Sites Inria

Le 22.02.2013

Protéger son identité sur Internet : pourquoi et comment ?

Sans verser dans la paranoïa, il est bon de protéger son identité sur Internet. Des moyens simples existent déjà, pendant que de vastes projets européens se mettent en place. Objectif : renforcer la liberté, la sécurité et la protection de la vie privée des citoyens, des entreprises et des institutions. Le point avec Sébastien Gambs, chaire de recherche en sécurité des systèmes d’information Université de Rennes 1 - Inria.

Crédit : afroboof

Qui a besoin de protéger son identité et ses données sur Internet ?

Sébastien Gambs : Les journalistes d’investigation, les professions médicales et juridiques, les activistes... sont des exemples courants. Cependant, il n’y a pas que les professionnels ou les entreprises à être concernés. Sur Internet, le grand public peut vouloir se mettre à l’abri des exploitations commerciales ou frauduleuses de ses données personnelles et de son identité.

Peut-on cacher facilement son identité sur Internet ?

C’est difficile parce qu’on peut profiler un internaute de multiples façons. Cela se pratique couramment grâce à des cookies installés automatiquement sur son ordinateur, quand on visite certains sites. Une autre méthode, moins connue, consiste à prendre une empreinte du navigateur : le site visité enregistre dans quelle zone géographique je me trouve, la configuration de mon navigateur, les mots que j’utilise, etc.

Ces méthodes d’identification ne requièrent pas de connaître directement l’identité de l’internaute mais permettent de pister ce navigateur particulier, et donc la personne derrière ce navigateur. Du coup, même si je choisis des identifiants et mots de passe différents pour chaque site auquel je me connecte, on peut me tracer via l’empreinte de mon navigateur.

Pour mieux protéger son identité, que faut-il faire ?

Autant que possible, il ne faut pas dévoiler sa véritable identité - ce qui revient à porter un masque. Cependant, ce n’est pas suffisant : il faut également si possible surfer de manière anonyme. On peut le faire avec Tor, par exemple, qui désigne à la fois un logiciel gratuit et un réseau ouvert de communication anonyme.

Il n’est donc pas suffisant d’activer l’option « navigation privée » dans son navigateur ?

Non, puisque la navigation privée n’est pas anonyme : pour l’essentiel, elle ne fait qu’effacer les historiques qu’on laisse dans notre navigateur. Si quelqu’un utilise votre ordinateur, il ne pourra pas connaître les sites que vous avez visités quand l’option « navigation privée » était activée. Mais vu du web, c’est-à-dire vu du côté des sites Internet que vous visitez, l’anonymat n’est pas garanti par cette option.

En fait, tout dépend de la politique du site visité : il peut décider de tenir compte de l’option choisie par l’internaute, et donc ne pas tenir compte de son identité, ou au contraire, l’exploiter. L’option « navigation privée » n’empêche donc pas techniquement l’identification.

Que peut-on attendre de l’initiative « do not track » ?

L’initiative « do not track » permet aux internautes de signaler qu’ils ne souhaitent pas être tracés sur les sites qu’ils visitent. Mais la limitation est la même qu’avec l’option « navigation privée » : l’internaute exprime sa volonté mais il ne se donne pas les moyens techniques de l’imposer aux sites qu’il visite.

Vous travaillez sur des solutions appelées « accréditations anonymes ». En quoi protègent-elles l’identité de leurs utilisateurs ?

D’habitude, quand vous vous connectez à votre mail, par exemple, un mécanisme d’authentification est déclenché : vous déclinez votre identité (en donnant votre adresse mail), puis vous devez prouver votre identité en donnant le mot de passe correspondant.

Dans le cas de l’accréditation anonyme, on exploite le fait qu’en général, on a juste besoin de vous donner un accès ou vous le refuser : c’est une situation binaire. Par exemple, pour vous laisser passer une frontière européenne, le douanier n’a pas besoin de connaître votre identité mais il doit savoir si vous êtes autorisé à entrer sur le territoire ou pas. En lui montrant votre passeport ou votre carte d’identité, vous lui donnez beaucoup plus d’informations qu’il n’en faut. L’accréditation anonyme sert à ne révéler que le strict nécessaire.

Comment fonctionne l’accréditation anonyme ?

Dans ce cas, votre identité serait d’abord certifiée par une autorité de confiance, telle que l’Etat. Ensuite, sur Internet, vous n’avez pas besoin de déclarer votre identité : vous produisez juste la preuve que vous avez une autorisation. Dans l’exemple de la douane, vous produisez simplement une information montrant que vous êtes bien autorisé à passer cette frontière. Autre exemple, celui d’une place de cinéma : pour prouver que vous avez droit à une réduction, vous devez montrer votre pièce d’identité, mais l’information strictement nécessaire est « réduction accordée à ma tranche d’âge » ou non.

Sur Internet, le fonctionnement correspondant serait donc de donner l’information minimum nécessaire lors un contrôle. Ainsi, on démontre simplement qu’on possède l’accréditation correspondante ou non, c’est une propriété binaire.

Où en sont les recherches et les applications de l’accréditation anonyme ?

Sur le plan technique, le domaine, qui repose en grandes parties sur l’utilisation de primitives cryptographiques, est déjà très avancé. Il commence à être utilisé pour des services mobiles sans contact, dans le cadre du projet Lyrics sur lequel je travaille en tant que partenaire IRISA et qui devrait se terminer fin 2014. Ce projet de recherche collaboratif est soutenu par l’ANR, et rassemble des grands acteurs académiques et industriels tel que Orange, Atos et l’université de Rennes 1 mais aussi des PME innovantes telles que CryptoExperts.

Parmi les applications opérationnelles futures, on peut citer l’abonnement à un service de transport tel que Citizy. Au lieu d’avoir une carte de transport, on télécharge préalablement une application sur son smartphone, et on place ensuite le téléphone à quelques centimètres du lecteur placé dans l’autobus, par exemple. Le téléphone et le lecteur communiquent et établissent que vous avez le droit d’accès grâce à un protocole cryptographique- mais votre identité ou le numéro de votre mobile ne sont pas transmis. Les applications de ce type peuvent s’appuyer sur les nombreux téléphones NFC commercialisés en France.

La solution d’accréditation anonyme que nous développons éviterait donc l’emploi d’une carte nominative classique qui, finalement, permet de savoir que vous avez pris tel transport public à telle heure et à tel endroit (ou plutôt le porteur de la carte).

Qu’est-ce que la carte d’identité blanche ?

J’ai eu l’opportunité de travailler sur ce sujet avec Yves Deswarte, au LAAS-CNRS de Toulouse. Ce courant de recherche est notamment motivé par le fait que, en Europe, il existe un mouvement pour remplacer les cartes d’identité classiques par des cartes à puce électronique. Mais les spécifications techniques des cartes à puce actuelles présentent l’inconvénient de faciliter le suivi des citoyens. Pour reprendre l’exemple de la pièce d’identité présentée à l’entrée d’un cinéma, il deviendrait possible d’enregistrer le fait que cette carte a été présentée dans ce lieu et à ce moment précis.

Dans le principe, avec une carte d’identité blanche, aucun signe personnel n’est apparent : ni photo, ni nom, etc. Les données liées à votre identité - comme le nom, la date de naissance, etc. - sont stockées sur une puce sécurisée (c’est-à-dire résistante à des attaques matérielles et logicielles sophistiquées). Ces données ont été certifiées par une autorité de confiance, telle qu’une préfecture.

Mais si je perds ma carte blanche, on ne doit pas pouvoir l’utiliser à ma place. Il faut donc une procédure d’identification biométrique pour chaque usage de la carte. Aujourd’hui la miniaturisation permet de placer un lecteur d’empreintes digitales directement sur une carte, et même une mini-caméra pour l’identification de l’iris, par exemple.

Enfin, la carte d’identité blanche comporterait une logique d’accréditation anonyme, afin de fonctionner comme dans l’exemple de la douane ou du cinéma, sans dévoiler aucune autre information privée. Elle délivrerait donc le minimum d’information nécessaire lors d’une transaction.

Une carte d’identité blanche pourrait-elle apparaître prochainement ?

Les technologies le permettent mais il reste à savoir quelle serait la position des autorités gouvernementales d’un pays donné. On retrouve les technologies d’accréditation anonyme dans plusieurs projets européens, tel que ABC4Trust. On peut aussi imaginer l’utilisation de ces technologies pour des services de e-gouvernement.

Peut-on concilier sécurité et vie privée ?

Contrairement à l’idée préconçue que ces deux notions sont antagonistes et que pour avoir l’une il faut sacrifier l’autre, j’aurais tendance à dire que c’est possible et que cela demande juste un peu d’ingéniosité. Pour reprendre l’exemple de la carte d’identité blanche, on peut reprocher à ce système de permettre à certaines personnes d’enfreindre les lois de façon anonyme et en toute impunité.

D’où l’idée d’anonymat révocable, c’est-à-dire la possibilité pour une entité accréditée de lever l’anonymat dans des circonstances prévues par la loi. Par exemple, muni d’une carte d’identité blanche, je pourrais  entrer dans un bâtiment pour lequel j’ai l’accréditation sans révéler mon identité. Mais si un crime était commis dans ce bâtiment, un juge pourrait demander la levée de l’anonymat des personnes présentes. Des autorités de confiance indépendantes pourraient être impliquées pour jouer le rôle de cette entité capable de lever l’anonymat, comme la CNIL ou des ONG œuvrant pour la défense de la vie privée.

Quels sont les risques pour la vie privée liés à la géolocalisation ?

On peut déduire des informations sensibles à partir des données de géolocalisation d’un téléphone mobile utilisé plusieurs heures ou plusieurs jours de suite ; le type de restaurant fréquenté peut donner une indication de salaire et de CSP, la fréquentation d’une clinique spécialisée peut laisser supposer l’existence d’une maladie particulière, la religion peut se déduire de la fréquentation d’un édifice religieux, les choix politiques peuvent se déduire d’un lieu de réunion particulier...

Il faut donc être très attentif aux entreprises qui collectent ce type d’informations et à ce qu’elles pourraient en faire - ou à ce qui pourrait en être fait par des tiers qui voleraient ces données...

 

 

[TOUT LE DOSSIER]

 

--
Photo : Thespian #2 par afroboof, sous licence CC BY-SA 2.0

Plus d’informations sur le sujet ?

Propulsé par