance of company in front of respect for private life of the employees

Athea, Valene

16 December 2015

La notion de gouvernance semble recouvrir des thèmes proches du terme «gouverner», de la prise de décision et de l’évaluation.La gouvernance d’entreprise propose une nouvelle conception du processus de décision, accordant toute sa place à la concertation entre les parties prenantes. Le délégué syndical intervient dans ce sens, en effet, il a une mission de revendication (par exemple concernant la hausse des salaires), il est l’interlocuteur du syndicat auprès de l’employeur, il négocie avec ce dernier les normes de l’entreprise (accords et conventions collectives)Encadrée par des lois assurant l'indispensable transparence, la gouvernance d'entreprise serait théoriquement le moyen d'assurer au mieux les intérêts multiples des acteurs concernés (salariés et employeurs).C’est la raison pour laquelle il parait opportun de faire un parallèle entre l’exercice de la gouvernance d’entreprise par les acteurs concernés et le respect de la vie privée des salariés.Ce parallèle entre vie privée et gouvernance de l’entreprise a notamment été mis en exergue avec l’affaire Novartis (6 octobre 2004).L’entreprise Novartis a mis en place en 1999 un code de bonne conduite pour rappeler certains principes éthiques, seulement ce texte a été complété en juillet 2004 par de surprenantes dispositions jugées attentatoires à la vie privée des salariés par le Tribunal de Nanterre. Ce code de conduite demande notamment aux salariés de Novartis " qu'ils consacrent tout leur temps et toute leur attention au travail de Novartis pendant les heures de travail habituelles... Le temps requis pour une occupation extérieure peut générer une baisse de la productivité ". En outre, le groupe estime que "le temps requis pour une occupation extérieure, qu'elle soit de type gouvernemental, politique ou bénévole, peut générer une baisse de la productivité et de l'efficacité d'un collaborateur créant ainsi un conflit d'intérêts" Aussi Novartis exige également " une autorisation préalable " de la direction pour ce type d'activités.Le tribunal des référés de Nanterre va rendre une décision qui va porter en outre sur le fond en jugeant que ces " alinéas sont susceptibles de nuire à la santé mentale des salariés et portent atteinte à la vie privée ".La direction ne fera finalement pas appel et soumettra au Comité de groupe ainsi qu'au comité d’hygiène, de sécurité et des conditions de travail une nouvelle version de son code éthique.La gouvernance d’entreprise peut donc être limitée par le respect de la vie privée des salariés.La vie privée est l'ensemble des activités d'une personne qui relève de son intimité par opposition à la vie publique.Il parait plus juste de mentionner un "droit à l'intimité de la vie privée".En effet, il s’agit d’un droit fondamental, proclamé par la loi, inscrit dans la déclaration des droits de l'homme de 1948 (article 12), la Convention européenne des Droits de l’Homme et des libertés fondamentales (article 8), à l’article 9 du Code civil et à l’article 226-1 du Code Pénal.Les composantes de la vie privée n'ont pas fait l'objet d'une définition ou d'une énumération limitative afin d'éviter de limiter la protection aux seules prévisions légales. Les tribunaux ont appliqué le principe de cette protection, au droit à la vie sentimentale et à la vie familiale, au secret relatif à la santé, au secret de la résidence et du domicile, et au droit à l'image. Par ailleurs, il convient de préciser que c’est le contrat de travail qui détermine les règles, obligations et devoirs de chacune des parties (l’employeur et le salarié), il ne peut concerner que le temps passé au travail.Des circonstances extérieures à la vie professionnelle et tenant à la vie privée du salarié ne peuvent être prises en considération, sauf si elles affectent la relation salariale. / The notion of governance seems to cover themes close to the term "to govern", of the grip of decision and the evaluation.It represents all the organs and the rules of decision, information (transparency) and supervision allowing the legal successors and the partners of a company, to see their respected interests and their voices in the functioning of this one.The governance of company proposes a new conception of the process of decision, granting all its place to the dialogue between the stakeholders.The union representative intervenes in this sense, indeed, he has a mission of claiming (for example concerning the increase in salaries), he is the interlocutor of the labor union(syndicate) with the employer, he negotiates with the latter the standards of the company (agreements and collective labor agreements)Framed by laws assuring the essential transparency, the governance of company would be in theory the way to assure at best the multiple interests of the actors concerned (employees and employers).It is the reason why it seemed convenient to draw a parallel between the exercise of the governance of company by the concerned actors and the respect for private life of the employees.The governance of company can be limited by the respect for private life of the employees.It is about a fundamental law, proclaimed by the law, registered in the bill of rights of 1948 (article 12), the European Convention on Human Rights and fundamental liberties (article 8), on the article 9 of the Civil code and on the article 226-1 of the Penal code.The components of the private life were not the object of a definition or a restrictive enumeration to avoid limiting the protection to the only legal forecasts. The courts applied the principle of this protection, in the right to life sentimental and in the family life, in the secret concerning the health, concerning the secret of the residence and the place of residence, and concerning the right(law) for the image.

Gouvernance d'entreprise

Salariés

Vie privée

Governance of company

Employees

Private life

340

Réputation et respect de la vie privée dans les réseaux dynamiques auto-organisés / Reputation and privacy preservation in dynamic auto-organized networks

Lajoie-Mazenc, Paul

25 September 2015

Les mécanismes de réputation sont des outils très utiles pour inciter des utilisateurs ne se connaissant pas à se faire confiance, en récompensant les bons comportements et, inversement, en pénalisant les mauvais. Cependant, pour que la réputation des fournisseurs de service soit précise et robuste aux attaques, les mécanismes de réputation existants requièrent de nombreuses informations qui menacent la vie privée des utilisateurs; par exemple, il est parfois possible de traquer les interactions effectuées par les clients. Des mécanismes de réputation préservant aussi bien la vie privée des clients que celle des fournisseurs sont donc apparus pour empêcher de telles attaques. Néanmoins, pour garantir des propriétés fortes de vie privée, ces mécanismes ont dû proposer des scores de réputation imprécis, notamment en ne permettant pas aux clients de témoigner de leurs interactions négatives.Dans cette thèse, nous proposons un nouveau mécanisme de réputation distribué préservant la vie privée, tout en permettant aux clients d'émettre des témoignages négatifs. Une telle construction est possible grâce à des outils issus des systèmes distribués -- des tierces parties distribuées qui permettent de distribuer la confiance et de tolérer des comportements malveillants -- et de la cryptographie -- par exemple des preuves de connaissance à divulgation nulle de connaissance ou des signatures proxy anonymes. Nous prouvons de plus que ce mécanisme garantit les propriétés de vie privée et de sécurité nécessaires, et montrons par des analyses théoriques et pratiques que ce mécanisme est utilisable. / Reputation mechanisms are very powerful mechanisms to foster trust between unknown users, by rewarding good behaviors and punishing bad ones. Reputation mechanisms must guarantee that the computed reputation scores are precise and robust against attacks; to guarantee such properties, existing mechanisms require information that jeopardize users' privacy: for instance, clients' interactions might be tracked. Privacy-preserving reputation mechanisms have thus been proposed, protecting both clients' privacy and the providers' one. However, to guarantee strong privacy properties, these mechanisms provide imprecise reputation scores, particularly by preventing clients to testify about their negative interactions. In this thesis, we propose a new distributed privacy-preserving reputation mechanism allowing clients to issue positive as well as negative feedback. Such a construction is made possible thanks to tools from the distributed systems community -- distributed third parties that allow for a distribution of trust and that tolerate malicious behaviors -- as well as from the cryptographic one -- for instance zero-knowledge proofs of knowledge or anonymous proxy signatures. Furthermore, we prove that our mechanism guarantees the required privacy and security properties, and we show with theoretical and practical analysis that this mechanism is usable.

Réputation

Vie privée

Cryptographie appliquée

Systèmes distribués

Reputation

Privacy

Applied cryptography

Distributed systems

Le droit des données personnelles : une police administrative spéciale / Data law : a "police administrative spéciale"

Ochoa, Nicolas

08 December 2014

L’objet de ce travail est de démontrer que le droit des données personnelles ne se réduit pas au droit à la protection des données personnelles. En effet, il existe une thèse dominante au terme de laquelle le droit des données personnelles a pour objet exclusif la protection de la personne fichée et constitue, en tant que tel, un élément de la protection de la vie privée.Or, une telle lecture procède d’une isolation clinique de certaines dispositions essentielles au sein des instruments relatifs aux données personnelles. Le droit positif invalide cette thèse et révèle que ces normes poursuivent deux enjeux distincts. Le premier tient effectivement à la protection de la personne fichée et a à ce titre été isolé au sein d’un droit à la protection des données personnelles en droit de l’Union européenne. Le second tient dans l’usage sans entraves de l’informatique et implique la liberté de traiter des données personnelles. Au sein des instruments juridiques relatifs aux données personnelles, ces deux intérêts ne constituent pas deux objectifs de rang et d’intérêt égal juxtaposés l’un à côté de l’autre. Ils sont articulés et hiérarchisés. Le but premier de ces instruments est de garantir la liberté de traitement des données personnelles en tant qu’elle conditionne la liberté de l’usage de procédés informatiques. La protection des droits et libertés fondamentales des personnes fichées n’en constitue que la limite, étroitement subordonnée et circonscrite à ce but principal.De ce constat, il est possible de déduire que les instruments juridiques relatifs aux données personnelles constituent une même police administrative spéciale. Cette police a pour but de consacrer et d’aménager une liberté publique à ce jour innommée : la liberté de traitement des données personnelles. Elle a pour effet et non pour objet de protéger la personne fichée, non pas seulement parce que cette dernière serait titulaire d’un droit fondamental mais aussi et surtout au titre de la protection d’un ordre public spécial. / Data law cannot be reduced to data protection law. Data law instruments have two purposes. The main one is not data protection but the organization of the freedom of data treatment. Data protection is just the limit to this main purpose and cannot be thought in an independent manner.

Droit des données personnelles

Liberté de l'informatique

Vie privée

CNIL

Société de l'information

Data law

Private life

342.085

Passage à l’échelle des systèmes de recommandation avec respect de la vie privée / Privacy-enabled scalable recommender systems

Moreno Barbosa, Andrés Dario

10 December 2014

L'objectif principal de la thèse est de proposer une méthode de recommandation prenant en compte la vie privée des utilisateurs ainsi que l'évolutivité du système. Pour atteindre cet objectif, une technique hybride basée sur le filtrage par contenu et le filtrage collaboratif est utilisée pour atteindre un modèle précis de recommandation, sous la pression des mécanismes visant à maintenir la vie privée des utilisateurs. Les contributions de la thèse sont trois : Tout d'abord, un modèle de filtrage collaboratif est défini en utilisant agent côté client qui interagit avec l'information sur les éléments, cette information est stockée du côté du système de recommandation. Ce modèle est augmenté d’un modèle hybride qui comprend une stratégie basée sur le filtrage par contenu. En utilisant un modèle de la connaissance basée sur des mots clés qui décrivent le domaine de l'article filtré, l'approche hybride augmente la performance de prédiction des modèles sans élever l’effort de calcul, dans un scenario du réglage de démarrage à froid. Finalement, certaines stratégies pour améliorer la protection de la vie privée du système de recommandation sont introduites : la génération de bruit aléatoire est utilisée pour limiter les conséquences éventuelles d'une attaque lorsque l'on observe en permanence l'interaction entre l'agent côté client et le serveur, et une stratégie basée sur la liste noire est utilisée pour s’abstenir de révéler au serveur des interactions avec des articles que l'utilisateur considère comme pouvant transgresser sa vie privée. L'utilisation du modèle hybride atténue l'impact négatif que ces stratégies provoquent sur la performance prédictive des recommandations. / The main objective of this thesis is to propose a recommendation method that keeps in mind the privacy of users as well as the scalability of the system. To achieve this goal, an hybrid technique using content-based and collaborative filtering paradigms is used in order to attain an accurate model for recommendation, under the strain of mechanisms designed to keep user privacy, particularly designed to reduce the user exposure risk. The thesis contributions are threefold : First, a Collaborative Filtering model is defined by using client-side agent that interacts with public information about items kept on the recommender system side. Later, this model is extended into an hybrid approach for recommendation that includes a content-based strategy for content recommendation. Using a knowledge model based on keywords that describe the item domain, the hybrid approach increases the predictive performance of the models without much computational effort on the cold-start setting. Finally, some strategies to improve the recommender system's provided privacy are introduced: Random noise generation is used to limit the possible inferences an attacker can make when continually observing the interaction between the client-side agent and the server, and a blacklisted strategy is used to refrain the server from learning interactions that the user considers violate her privacy. The use of the hybrid model mitigates the negative impact these strategies cause on the predictive performance of the recommendations.

Systèmes de recommandation

Vie privée

Profil utilisateur

Recommender systems

Privacy

User profiling

Analyse forensique de la mémoire des cartes à puce / Memory carving of smart cards memories

Gougeon, Thomas

04 October 2017

Dans notre monde toujours plus connecté, les cartes à puce sont impliquées quotidiennementdans nos activités, que ce soit pour le paiement, le transport, le contrôle d’accès ou encore la santé.Ces cartes contiennent des informations personnelles liées aux faits et gestes de leur possesseur.Le besoin d’interpréter les données contenues dans les mémoires de ces cartes n’a jamais été aussiimportant. Cependant, sans les spécifications de l’application, il est difficile de connaître quellesinformations sont stockées dans la carte, leur emplacement précis, ou encore l’encodage utilisé.L’objectif de cette thèse est de proposer une méthode qui retrouve les informations stockéesdans les mémoires non volatile des cartes à puce. Ces informations peuvent être des dates (e.g.,date de naissance, date d’un événement) ou des informations textuelles (e.g., nom, adresse). Pourretrouver ces informations, un décodage exhaustif des données à l’aide de différentes fonctions dedécodage est possible. Malheureusement, cette technique génère de nombreux faux positifs. Unfaux positif apparaı̂t lorsqu’une fonction de décodage est appliquée sur des données qui ont étéencodées avec une fonction différente. Cette thèse s’appuie alors sur trois contributions exploitantles spécificités des cartes à puce pour éliminer ces faux positifs. La première contribution identifie lesobjets cryptographiques dans les mémoires non volatiles des cartes à puce afin de ne pas effectuer ledécodage sur ces données. Les deux autres contributions retrouvent respectivement des informationstextuelles et des dates dans ces mémoires. Afin de valider ces méthodes, elles sont chacune appliquéessur 371 mémoires de cartes à puce de la vie réelle. / In our increasingly connected world, smart cards are involved in any everyday activity, and theygather and record plenty of personal data. The need to interpret the raw data of smart card memoryhas never been stronger. However, without the knowledge of the specifications, it is difficult toretrieve what are the information stored, their location, and the encoding used to store them.The objective of this thesis is to propose a method retrieving the stored information in thenon-volatile memory of smart cards. This information include dates (e.g., birth date or event date)and textual information (e.g., name, address). In order to retrieve these information, it is possibleto perform an exhaustive decoding of the data with several decoding functions. Unfortunately,this technique generates a lot of false positives. Indeed, a false positive occurs when a decodingfunction is applied to data that have been encoded with another function. This thesis proposesthree contributions exploiting smart cards specificities to eliminate the false positives. The firstcontribution identifies cryptographic material in these non-volatile memories in order to preventthe false positives generated by the decoding of these cryptographic objects. The two otherscontributions retrieve respectively textual information and dates in these memories. In order tovalidate these methods, they are applied on 371 memory dumps of real-life smart cards.

Forensique informatique

Cartes à puce

Vie privée

Digital forensics

Smart cards

Privacy

Personalising privacy contraints in Generalization-based Anonymization Models / Personnalisation de protection de la vie privée sur des modèles d'anonymisation basés sur des généralisations

Michel, Axel

08 April 2019

Les bénéfices engendrés par les études statistiques sur les données personnelles des individus sont nombreux, que ce soit dans le médical, l'énergie ou la gestion du trafic urbain pour n'en citer que quelques-uns. Les initiatives publiques de smart-disclosure et d'ouverture des données rendent ces études statistiques indispensables pour les institutions et industries tout autour du globe. Cependant, ces calculs peuvent exposer les données personnelles des individus, portant ainsi atteinte à leur vie privée. Les individus sont alors de plus en plus réticent à participer à des études statistiques malgré les protections garanties par les instituts. Pour retrouver la confiance des individus, il devient nécessaire de proposer dessolutions de user empowerment, c'est-à-dire permettre à chaque utilisateur de contrôler les paramètres de protection des données personnelles les concernant qui sont utilisées pour des calculs.Cette thèse développe donc un nouveau concept d'anonymisation personnalisé, basé sur la généralisation de données et sur le user empowerment.En premier lieu, ce manuscrit propose une nouvelle approche mettant en avant la personnalisation des protections de la vie privée par les individus, lors de calculs d'agrégation dans une base de données. De cette façon les individus peuvent fournir des données de précision variable, en fonction de leur perception du risque. De plus, nous utilisons une architecture décentralisée basée sur du matériel sécurisé assurant ainsi les garanties de respect de la vie privée tout au long des opérations d'agrégation.En deuxième lieu, ce manuscrit étudie la personnalisations des garanties d'anonymat lors de la publication de jeux de données anonymisés. Nous proposons l'adaptation d'heuristiques existantes ainsi qu'une nouvelle approche basée sur la programmation par contraintes. Des expérimentations ont été menées pour étudier l'impact d’une telle personnalisation sur la qualité des données. Les contraintes d’anonymat ont été construites et simulées de façon réaliste en se basant sur des résultats d'études sociologiques. / The benefit of performing Big data computations over individual’s microdata is manifold, in the medical, energy or transportation fields to cite only a few, and this interest is growing with the emergence of smart-disclosure initiatives around the world. However, these computations often expose microdata to privacy leakages, explaining the reluctance of individuals to participate in studies despite the privacy guarantees promised by statistical institutes. To regain indivuals’trust, it becomes essential to propose user empowerment solutions, that is to say allowing individuals to control the privacy parameter used to make computations over their microdata.This work proposes a novel concept of personalized anonymisation based on data generalization and user empowerment.Firstly, this manuscript proposes a novel approach to push personalized privacy guarantees in the processing of database queries so that individuals can disclose different amounts of information (i.e. data at different levels of accuracy) depending on their own perception of the risk. Moreover, we propose a decentralized computing infrastructure based on secure hardware enforcing these personalized privacy guarantees all along the query execution process.Secondly, this manuscript studies the personalization of anonymity guarantees when publishing data. We propose the adaptation of existing heuristics and a new approach based on constraint programming. Experiments have been done to show the impact of such personalization on the data quality. Individuals’privacy constraints have been built and realistically using social statistic studies

Big Data

Matériel sécurisé

Data privacy and security

Big Data

Secure Hardware

Les données personnelles et la propriété du soi / Personal data and self-ownership

Perbal, Bernard

12 December 2018

La progression fulgurante des sciences biologiques, dont les impacts sociétaux n’avaient peut être pas été suffisamment anticipés par le droit international, a créé des conflits conceptuels qu’il est souhaitable d’appréhender dans des débats constructifs respectueux de la richesse des différences individuelles, afin d’éviter des cloisonnements idéologiques qui ne seront d’aucun bénéfice pour l’Humanité. L’analyse des sources du concept de données personnelles et de l’évolution de son acception, renvoie au très long et difficile chemin parcouru depuis les premiers textes fondateurs européens jusqu’à la consécration de la notion de respect du droit à la vie privée que l’on doit à l’opiniâtreté de ses deux défenseurs qu’étaient Samuel Warren et Louis Brandeis, dont l’œuvre séminale a impacté le droit international dans son ensemble. Les données personnelles, maintenant identifiées à des data, sont devenues des ressources convoitées par les mondes de l’économie, du commerce électronique, de la biomédecine et de la criminologie. La dématérialisation des caractéristiques individuelles qui en a découlé a provoqué une immense vague de problèmes et différends relatifs aux modalités de collecte, traitement, diffusion et conservation de ces données, surtout quand elles concernaient des identifiants sensibles tels que les données génétiques. Les secrets de la vie et de l’hérédité s’ouvrent maintenant à un grand public souvent désarmé face aux entreprises qui souhaitent exploiter la richesse du soi intime des individus. Les potentialités nouvellement révélées du génie génétique humain, ont mis en exergue la faiblesse et l’inefficacité de textes juridiques et normatifs ayant mal vieilli qui conduisent à des clivages de principe rigides face à des technologies génétiques visant à améliorer le bien-être des peuples. Il est aujourd’hui nécessaire de dépassionner les débats et de redéfinir au plus tôt, sur des bases scientifiques objectives, le statut juridique des données génétiques et de l’information que leur exploitation peut livrer. / The dazzling growth of biological sciences, whose societal impacts might not have been well enough anticipated by the international law, has created conceptual conflicts that should be apprehended in constructive debates, respectful of the richness of individual differences, so as to avoid any ideological compartmentalization, which will be of no benefit to Humanity. The analysis of the roots of the concept of personal data and of the evolution of its acceptance, sends back to the very long and difficult journey from the very first European founding texts to the consecration of the right to privacy rooted in the obstinacy of its two defenders SW and LB whose seminal works have impacted international law as a whole. Personal information identified as data, has become coveted resources by the worlds of economy, electronic business, biomedicine and criminology. The dematerialization of individual characteristics brought with it an immense wave of issues and conflicts in relation with procedures of collection, processing, circulation and confidentiality of this type of data, especially when it dealt with sensitive identifiers such as genetic data. Technically unattainable until now, the secrets of life and heredity are currently being offered to the general public, who often finds itself powerless when facing companies willing to exploit the richness of their intimate self. The newly revealed potentialities of human genetic engineering, has put forth the weakness and inefficiencies of outdated legal and normative texts which, because of their inadequacy to societal evolution, lead to rigid divisions of principles before genetic technologies who aspire to take advantage of the understanding of genomes in order to improve the well being of people. It is necessary, today, to remove any passionate feeling to temper emotional debates by redefining, as soon as possible, the legal status of genetic data and the information that their exploitation can deliver.

Vie privée

Données personnelles

Criminalistique

Private life

Personal data

Forensic sciences