sécurité des données pour la propriété intellectuelle et la vie … · freenet protection des...

Protection des communications Tracage de navigateur Tracage wifi Reseaux sociaux

Securite des donneespour la propriete intellectuelle et la vie privee

7 - Vie privee et web

Guillaume [email protected]

http://guillaume.piolle.fr/

CentraleSupelec – majeure SISMaster SIF

Master Crypto

22 octobre 2018

Guillaume Piolle SED - Outils 1 / 90

http://guillaume.piolle.fr/


1 Protection des communicationsSolutions historiquesFreenetTor

2 Tracage de navigateur

3 Tracage wifi

4 Reseaux sociaux, vie privee et distribution



Solutions historiques

Communications anonoymes

Serveurs mandataires

Solution tres 90’s pour communiquer de maniere anonyme (anon.penet.fidans les annees 1990, Proxify pour le web. . . ).

Cache « basiquement » l’IP source ;

Ne cache que l’IP source (et souvent tres basiquement) ;

Obligations d’auditabilite variables des fournisseurs ;

Necessaire confiance dans le fournisseur, qui a toutes les infos ;

Specialisation par protocole ;

La connexion au proxy est observable et facilement bloquable.



Solutions historiques

Communications anonoymes

Reseaux prives virtuels

Substitution de l’@IP source pour les sites cibles et les observateursexterieurs en aval du fournisseur ;

Confidentialite du contenu et de l’@ cible vis-a-vis des observateursexterieurs entre client et fournisseur ;

Generalisable a tout type de trafic ;

Authentification possible du fournisseur ;

Aucune confidentialite particuliere en aval du fournisseur (hors @IP) ;

Necessaire confiance dans le fournisseur, qui a toutes les infos ;

Pas d’anonymisation applicative ;

La connexion au VPN est observable, possiblement identifiable etbloquable.



Freenet

Protection des communications : Freenet

Application distribuee permettant le stockage et l’acces a desdocuments :

Organisee en reseau pair a pair ;

Garantissant l’anonymat des connexions (upload, recherche,download) ;

Resistant a la censure (suppression « impossible ») ;

Garantissant la denegation plausible.

Premiere version en mars 2000.



Freenet


Principes de fonctionnement

Lorsqu’on stocke un fichier sur le reseau, il est fragmente et stockefragment par fragment (avec chiffrement et replication) sur les pairs ;

Lors d’un acces au fichier, les fragments sont recuperes, reassembles,dechiffres ;

Le protocole de routage ne permet pas a un pair d’identifier quienvoie un fragment, fait une requete ou recupere un fragment ;

Un pair ne peut pas savoir de quels fichiers il heberge les fragments ;

Modes darknet et open-net ;

Freenet fournit une infrastructure qui peut etre utilisee par d’autresapplications ;

Freesites : sites web accessibles uniquement par Freenet ;

Modele de reseau small world.



Freenet


Gestion de l’espace de stockage par les pairs

Les fragments les plus demandes sont favorises ;

Lorsque l’espace disque vient a manquer, les fragments les moinsdemandes peuvent etre supprimes au profit de nouveaux fragments.

Aucun pair n’est responsable d’un fragment donne !Plus un fichier est demande, plus il est replique : le seul moyen desupprimer un fichier du reseau est que tout le monde arrete d’y acceder.



Freenet


Fragmentation et chiffrement

Chaque fichier est fragmente en fichiers chiffres de 32kio. Le nom defichier du fragment est son condensat cryptographique et sert aconstruire un CHK (Content Hash Keys).

Un manifeste liste l’ensemble des fragments pour un fichier donne. Lenom de fichier du fragment constitue sa cle d’acces.

La methode de stockage distribue des fragments permet de recuperer unfragment si on en connaıt la cle d’acces.



Freenet


Recuperation et dechiffrement

Un client peut demander un fichier avec une requete du type :http://localhost:8888/CHK@xxx,yyy,zzz

La chaıne CHK@xxx,yyy,zzz constitue le CHK du manifeste : xxx est lacle d’acces, yyy la cle de dechiffrement et zzz un ensemble d’optionscrypto.

Le client recupere le manifeste, le dechiffre, puis recupere chacun desfragments et les dechiffre.

Consequence

Les pairs stockant les fragments peuvent difficilement savoir a quel fichierils correspondent et peuvent difficilement les dechiffrer.



Freenet


Tables de hachage distribuees (DHT)

Structure de donnees de type cle-valeurs (table de hachage) distribueesur un reseau de nœuds.

Utilisee pour le stockage distribuee d’une maniere generale (en particulierpour des applications pair a pair).

Systeme completement distribue, tolerant aux fautes (dedisponibilite) et passant a l’echelle.

Acces par un nom complet et precis (la cle pouvant etre le condensat dunom), ne permet pas par defaut la recherche par mots-cles.

Nombreuses variations sur un meme theme.



Freenet


Tables de hachage distribuees (DHT)

Principe : l’espace de hachage est partitionne de maniere a associer unnœud ou un cluster de nœuds a chaque partition de cles, pour permettrele routage. On dispose d’un operateur de distance sur l’espace dehachage.

Par exemple, les nœuds peuvent etre etiquetes par des nombres repartisequitablement dans l’espace de hachage (ni ), le nœud nk etantresponsable du stockage des cles situes entre nk et nk+1 (dans la versionChordDHT).

Operations : les requetes put(k, data) ou get(k) sont propagees dansle reseau jusqu’a atteindre le nœud responsable du stockage de cette cle.



Freenet


Overlay network et Key-based routing

Pour assurer un routage correct, les nœuds doivent s’organiser de manierea assurer la propriete suivante :

Pour toute cle k et tout nœud n, soit n est responsable dustockage de k, soit n est en relation avec un nœud n′ plusproche de k (au sens de la distance dans l’espace de hachage).

Il est alors facile de trouver un algorithme de routage naıf.

Il y a un compromis entre le nombre de voisins par nœud (qui doit resterfaible pour faciliter la maintenance) et la taille de la pire route. Laplupart des DHT visent un equilibre ©(log n)/© (log n) (definition dusmall world).



Freenet


Overlay network

Les nœuds portent un numero compris entre 0 et 1 ;

A partir d’une configuration donnee, on essaie de se rapprocher dusmall world en intervertissant des positions (dans le cas du darknet)de maniere a raccourcir les distances entre voisins (utilisation del’algorithme de Metropolis-Hastings) ;

A partir d’une topologie aleatoire, (et d’une distribution aleatoire desdonnees sur les nœuds), le reseau evolue spontanement vers unestructure de grappes de cliques hebergeant des donnees de cles tresproches.



Freenet


Insertion de donnees (principe)

1 Reception d’une requete put(k, data) au nœud x ;

2 A partir de la cle, calculer un nombre xk (dans [0,1]) ;

3 Mettre la donnee en cache ;

4 S’il existe un voisin x ′ tel que d(x ′, xk ) < d(x , xk ), lui transmettre larequete.

x ne sait pas d’ou provient initialement la requete (mais la chaınepeut etre reconstituee si suffisamment de nœuds sont compromis) ;

x ne connaıt pas tous les nœuds qui vont stocker la donnee.



Freenet


Recuperation de donnees (principe)

Initialisation du marquage des voisinsReception au noeud x d’une requete get(k) depuis x0Si la donnee est en cache :renvoyer (k, data) a x0, terminer.

Sinon :Si le TTL de la requete est atteint :Renvoyer "echec", terminer.

Sinon :Marquer x0, calculer x(k), incrementer le hop countTant qu’il existe des voisins non marques :Transmettre la requete a x’, noeud voisin non marque le plus proche de x(k)Marquer x’Reception d’un messageTant que le message est get(k) en provenance de x’’ :Marquer x’’, Renvoyer "echec" a x’’

Fin tant queSi le message est (k, data) :Mettre en cache (k, data)Renvoyer (k, data) a x0, terminer.

Si le message est "echec" :Poursuivre.

Fin tant queFin si

Fin si



Freenet


Signed Subspace Keys

Les CHK permettent de gerer des fichiers statiques.

Les SSK permettent de gerer la publication de donnees dont le contenuchange au cours du temps, mais dont on doit s’assurer de l’authenticite :les freesites, typiquement.

Principe : a l’insertion, l’auteur genere a la fois une cle symetrique pourle chiffrement et une paire de cles DSA pour la signature des fragments.La cle publique est stockee (chiffree) avec les fragments. La SSK estcomposee du condensat de la cle publique (cle d’acces au fichier), de lacle symetrique et des options crypto.



Tor

Protection des communications : Tor

Tor = The Onion Router

Principe : faire transiter les messages par un certain nombre de nœuds(machines) choisis au hasard, avant de les remettre a leur destinataire, enutilisant des chiffrements successifs entre les nœuds (chiffrement encouches, d’ou l’image de l’oignon).

Tor est un reseau de machines (nœuds Tor), avec des nœuds « d’entree »et « de sortie », que tout le monde peut utiliser de cette maniere.



Tor




Tor

Etablissement d’un circuit Tor par le nœud A : principe

A choisit une sequence de nœuds commencant par un nœud d’entree (B)et terminant par un nœud de sortie, et recupere les cles publiques desnœuds du circuit ;

A associe en interne a B un nouveau numero de circuit circIDAB ;

A envoie un message create a B, contenant circIDAB et la premieremoitie d’un Diffie-Hellman chiffree avec la cle publique de B ;

B renvoie un message created, avec la deuxieme moitie duDiffie-Hellman et le condensat de la cle de session KAB ;

A envoie un relay extend a B en lui designant C et en transmettant unemoitie de Diffie-Hellman chiffree avec la cle publique de C ;

B choisit en interne un nouveau numero de circuit circIDBC , qu’il associe acircIDAB ;

B transmet le message a C dans un create etiquete circIDBC ;

C renvoie un message created que B transmet a A sous la forme d’unrelay extended : A et C partagent KAC ;

etc.



Tor


Proprietes assurees

Anonymisation IP du client, vis-a-vis de tout le monde excepte lenœud d’entree ;

Contenu des messages et destinataire chiffres jusqu’au nœud desortie (point sensible).

Mais !

Necessite d’utiliser un proxy specifique sur la machine client ;

Necessite de « torrefier » les applications ;

Grand temps de latence, inadapte pour les gros volumes de donnees ;

Pas d’anonymisation applicative : on peut etre identifie par lecontenu des messages ;

Les nœuds d’entree et de sortie sont publics et peuvent etre interditsd’acces.



Tor

Sans Tor ni HTTPSGuillaume Piolle SED - Outils 22 / 90


Tor

HTTPSGuillaume Piolle SED - Outils 23 / 90


Tor

TorGuillaume Piolle SED - Outils 24 / 90


Tor

Tor + HTTPSGuillaume Piolle SED - Outils 25 / 90


Tor


Tor hidden services

Sites web ou services divers, accessibles uniquement depuis Tor. Unhidden service a une URI en .onion, mais pas d’adresse IP : services nongeolocalisables, a priori completement anonymes.

Mise en place d’un hidden service

1 Le nœud fournisseur du service choisit plusieurs pointsd’introduction parmi les autres nœuds, leur transmet sa cle publiqueet etablit des circuits avec eux ;

2 Le nœud de service cree un descripteur incluant sa cle publique et laliste des points d’introduction, et le signe ;

3 Le nœud publie le descripteur dans une DHT, sous une cleXXX.onion ou XXX est une chaıne de 16 caracteres derivee de sa clepublique.



Tor

Acces a un hidden service

1 Le client dispose de l’adresse XXX.onion (via un moteur derecherche par exemple : http://ahmia.fi/) ;

2 Le client telecharge le descripteur depuis la DHT ;

3 Le client choisit un nœud pour servir de point de rendez-vous, iletablit un circuit et lui envoie un secret de session ;

4 Le client forge un message d’introduction, incluant l’identite dupoint de RDV et le secret de session, le tout chiffre avec la clepublique du service ;

5 Le client envoie le message d’introduction a un point d’introduction(via un circuit Tor), qui le transmet au nœud de service ;

6 Le nœud de service dechiffre le message d’introduction et etablit uncircuit jusqu’au point de RDV, aupres duquel il s’identifie avec lesecret de session ;

7 Le point de RDV notifie le client, client et nœud de service peuventalors communiquer par leurs circuits respectifs au point de RDV.



Tor

Tor : vulnerabilites et attaques

Tor et le global adversary

Tor est sensible aux attaques par correlations entree-sortie (=end-to-end correlation = traffic confirmation).Une telle attaque est realisable dans le cas d’une collusion entredestinataire et ISP ou entre nœud de sortie et ISP, ou d’une manieregenerale si l’attaquant peut observer le trafic en entree et en sortie dureseau. On parle de global adversary.

Compromission du nœud de sortie

Le controle d’un nœud de sortie permet d’acceder au trafic en clair (horsTLS), particulierement riche, et eventuellement d’inferer l’identite decertains utilisateurs ou de chaıner certaines activites (Zetter 2007).



Tor

Tor : vulnerabilites et attaques

Pommes pourries et attaques applicatives

Certains protocoles et applications (i.e. BitTorrent) peuvent exposer desadresses IP dans leur trafic ou permettre de correler du trafic torrefieavec du trafic non torrefie (Le Blond et al. 2011).

Mouse fingerprinting

Chaınage entre un trafic torrefie et un trafic non torrefie, si le meme sitede profilage est visite : profilage, avec JavaScript, de la mobilite de lasouris (plus general que Tor).

Attaques du chiffrement en oignon

Plusieurs attaques connues permettent d’abaisser (un peu) le niveau desecurite du chiffrement lorsqu’on controle k nœuds parmi les n d’uncircuit. Neanmoins, en cas d’attaque ciblee, il est beaucoup plus facile etefficace d’implanter un malware sur la machine client. . .



Tor

Une application de Tor : Whonix



1 Protection des communications

2 Tracage de navigateurCas d’usageCookies HTTPCookies immortelsInjection HTTPRedirections HTTPETAGs HTTPHSTSFingerprinting de navigateurEt Do Not Track ?

3 Tracage wifi




Cas d’usage

Cas d’usage

Fonctionnalite recherchee

Possibilite d’assigner un identifiant unique et persistant a unutilisateur, a un navigateur ou a une plate-forme physique.

Possibilite d’associer un profil a cet identifiant.

Pourquoi fait-on du tracage ?

Personnalisation explicite des services, gestion « classique » dessessions, des clients, des visiteurs enregistres ou non ;

Affectation d’un profil comportemental a un utilisateur,permettant de « personnaliser son experience » en lui proposant dela publicite ciblee, des tarifs adaptes, des contenus interessants(personnalisation). . .

Conception et amelioration de ces profils comportementaux(apprentissage, clustering) ;

. . .



Cas d’usage

Cas d’usage

Toujours dans l’interet de l’utilisateur ?

En partie, oui, mais. . .

Possibilite de derive discriminatoire (intentionnelle ou non) ;

Techniques de suivi systematiquement orientees vers uncontournement des preferences, reglages et protections mis en placepar l’utilisateur : contournement du controle des cookies, suivi entreonglets, suivi entre navigateurs, entre machines, mise en echec duSame Origin Policy, de Do Not Track. . .

Generalisation d’un certain « paternalisme de mauvaise foi » dans lajustification de ces techniques.



Cas d’usage

Cas d’usage

Qui met en place du tracage ?

Tout le monde ! a un niveau ou a un autre. . . Il est principalementpropose/impose par les intermediaires techniques ou commerciaux :regies publicitaires, CDNs, proxy/caches mutualises. . .

Une certaine forme de centralisation

Certains acteurs sont dans des situations de quasi-monopole ;

Interactive Advertising Bureau + Digital Advertising Alliance =90 % des annonceurs publicitaires sur le web (2012) ;

Meme sans position hegemonique, de par les fonctionnalitesproposees certains fournisseurs sont en position d’agregerefficacement l’information sur les utilisateurs.

Les sites de presse sont particulierement « touches » :https://trackography.org/


https://trackography.org/


Cookies HTTP

Cookies HTTP

Les cookies sont des informations textuelles ajoutees dans les en-tetes derequetes/reponses HTTP afin d’introduire une differentiation, de manierea simuler la notion d’etat conversationnel.Ils sont rattaches a un domaine et peuvent avoir une date d’expirationou une duree de vie.

Contenu des cookies

La taille des cookies est limitee (4 kio max). Ils contiennent en general :

Soit des informations textuelles tres breves (preferences de langue oud’interface par exemple) ;

Soit un identifiant correspondant a des donnees stockees sur leserveur.



Cookies HTTP

Cookies HTTP

Familles et caracteristiques des cookies

Cookies de session : volatiles ;

Cookies persistants ;

Cookies « securises » : utilises uniquement sur HTTPS ;

Cookies « HttpOnly » : inaccessibles a JavaScript, Flash ou tout cequi n’est pas HTTP ;

Cookies tiers : places par un autre domaine que celui qui est visite(typique du suivi publicitaire, mais aussi de certains mecanismes deSSO) ;

Supercookies : cookies positionnes pour un top-level domain(inutilisable maintenant ?).

L’utilisation de cookies necessite la collaboration du navigateur. Ilspeuvent donc en principe etre bloques ou supprimes par l’utilisateur(mais. . . ).



Cookies HTTP

Cookies HTTP

Detection

Les cookies HTTP classiques font partie integrante du protocole decommunication entre navigateur et serveur(s). Le navigateur (et parextension l’utilisateur) est donc parfaitement en mesure de detecter leurutilisation.

Contremesures

Les cookies peuvent etre refuses par le navigateur (il ignore simplementl’en-tete correspondant), eventuellement de maniere selective (refus descookies tiers, listes noires de domaines. . . ). L’utilisateur peut supprimerles cookies, selectivement ou en masse.

Aucun systeme moderne de tracage ne sera empeche defonctionner par une suppression des cookies ou un « nettoyage »du navigateur. Meme un refus complet de tout cookie HTTP n’empechepas la tracabilite. La suite devrait vous en convaincre. . .



Cookies immortels

Cookies immortels

Cookies immortels ou zombies, respawning cookies, permacookies,evercookies, parfois supercookies : cookies HTTP qui ont la capacite dereapparaıtre dans la base du navigateur apres leur suppression.

Cette fonctionnalite est habituellement assuree par du code JavaScript ouFlash qui stocke l’information identifiante dans le local storage deHTML5 ou les local shared objects Flash (ou dans tout espace destockage persistant et accessible) et reconstitue le cookie au besoin.



Cookies immortels

Cookies immortels

Le principe des cookies immortels



Cookies immortels

Cookies immortels

Detection

Le navigateur (ou une extension) a les moyens de surveiller l’utilisationqui est faite du stockage HTML5, et eventuellement de la rapprocher ducontenu des cookies.

Contremesures

Le stockage HTML5 peut etre nettoye, de maniere selective ou globale. Ilexiste des extensions de navigateurs pour cela.



Injection HTTP

Injection HTTP

Principe : un FAI ou un transporteur peut injecter des meta-donnees dansdu trafic non chiffre – typiquement sous la forme d’en-tetes HTTP (ouSMTP) specifiques. Ces meta-donnees peuvent etre une identificationfournie par l’intermediaire technique, a destination d’un site web client(ou pas) de leur service d’identification.

Principalement utilise sur les terminaux mobiles.

Pratiques observees notamment par des operateurs aux USA, en Espagne,aux Pays-Bas, au Canada, en Inde. . . En 2016, Verizon est condamnepour des pratiques s’appuyant sur cette technique [opt-out ajoute depuis].Twitter (MoPub), entre autres, exploite/exploitait les donnees injectees(en achetant un profil a Verizon).

https://www.accessnow.org/aibt/


https://www.accessnow.org/aibt/


Injection HTTP

Injection HTTP

Exemple d’injection par le FAI



Injection HTTP

Injection HTTP

HTTP Header Enrichment documente par Juniper

Ajout automatique d’un Mobile Subscriber ISDN number par unequipement reseau (routeur en bordure de reseau mobile) :

GET /256k.html HTTP/1.1Host: 10.45.45.2Accept */*Accept−Language: en−usAccept−Encoding: gzip, deflateUser−Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.1.4322X−MSISDN: <MSISDN #>

https://www.juniper.net/documentation/en_US/junos-mobility12.1/

topics/concept/httphe-mobility-overview.html

Technos similaires chez Cisco, standard Open Mobile Alliance, brevets d’AT&T

ou de Verizon


https://www.juniper.net/documentation/en_US/junos-mobility12.1/

topics/concept/httphe-mobility-overview.html


Injection HTTP

Injection HTTP

Detection

Les en-tetes injectes peuvent etre detectes par un serveur web (commecelui monte a l’epoque par AccessNow pour les usagers americains).

Contremesures

L’injection d’en-tetes HTTP classique ne peut avoir lieu sur un traficchiffre de bout en bout (HTTPS sur TLS), sauf man-in-the-middle.Seulement, comme c’est le serveur web qui beneficie du service, ilpeut forcer un passage en HTTP (recommandation technique dansle brevet AT&T) ;

Le protocole SPDY de Google, qui encapsule le trafic HTTP/S pouren ameliorer les performances, empeche l’injection d’en-tetes HTTP.



Redirections HTTP

Redirections HTTP

Un serveur (typiquement, un raccourcisseur d’URL, mais pas forcement)peut generer des redirections permanentes (HTTP 301) a la volee,incluant un identifiant unique pour le navigateur. Les redirectionspermanentes pouvant etre mises en cache par le navigateur, l’informationpeut avoir une certaine perennite sans figurer dans les cookies (mais unraccourcisseur d’URL est aussi un bon moyen de contourner le refus descookies tiers. . . ).



Redirections HTTP

Redirections HTTP

Detection

Difficile depuis un navigateur unique, il faut pouvoir determiner si unememe URI engendre des redirections differentes pour des utilisateursdifferents.

Contremesures

La methode n’est pas tres robuste, il suffit d’un rechargement complet dela page pour nettoyer le cache du navigateur. De plus, les navigateurs necachent pas tous les redirections 301, et avec des durees differentes. C’estune technique qui est destinee a etre combinee avec d’autres.



Redirections HTTP

Redirections HTTP

Un cousin : le cookie syncing entre domaines

Deux domaines en collusion peuvent partager des informations sur lescookies de session via des redirections (largement utilise dans la nature –agregation au niveau des regies, des brokers, des CDN. . . ). Un autremoyen de resister a la suppression des cookies, sans traces visibles pourl’utilisateur.



ETAGs HTTP

ETAGs HTTP

Finalite originelle des ETAGs

Entity tag : identifiant opaque d’une ressource, dans une versiondonnee, envoye dans les en-tetes HTTP et permettant au navigateur degerer son cache et d’economiser de la bande passante.



ETAGs HTTP

ETAGs HTTP

Utilisation des ETAGs pour le tracage

Le ETAG est de format libre (meme si. . . ), sa mise en cache par lenavigateur en fait un canal cache de stockage utilisable pour maintenir unlien avec un profil cote serveur.

Detection

Il est tres difficile (impossible ?) de savoir si un ETAG est utilise demaniere « non conventionnelle » (en tout cas si le tracage est fait demaniere astucieuse).

Contremesures

Il est techniquement possible de refuser les ETAGs ou de vider le cachecorrespondant (via une extension par exemple).



HSTS

HSTS

HTTP Strict Transport Security (HSTS)

Principe : un site web en HTTPS/HSTS demande au navigateur, via unen-tete particulier, de ne plus jamais acceder a ce site en HTTP, pendantun delai specifie (qui peut etre long).Protege de certains vols de session et d’attaques en SSL/TLS stripping.

Detournement pour du suivi de navigateur

Un site www.example.com inclut plusieurs contenus pointant versa.example.com, b.example.com, c.example.com...

L’activation ou non de HSTS (dynamique, en fonction du navigateur) sur chaquesous-domaine permet d’encoder un bit d’information ;

Lors des visites suivantes, le navigateur se souvient de la configuration HSTS etfait directement sa requete soit vers https://a.example.com soit vershttp://a.example.com.

→ cache HSTS (longue duree, non manipulable directement par l’utilisateur) exploitecomme canal cache de stockage.



HSTS

HSTS

Detection

Difficile ou impossible dans le cas general, mais on peut s’attendre a voirune serie de references systematiques a des sous-domaines voisins, sansraison particuliere.

Contremesures mises en œuvre dans WebKit (mars 2018)

1 Limitation de HSTS au nom visite (www.example.com), ou TLD+1(example.com) + limitation du nombre de redirections pouvant etrechaınees ;

2 Non-respect de HSTS pour les domaines deja concernes par unblocage de cookies ou par d’autres contre-mesures.

https://webkit.org/blog/8146/protecting-against-hsts-abuse/


https://webkit.org/blog/8146/protecting-against-hsts-abuse/


Fingerprinting de navigateur


Principe

Des informations discriminantes sur le navigateur ou la plate-forme sontcollectees par le serveur, de maniere passive ou active. Un profil,idealement unique, est attribue pour le tracage.

Quels moyens pour collecter l’information ?

En-tetes des requetes du navigateur ;

JavaScript ;

HTML5 (Canvas notamment) ;

Maladies veneriennes executees dans le navigateur (Flash, appletsJava) ;

. . .





Elements utilises pour le profilage

Versions d’OS et de navigateur ;

Fuseau horaire, formats et langues acceptees ;

Polices de caracteres et writing scripts disponibles ;

Resolution d’ecran et profondeur de couleur ;

Bit DNT ;

Plugins installes et leurs versions ;

HTML5 Canvas ;

Nombre de cœurs du CPU ;

APIs : support multipoint, AudioContext, WebGL,encodage/decodage de formats graphiques. . .





Le Canvas fingerprinting

La methode HTMLCanvasElement.toDataURL() convertit l’image,generee de maniere procedurale, en une chaıne de caractere qui constituedirectement l’empreinte.





Mises en œuvre experimentales ou pedagogiques

EFF Panopticlick : https://panopticlick.eff.org/. Utilise dutracage par cookies et differentes techniques de fingerprinting ;

Inria AmIUnique : https://amiunique.org/. Panopticlick + localstorage, Canvas [WebGL ajoute ensuite ?]. Taux d’identification de90.5 %.

Cao, Li & Wijmans, (Cross-)Browser Fingerprinting via OS andHardware Level Features, 2017 : AmIUnique + WebGL, concurrence,AudioContext. Taux d’identification de 99.2 %.

Plus d’infos sur le fingerprinting WebGL :https://browserleaks.com/webgl

Fingerprinting AudioContext :https://audiofingerprint.openwpm.com/

Bibliotheque populaire pour le fingerprinting :https://github.com/Valve/fingerprintjs2


https://panopticlick.eff.org/

https://amiunique.org/

https://browserleaks.com/webgl

https://audiofingerprint.openwpm.com/

https://github.com/Valve/fingerprintjs2




Detection

La collecte passive (en-tetes de requetes HTTP) est par essenceindetectable (mais peu efficace en soi).

Les techniques de collecte active sont detectables au cas par cas (parsignature), en surveillant l’utilisation des APIs et ressources.

Contremesures

Protection par normalisation de tous les elements sortant et desreponses aux diverses APIs (necessite de les avoir identifiees) :informations standard, desactivation de fonctionnalites riches. Mise enœuvre dans Tor Browser, certains outils portes au fur et a mesure dansFirefox (FF 58 alerte sur le canvas fingerprinting).

Contremesure la plus efficace : navigateur normalise dans une VMnormalisee (Tor Browser dans Whonix par exemple).



Et Do Not Track ?

Et Do Not Track ?

W3C Tracking Preference Expression (DNT)

Specification (2011-) pour la transmission d’un bit d’information “Do NotTrack” via les en-tetes HTTP envoyees par le navigateur, pour exprimerun choix de l’utilisateur.

Demande aupres de la FTC depuis 2007, declaration d’intention de MSpour IE en 2010, implementation via en-tetes pour Firefox en 2011 etadoption par les autres navigateurs.

OK mais techniquement, comment ca marche ?

Ca ne marche pas.

On envoie un signal au serveur et on espere qu’il en tiendra compte.

C’est tout.



Et Do Not Track ?

Et Do Not Track ?

Une question d’interpretation

La DAA interprete DNT d’une maniere pas completement intuitive : Onarrete de proposer de la publicite ciblee, mais on continue de collecter,d’exploiter et de monetiser les donnees de l’usager.

Un choix actif des utilisateurs

La DAA s’est engagee a « respecter » DNT, a condition qu’il soitdesactive par defaut dans les navigateurs.2012 : MS active DNT par defaut sur IE10/W8 (Privacy by Default).Fielding, l’auteur de la spec DNT, replique en patchant Apache (avec uncommentaire incendiaire) pour que le DNT d’IE10 soit ignore (patchcommente un mois plus tard). En 2015, MS fait marche arriere dansWindows 10.



Et Do Not Track ?

Et Do Not Track ?

Support de DNT ?

Certaines societes, comme Twitter ou Pinterest, declarentexplicitement qu’elles respectent DNT en cessant de tracer lesutilisateurs ;

DAA et autres organisations : exigences de respect plus ou moinsfortes, sauf pour un DNT par defaut ;

De nombreuses (grosses) societes ont annonce ne pas respecter DNT (oude maniere tres limitee), mettant en avant l’absence de consensus surl’interpretation de cette information : Microsoft, Google, Facebook,Yahoo !...





3 Tracage wifiDecouverte de reseaux en 802.11Profilage par les probe requestsSuivi par adresse MAC


Section preparee sur la base des travaux et supports pedagogiquesde Mathieu Cunche (Privatics – INSA Lyon / Inria)



Decouverte de reseaux en 802.11


Mode passif : on attend les beacons des AP ;

Mode actif : on envoie des probe requests avec les SSID connus eton attend des probe responses (moins couteux en energie, privilegiepar les mobiles)

Decouverte passive Decouverte active





Les informations des probe requests sont envoyees en clair, plusieurs foispar minutes lorsque le terminal n’est pas associe a un access point.

0

5000

10000

15000

20000

25000

30000

35000

40000

0 50 100 150 200 250

Nb

occu

ren

ce

Delta frame (seconds)



Profilage par les probe requests


Profil / empreinte associe a une adresse MAC = ensemble des SSIDsdiffuses





Demonstrationhttps://github.com/cunchem/gtk-wifiscanner


https://github.com/cunchem/gtk-wifiscanner




Geolocalisation des SSIDs

Il est possible, dans une certaine mesure, d’associer une localisation plusou moins precise a un SSID.

Exemples de bases de donnees utilisables :

WiGLE (https://wigle.net/, non limite au wifi) ;

Skyhook (http://www.skyhookwireless.com/) ;

Bases collaboratives de wardriving . . .

(les bases et API les plus courantes s’appuient plutot sur le BSSID,inutilisable dans ce cas d’usage)

Limitations

SSIDs utilises par de nombreux AP differents (peut etre mitige parcorrelation) ;

Incompletude des bases de donnees.


https://wigle.net/

http://www.skyhookwireless.com/




Analyse geographique d’une population

Collecte passive des listes de SSID a l’occasion d’evenementspolitiques ou religieux ;

Profilage / segmentation de la population en inferant lesvilles/regions d’origine.

Experimentation en Italie sur la base de 11 millions de probe requestscollectees lors d’evenements publics a Rome (correlation entre lesdonnees de deux meetings politiques et les resultats du vote qui a suivi).

A. Di Luzio, A. Mei and J. Stefa, Mind your probes : de-anonymization of largecrowds through smartphone wifi probe requests, INFOCOM 2016.





SSIDs et inference du reseau social

Hypothese : dans certains cas, le fait que deux cartes wifi connaissent lememe SSID peut etre le signe d’un lien social entre deux individus.

On generalise a la similarite entre des empreintes a base de SSID(exploitation de plusieurs metriques de similarites prenant en compte lapopularite d’un SSID donne).

Experimentation par collecte publique a Sidney, validation avec des jeuxde donnees de volontaires. Detection de 80 % des liens avec 8 % d’erreur.

M. Cunche, M.-A. Kaafar and R. Boreli, Linking wireless devices usinginformation contained in wifi probe requests, Pervasive and Mobile Computing,2013.





Analyse semantique des SSID

Informations recuperables par analyse manuelle :

Affiliation (societe, organisation, universite. . . ) ;

Conferences et evenements publics visites ;

Lieux visites (hotels, restaurants, gares, aeroports. . . ) ;

Individus nommes (« iPhone de Marc Dupont »).

Automatisation de l’analyse semantique

En appliquant des metriques de similarite aux chaınes de caracteres(Seneviratne et al. 2015) ;

Outils de Named Entity Recognition (Chernyshev et al. 2016).




Profilage par les probe requests : contremesures

NULL probe requests

champ SSID laisse vide ;

Les AP doivent repondre a toutes les probe requests.

Maintenant adopte par les principaux fabricants.

Meilleur mecanisme de decouverte ?

Cle partagee entre terminaux et APs, les terminaux diffusent un challengeauquel les AP doivent repondre : aucun SSID n’est jamais diffuse.J. Lindqvist et al., Privacy-preserving 802.11 access-point discovery, WiSec2009.



Suivi par adresse MAC


Adresse MAC = identifiant unique relativement fiable et persistant,renforcable par correlation avec d’autres informations.

Diffuse automatiquement sur plusieurs dizaines de metres, enpermanence.

Possibilite d’un suivi relativement facile (geographique, temporel,semantique) des terminaux wifi :





Applications du tracage wifi

Physical analytics dans les centres commerciaux : frequence et dureedes visites, nombre de visiteurs, trajets empruntes dans le magasin,lieux d’interet ou de desinteret. . .

Support pour le profilage et la publicite ciblee

Les poubelles wifi de Londres (aout 2013) : detection d’individus parwifi, affichage de publicite ciblee sur un ecran, en s’appuyant sur unprofil connu (habitudes de consommation, age, sexe. . . ). Interdictionpar la ville de Londres, rappel a la loi par l’ICO ;

Affaire FTC - Nomi (2015) : suivi des mouvements dans un magasin,la FTC impose un mecanisme d’opt-out ;

Refus CNIL - JCDecaux / Fidzup (septembre 2015) : opposition autracage systematique des pietons par wifi a la Defense.





Une reponse aux critiques : « anonymisation » de l’adresse MAC

Principale methode utilisee : hachage des 48 bits

Pourquoi ca ne sert a rien

Espace de depart reduit : 248 (precalcul exhaustif : 2,6 jours) ;

L’allocation n’est pas aleatoire/uniforme, seul 1 % de l’espace estalloue (109 secondes) ;

Calcul prenant en compte les parts de marche des fabricants (24 bitsd’Organization Unique Identifier) 7 secondes pour precalculer99 % des adresses MAC existantes.

Experimentation : MD5 (oui, bon. . . ), oclHashcat-plus, GPU AMD R9 280X

Des solutions plus efficaces ?

Keyed hash, hachage multiple avec sel/cles multiples, degradation irreversiblede l’information de l’adresse MAC. . .





Vers des identifiants LL pseudonymes, pseudo-aleatoires

Idee : changement periodique et automatique de l’adresse MAC utilisee.

Quand utiliser une adresse pseudonyme ?

Seulement pendant le probing ?

En permanence ? problematique : casse les mecanismes de controled’acces par @MAC et les exploitations de l’@MAC par les couchessuperieures.

M. Gruteser & D. Grunwald, Enhancing location privacy in wireless LANthrough disposable interface identifiers : a quantitative analysis, MobileNetworks and Applications 10.3, 2005.





Mise en œuvre des @MAC pseudo-aleatoires

Apple iOS

Nouvelle @MAC pour chaque salve de probing ;

Fonctionne uniquement dans des configurations specifiques (donneesmobiles et geolocalisation desactivees) ;

Non-reinitialisation du numero de sequence → echec.

GNU/Linux

Similaire a iOS, non active par defaut.

Microsoft Windows 10

@MAC pseudo-aleatoire pour le probing ;

Une @MAC differente pour chaque reseau (generee par hachage apartir d’un secret local, du SSID et d’un nonce aleatoire).





3 Tracage wifi

4 Reseaux sociaux, vie privee et distributionPlates-formes de reseaux sociauxCentralisation, decentralisation, distribution



Plates-formes de reseaux sociaux


SNS = Social Network System

Risques de vie privee lies a un SNS

Risques de securite : usurpation d’identite, hameconnage, predation,chantage, arnaques diverses ;

Risques de profilage : collection de donnees par les applications oupar Facebook, revente de listes de contacts et de donnees sociales ;

Risques lies a l’e-reputation : exploration du reseau par lesrecruteurs, les employeurs, les clients. . .





Cas d’ecole : Kevin Colvin, 2007

Stagiaire dans une banque britannique en 2007, probablement la premierepersonne limogee a cause de Facebook, affaire tres mediatisee.

Une photo de soiree postee sur FB a servi a prouver qu’il avait menti surune absence pour urgence familiale.

Nathalie Blanchard, 2009

En arret maladie pour depression grave, on lui retire ses allocations parcequ’elle poste une photo d’elle souriante dans un bar.

De nombreuses personnes se plaignent que des photos d’elles diffusees surdes reseaux sociaux ont un impact negatif sur leur employabilite.




Facebook vs Europe

L’affaire Max Schrems

Etudiant en droit autrichien, il faut valoir aupres de Facebook son droitd’acces aux donnees le concernant (en vertu du droit irlandais).

Il recoit un CD correspondant a une liasse de 1200 pages.

Apres une analyse minutieuse des donnees, il depose 22 plaintes contreFacebook aupres du Data Protection Commissioner irlandais.

Details de l’affaire, en cours :

http://www.europe-v-facebook.org/

A notamment debouche sur un arret de la Cour de Justice de l’Unioneuropeenne invalidant l’accord de Safe Harbor avec les Etats-Unis.


http://www.europe-v-facebook.org/



Facebook vs Europe

L’affaire Max Schrems : quelques motifs de plaintes

Les « pokes », les messages postes et les messages prives sontconserves meme apres leur suppression par l’utilisateur ;

Facebook collecte des informations sur des non-utilisateurs pourcreer des profils de remplacement ;

Les informations collectees via le friend finder sont utilisees sans leconsentement de l’utilisateur ;

Les utilisateurs ne connaissent pas les parametres de re-publicationdes messages postes sur les pages d’autres personnes ;

La demande d’acces n’a pas recu une reponse suffisammentcomplete ;

. . .




Plates-formes de reseaux sociaux : une origine du mal

La centralisation, un risque structurel

Comme dans la majorite des applications en ligne, le fournisseur deservice de reseau social centralise le stockage des donnees, le controlesur ces donnees, la definition des politiques de securite, leur mise enœuvre, la gestion de l’identite. . .

La topologie de l’application est un risque particulier parce qu’elle estassociee a la richesse et au volume des donnees impliquees (intereteconomique de l’operateur a abuser du controle qui lui est concede).

Solution classique pour un meilleur controle par les utilisateurs etl’elimination d’un modele d’adversaire trop puissant : la decentralisation(mais c’est plus facile a dire qu’a faire. . . ).



Centralisation, decentralisation, distribution

Architectures applicatives pour les SNS

Architectures centraliseesExemples nombreux : Facebook, LinkedIn, Twitter, FourSquare. . .Relative facilite de conception, de deploiement, d’administration. . .Une autorite centralisee peut exercer un controle unilateral sur lesinformations des usagers.





Architectures decentraliseesDiaspora*, SuperNova, PeerSon. . .Les utilisateurs se connectent a un superpeer de leur choix, qui leurfournit une partie des services.Repartition de la charge de calcul, tout en permettant aux utilisateurs derester des « clients », possibilite d’avoir une gestion collegiale. . .Les superpeers restent un point de centralisation du controle et peuventetre sensibles aux collusions.





Architectures completement distribueesPrivacyWatch, Safebook, FOAF. . .Tous les pairs sont « egaux » et responsables d’une partie des servicesfournis par le systeme.Aucune entite ne dispose de plus de pouvoir ou de controle (pas de pointde faiblesse designe), potentiellement meilleur controle des utilisateurssur leurs donnees.Problemes de disponibilite des donnees et d’application des politiquescomplexes.




Caracteriser plus finement la decentralisation

Le niveau de centralisation / decentralisation d’une application n’est pasune notion monolithique : certains aspects peuvent etre concus demaniere centralisee, d’autre de maniere decentralisee, d’autre de manieredistribuee.

L’evaluation du niveau de centralisation doit se faire fonctionnalitepar fonctionnalite et propriete par propriete, afin de pouvoir en tirerdes conclusions precises en termes de controle des donnees (et deprotection de la vie privee).

Par exemple, on peut avoir dans une meme application :

un stockage completement pair-a-pair (sur une DHT par exemple) ;

une politique de controle d’acces definie au niveau du serveur locald’une organisation participant a l’application ;

une gestion de l’identite via une autorite centrale certifiant desidentifiant. . .





Exemple de caracterisation d’un service architectural : l’espace destockage

Centralise : une autorite centrale fournit l’espace de stockage pourles donnees de tous les utilisateurs ;

Decentralise : un ensemble donne d’autorites autonomes fournitcollectivement l’espace de stockage pour les donnees de tous lesutilisateurs ;

Distribue : l’ensemble de tous les pairs fournit l’espace de stockagepour les donnees de tous les utilisateurs.

R. P. M. Marin, Enhancing Privacy Protection in Social Network SystemsThrough Decentralization and Policy Conflict Management, PhD thesis,CentraleSupelec, 2015.





Exemple de caracterisation d’un service de securite : le chiffrement

Centralise : une seule autorite centrale doit etre compromise pourpouvoir dechiffrer les donnees de tous les utilisateurs ;

Decentralise : un ensemble donne d’autorites autonomes doit etrecompromis pour pouvoir dechiffrer les donnees de tous lesutilisateurs ;

Distribue : l’ensemble de tous les pairs doit etre compromis pourpouvoir dechiffrer les donnees de tous les utilisateurs.






Exemple de caratcerisation d’une propriete de vie privee : la non-chaınabilite

Centralisee : les activites des utilisateurs sont non-chaınable pour tout lemonde sauf pour une autorite centrale. Seule l’autorite centrale doit etrecompromise pour pouvoir chaıner les activites de tous les utilisateurs ;

Decentralisee : les activites des utilisateurs sont non-chaınable pour toutle monde sauf pour une ou plusieurs entites parmi un ensemble donned’autorites autonomes. L’ensemble de ces autorites doit etre compromispour pouvoir chaıner les activites de tous les utilisateurs ;

Distribuee : les activites des utilisateurs sont non-chaınable pour tout lemonde. L’ensemble de tous les pairs doit etre compromis pour pouvoirchaıner les activites de tous les utilisateurs.





Centralisation/distribution des proprietes des SNS



Credits iconographiques

– The Freenet Project, http://freenetproject.org/ (GFDL 1.3) ;

– The Tor Project, Inc., http://www.torproject.org/ (CC-BY 3.0) ;

– Electronic Frontier Foundation, Tor and HTTPS,https://www.eff.org/pages/tor-and-https (CC-BY) ;

– Whonix - Anonymous Operating System,https://www.whonix.org/wiki/Main_Page (GPL 3+) ;

– G. Acar, The Web never forgets : Persistent tracking mechanisms in thewild (https://securehomes.esat.kuleuven.be/~gacar/persistent/), KU Leuven ;

– A. Truong, A short guideto supercookies : whether you’re being tracked and how to opt out (https://qz.com/634294/a-short-guide-to-supercookies-whether-youre-being-tracked-and-how-to-opt-out/),Quartz Media, 2016 ;

– E. Bursztein, Tracking users that block cookies with a http redirect(https://www.elie.net/blog/security/tracking-users-that-block-cookies-with-a-http-redirect), EliE.net, 2011 ;

– S. Englehardt, The hidden perils of cookie syncing (https://freedom-to-tinker.com/2014/08/07/the-hidden-perils-of-cookie-syncing/),Freedom to Tinker, 2014 ;


http://freenetproject.org/

http://www.torproject.org/

https://www.eff.org/pages/tor-and-https

https://www.whonix.org/wiki/Main_Page

https://securehomes.esat.kuleuven.be/~gacar/persistent/

https://qz.com/634294/a-short-guide-to-supercookies-whether-youre-being-tracked-and-how-to-opt-out/

https://qz.com/634294/a-short-guide-to-supercookies-whether-youre-being-tracked-and-how-to-opt-out/

https://www.elie.net/blog/security/tracking-users-that-block-cookies-with-a-http-redirect

https://www.elie.net/blog/security/tracking-users-that-block-cookies-with-a-http-redirect

https://freedom-to-tinker.com/2014/08/07/the-hidden-perils-of-cookie-syncing/

https://freedom-to-tinker.com/2014/08/07/the-hidden-perils-of-cookie-syncing/


Credits iconographiques

– I. Grigorik, Mise en cache HTTP (https://developers.google.com/web/fundamentals/performance/optimizing-content-efficiency/http-caching), GoogleDevelopers, 2017 ;

– G. Acar et al., The Web Never Forgets : Persistent Tracking Mechanisms in theWild, ACM SIGSAC Conference on Computer and Communications Security, 2014, pp.674-689 ;

0

5000

10000

15000

20000

25000

30000

35000

40000

0 50 100 150 200 250

Nb

occu

ren

ce

Delta frame (seconds) – M. Cunche, Privacy challenges in 802.11networks, School on cybersecurity, Lyon, 2016 ;

– R. P. M. Marin, Enhancing Privacy Protection in Social Network Systems ThroughDecentralization and Policy Conflict Management, PhD thesis, CentraleSupelec, 2015.

Autres references utilisees

Ochronus Online, User tracking with HTTP Redirect(https://ochronus.com/user-tracking-http-redirect/), 2013 ;

J. Angwin & J. Larson, Somebody’s Already Using Verizon’s ID to Track Users(https://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users), Propublica, 2014.


https://developers.google.com/web/fundamentals/performance/optimizing-content-efficiency/http-caching

https://developers.google.com/web/fundamentals/performance/optimizing-content-efficiency/http-caching

https://ochronus.com/user-tracking-http-redirect/

https://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users

https://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users

sécurité des données pour la propriété intellectuelle et la vie … · freenet protection des...

Documents