Inria Tech Talk : Respect des données personnelles avec PlugDB

PERSONAL AND
TRUSTED DATA
MANAGEMENT
SYSTEMS
LIENS :
• Equipe PETRUS
https://team.inria.fr/petrus
• PlugDB
https://project.inria.fr/plugdb
Carte SD
Bluetooth
Lecteur
d’empreinte
Puce sécurisée
(SGBD)
(secrets) (données)
MCU
USB
Nicolas Anciaux, directeur de recherche Inria
Responsable de l’équipe PETRUS
(Inria et UVSQ)
Flagship: PlugDB

N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
La protection des données personnelles
Entre enjeux sociétaux …
Discrimination dans l’offre de services
Ex: Allianz conduite connectée, YouDrive…
Uniformisation des comportements
Google vs Qwant
Surveillance entre particuliers
Ex : Intelius
Fuites massives
Ex: Yahoo, Equifax …
Collecte silencieuse
via objets connectés
… et enjeux économiques
Risque généralisé d’intermédiation
•2

La tendance actuelle
D’une centralisation extrême des données personnelles…
Silos centralisés gérés par les acteurs du Web ➔ enjeux de securité et de vie privée
… à une démocratisation
Implication de l’individu (empowerment) et respect de la vie privée
Règlement Général Européen sur la Protection des Données (RGPD)
Transparence & Consentement éclairé sur la finalité de la collecte et du traitement
Responsabilité (accountability)
Privacy-by-Design, Sécurité, Data Protection Officer, Registre, Notification des incidents …
Droit des personnes : droit à l’oubli, droit d’accès, droit à la portabilité (art. 20)
Loi Lemaire pour une République Numérique
Portabilité et récupération (art. 48), droit à l’auto-hébergement (art. 41)
 Droit des individus à récupérer une copie de leurs données personnelles
et à les gérer par eux-mêmes
4

Exemples d’initiatives
Récupération de données médicales et énergétiques - USA
Données généralistes (énergie, crédit, smartphone …) - UK
Self-Data en France
5
« initiative gouvernementale regroupant industriels et
associations de consommateurs »
« La production, l’exploitation et le partage de
données personnelles par les individus, sous
leur contrôle et à leurs propres fins »

L’enjeu du cloud personnel
Redonner le pouvoir à l’individu sur ses données personnelles
Gestion actuelle des données personnelles
Concentration en silos  sécurité
Délégation des usages  vie privée
5
Silos de données
 millions d’individus

Tendance règlementaire / institutionnelle
Portabilité  récupération des données
‘Empowerment’  capacité d’utiliser / contrôler
6
Empowerment
Portabilité
Silos de données

Tendance règlementaire / institutionnelle
Portabilité  récupération des données
‘Empowerment’  capacité d’utiliser / contrôler
Cloud Personnel : réponses techniques
Récupération et stockage
Partage
Usage transverse des données
Usage collectif
7
Empowerment
Portabilité
Silos de données

Que peut-on faire avec ?
Organiser l’ensemble de son patrimoine numérique
…outils puissants de recherche, de visualisation et de partage
Par mots-clés, par facettes, visualisation de masses de données historisées
‘Personal-Big-Data’ : usage personnel
Croiser des données stockées auparavant en silos étanches
Ex. Santé : quantified-self×alimentation×examens biologiques× …
‘Big-Personal-Data’ : usage collectif
Etudes épidémiologiques, sociologiques, économiques…
Machine learning / deep learning préservant la vie privée
Et beaucoup à inventer …
8

Faut-il y croire ?
Des succès d’estime (académiques)
Hippocratic DB [VLDB’02], Personal Data Server [VLDB’10], OpenPDS [PLOS’14], PIMS [CACM15]…
En 2015, Serge Abiteboul et la FING y croient 
“Managing your digital life with a Personal information management system, Com. of the ACM”
En 2018, Tim Berners Lee y croit  
“…. the web has evolved into an engine of inequity and division … Solid is how we evolve the web
in order to restore balance - by giving every one of us complete control over data, in a
revolutionary way …” https://www.inrupt.com/blog/one-small-step-for-the-web
Ainsi que de nombreuses startups, y compris en France :
9

Approche ‘Personal Data Management Server’ (PETRUS)
Home box dotée de matériel sécurisé
10
B
A
A
Partage entre individus
Partage
entre
terminaux
E
D
C
B
C
ED
Cloud personnel
sécurisé d’Alice
Capteurs A
Employeur
Hôpital
Ecole
Banque
Telecom
Requêtes
globales

Contribution scientifiques (PETRUS)
Designer des ‘composants’ BD…
Fonctionnalités BD embarquées
dans des objets sécurisés
Ex. smartcard, PlugDB, Intel SGX…
Recherche top-k, requêtes SQL, …
intégrées à la plateforme PlugDB
Et les inscrire dans une ‘architecture’
Architecture de gestion de données
Informatique de confiance
Ex. Box DomYcile, Cloud Personnel…
Architecture BD sécurisée et extensible
à base d’enclaves (sécurité matérielle)
11

…. Et concrètement ?
PlugDB : objet personnel sécurisé
SGBD complet
Stockage, indexation, requêtes (SQL / full-text)
… contrôle d’accès, transactions, restauration
Cible : objets à microcontrôleur
Dissémination
DomYcile (avec Hippocad, pour le CD78, 10000 usagers ciblés)
Suivi médico-social à domicile
PlugDB est intégré dans une box à domicile
Sécurisation du cloud personnel (avec Cozy Cloud)
Partage sécurisé (CIFRE), calculs distribués (CIFRE)
Intégration PlugDB/Cozy (ANR PersoCloud)
Carte SD
Bluetooth
Lecteur
d’empreinte
Puce sécurisée
(SGBD)
(secrets) (données)
MCU
USB

Projet DomYcile (CD78, Hippocad, PETRUS) – II-Lab OwnCare
Solution de cloud personnel intégrant PlugDB
Sigfox
Dossier de
coordination
socio-médicale
PlugDB inside
-- Yvelines --
8 000 domiciles
262 villes
10 000 patients
Sécurité (individus, intervenants, org.)
Souveraineté (GDPR)
Transversalités des services

Nos technologies
1- Le cœur de PlugDB
2- Nos travaux plus prospectifs (en cours)
Quelles propriétés de sécurité pour le cloud personnel ?
Comment administrer ses données (cas du partage) ?
Comment participer à un calcul global avec ses données ?
14

Cœur de PlugDB : évaluation de requêtes embarquée
Intégrer de l’évaluation de requêtes dans de petits objets
Vie privée  externaliser des résultats vs. les données brutes
Soutenabilité (énergie, performance)  calculer localement vs. tout transmettre
15

Cœur de PlugDB : évaluation de requêtes embarquée
Intégrer de l’évaluation de requêtes dans de petits objets
Vie privée  externaliser des résultats vs. les données brutes
Soutenabilité (énergie, performance)  calculer localement vs. tout transmettre
Problème difficile
Architecture commune (pour la gestion de données)
Microcontrôleur  petite RAM
Mémoire Flash  IO spécifiques (petites écritures aléatoires coûteuses)
16
Petite RAM
 Indexation massive en Flash
Maintien des index en Flash trop coûteux
 Optimisations existantes : RAM
NAND
FLASH
MCU
BUS

Règles de design [IS’17, EDBT’16, VLDB’15]
(1) Write-once partitioning
Pour chaque structures, produire des partitions successives
… de taille bornée (RAM) et jamais modifiées
17

(2) Linear pipelining
Définir un algorithme d’évaluation RAM bornée à ‘coût linéaire’ (pipeline)
… sur l’ensemble des partitions
18

Définir un algorithme d’évaluation RAM bornée à ‘coût linéaire’ (pipeline)
… sur l’ensemble des partitions
(3) Background linear merging
Passer à l’échelle : intégrer un algorithme de fusion des partitions (pipeline)
… pour limiter leur nombre (log.)
19

Exemple des requêtes top-k [IS’17, EDBT’16, VLDB’15]
Méthodes BD classiques
Index inversé (modifié ‘en place’)
Evaluation d’une fonction score
(matérialisation en RAM)
Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
(d1, ftj,d1), (d3, ftj,d3)…(d1, ftj,d5)
{ti}Q
TF-IDF(d) =  (fti,d
* Log( N / Fti
))

Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
{ti}Q
* Log( N / Fti
))
21
Design du composant
………

Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
{ti}Q
* Log( N / Fti
))
22
Design du composant
………
Algorithme RAM bornée, traverse 1 fois chaque partition

Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
{ti}Q
* Log( N / Fti
))
23
Design du composant
………
merge merge
…
merge
merge
Partition active
Partition obsolète
………
Partition active
Partition obsolète
merge merge
…
merge
merge
Algorithme RAM bornée, traverse 1 fois chaque partitionAlgorithme RAM bornée, traverse 1 fois chaque partition

Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
{ti}Q
* Log( N / Fti
))
24
Design du composant
………
merge merge
…
merge
merge
Partition active
Partition obsolète
………
Partition active
Partition obsolète
merge merge
…
merge
merge

Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
{ti}Q
* Log( N / Fti
))
25
Design du composant
………
merge merge
…
merge
merge
Partition active
Partition obsolète
………
Partition active
Partition obsolète
merge merge
…
merge
merge
 Composant capable d’indexer des millions d’entrées

Nos technologies
26

Diversité des architectures de Cloud Personnel (PDMS)
PDMS : tout notre patrimoine numérique au même endroit…
Solutions en ligne (cloud traditionnel)
BitsAbout.me, Meeco, CozyCloud …
Confiance dans l’hébergeur (ex: OVH)
…le PDMS provider (ex: Cozy)
…et dans toutes les Apps
27
Personal Cloud

Zero-knowledge (e.g., SpiderOak)
SpyderOak, Sync, MyDex…
Confiance dans l’environment client (clés)
… et dans toutes les Apps
28
Personal Cloud

Zero-knowledge (e.g., SpiderOak)
SpyderOak, Sync, MyDex…
Confiance dans l’environment client (clés)
… et dans toutes les Apps
Home cloud (auto-hébergement)
SW (OpenPDS), HW (Helixee), Secure HW (PlugDB)
Confiance dans le PDMS provider, SW, HW/Secure HW
29
Personal Cloud

Vers un PDMS extensible & sécurisé ?
Fonctionnalités liées au cycle de vie des données
Collecte  stockage-restauration  exploitation-partage  destruction
Toutes les menaces considérées font sens
Celles considérées par les solutions en ligne, zéro-knowledge, home cloud…
Mais : impossible d’unifier les réponses techniques !
 5 propriétés de sécurité à considérer [IS’19]
Collecte : se protéger de code (Grisbi, Wboob) qui a nos mots de passe / données
Stockage : protéger les données, restaurer son mot de passe
Calcul : calculer sans fournir les données de base, mais offrir des garanties
Calcul global : contribuer à un calcul collectif sans crainte
Administration : contrôler sans expertise technique
30

Emergence d’une nouvelle forme de ‘secure HW’
HW puissant, sécurité matérielle, disponible partout
‘Trusted Execution Environments’ dans les PCs, smartphones, tablettes, cloud (ex: Azure)
AMD: Secure Execution Environment
ARM: TrustZone
Intel: Software Guard Extensions (SGX)
Propriétés garanties matériellement (terminologie SGX) :
Isolation: le code tournant dans le TEE n’est pas influencé par un adversaire externe
Confidentialité: les données dans TEE sont privées et ne peuvent être observées
Attestation: le code tournant dans le TEE peut prouver son ‘identité’  il est possible de
lancer un calcul sur un TEE distant et d’obtenir des garanties d’intégrité sur le résultat
NB: l’exécution peut être ‘sans état’ (ne laisse pas de trace…)
31

Architecture à 3 niveaux [IS’19]
Problème du cloud personnel  tension sécurité – extensibilité
Eviter les fuites de données et réaliser des traitements BD avancés
Approche composant insuffisante
32

Architecture orientée données – informatique de confiance
‘Noyau’ limité et sécurisé
Code de confiance (petit, prouvé)
Environnement sécurisé (Ex. Secure Element - SE)
33
Noyau

‘Tâches BD’ avancées et isolées
Code extensible (volumineux, pas de confiance)
Environnement isolé (Ex. Trusted Execution Environment - TEE)
34
Noyau
Tâche
BD
Tâche
BD

‘Tâches BD’ avancées et isolées
Code extensible (volumineux, pas de confiance)
Environnement isolé (Ex. Trusted Execution Environment - TEE)
Applications (App)
Environnement riche
Aucune hypothèse de sécurité (aujourd’hui)
35
Noyau
App
Tâche
BD
Tâche
BD
App
Sécurité
Extensibilité

Proposition architecturale pour garantir les 5 propriétés [IS’19]
36
TCP/IP DNS
Apps
Untrusted modules
Core (proven code)
Isolated data task
Untrusted module/app
Protected databases
Code isolation
Attestation
Confidentiality
Peripheral isolation
Isolated Data-Tasks
Data
Collector
Personal
computation
Collective
computation
Decision
making
Core modules (proven)
Credentials,policies,
manifests,tasks, etc.
User’s & external user’s
data, derived data
Communication
- TLS-trusted
- Authentication
Policy enforcement
- Reference monitor
- Attestation
- Audit
Data storage
- Data storage & access
- Backup & recovery

Nos technologies
37

Partage sécurisé pour le cloud personnel [ISD’17, EBDT’18]
Contrôler le partage sans imposer la maitrise technique
Choix actuel : devenir expert (apprenti sorcier) ou déléguer (antinomique)
38

Problème difficile du point de vue architectural
Sécurité  décisions non contournables
Extensibilité  modèles riches, solution générique (agnostique au modèle)
Contrôle par l’individu  administration sans expertise
39

Problème difficile du point de vue architectural
Sécurité  décisions non contournables
Extensibilité  modèles riches, solution générique (agnostique au modèle)
Contrôle par l’individu  administration sans expertise
Idées principales
1- Garantir les effets du modèle mais pas le modèle lui-même
2- Rendre tous les effets appréhendables et contrôlables par l’individu
 ‘Share What You See with Who You Know’ (SWYSWYK)
40

Challenge : des permissions ‘zéro-knowledge’
Attaques sur SWYSWYK
Les permissions produites par un modèle corrompu
peuvent porter une information sensible
Idées en cours d’investigation
Rejouer le modèle dans des enclaves ‘sans état’ pour trouver certaines dépendances…
41

Nos technologies
42

Focus sur : Big-Personal-Data (calcul collectif)
Exemples de calculs
Etude sociologique : nombre de cachets de Valium prescrits par entreprise ?
M. learning / IA : reconnaissance d’image, classification d’écritures bancaires (Cozy), etc.
Objectif
Calculs quelconques, à large échelle, assurant la vie privée:
(1) consentement, collecte et rétention limitées,
(2) seul le résultat du calcul est dévoilé à une tierce partie,
(3) le requérant a la garantie d’un résultat calculé honnêtement
43

Techniques de calcul global
Vie privée différentielle, chiffrement homomorphe
Ne répondent pas à ce problème
Serveur central sûr (e.g., TrustedDB …)
Contredit l’hypothèse de décentralisation
Techniques ‘gossip’ respectueuses de la vie privée
répondent au point (2) uniquement
… et ne satisfont pas le critère de généricité
Protocoles SMC
répondent au point (2) uniquement
… mais ne satisfont pas la combinaison large échelle / généricité
44

Réponse à base de PDMS + TEEs
Nouveau modèle d’attaque
Machine de l’utilisateur et infrastructure : potentiellement corrompues
TEEs : honnêtes en majorité, un petit groupe est instrumenté (exploitation de canaux-cachés)
Code du calcul, nombre de participants, clause de collecte/destruction : valides
Objectifs de sécurité allant au-delà de l’état de l’art
Conformité : code, nombre de participants, clause de collecte/destruction
Garanties mutuelles : l’utilisateur a la garantie d’un résultat honnête, sur des données valides, et
les participants peuvent vérifier que les autres se comportent honnêtement
Résistance aux attaques par canaux-cachés : impossible de cibler un participant donné, pas
d’impact ‘massif’ d’une attaque à la confidentialité
Principe
Framework basé sur un ‘manifeste’ de calcul exécuté dans des enclaves SGX
45

Framework général
Contre-mesures génériques de sécurité :
Exécution globale vérifiable localement (sur chaque participant)
L’assignation des participants est ‘prouvablement’ aléatoire
46
Actors (citizen/legal person)
Manifest (spec.)
Manifest (exec.)
TEE protocol driver
TEE computation code
Untrusted protocol driver
PDMS (personal data)
Attestation
Confidentiality
Corrupted TEE
….
Participant Participant (corrupted)Participant
Querier Public DBRegul. Citizen identity
1 Querier specifies a manifest and publish it; Regul. certifies the manifest
Participants consent to manifest; Participants/querier build executable manifest
Participants execute manifest (query plan); Querier retrieves results (encrypted)
1 2 3
Legend:
2
3
result

Contre-mesures spécifiques de sécurité (ex. Groupby ou k-means)
Pour toute fonction distributive/algébrique:
Exposition minimal des données sur chaque nœud  partitionnement adapté
Performances / résistances au attaques par canaux-cachés
Exemple de partitionnement :
47
: Participants (N in total) : attestation & data flows
Result
Reducers
Mappers
Root
R1 R2
R11 R13 R21 R23
D1 D2 D3
R12 R22

Conclusion
Equipe PETRUS
PErsonal and TRUSted Cloud – Inria Saclay-IDF et UVSQ
Un objectif
Concevoir une plateforme PDMS efficace et sécurisée
Axes de recherche
1- Architectures pour le Cloud Personnel
2- Modèles d’administration et mise en oeuvre sécurisée des politiques
3- Protocoles décentralisés de gestion de données personnelles
4- Implications juridiques, économiques et sociétales
Une volonté d’expérimentation et de transfert
Plateforme concrète : PlugDB
Un II-Lab (Inria-UVSQ-Hippocad) : ‘OwnCare’

Cloud Personnel, sujet interdisciplinaire par excellence
Entre …
informaticiens
Challenges SI x Big Data et IA x cryptographie x algo distribués x architectures logicielles et matérielles
… économistes
Modèles économiques liés à l’exploitation des données perso., incentives
… et juristes
Principe de responsabilité, privacy-by-design, quelle politique EU de la donnée…
De multiples questions ouvertes par le cloud personnel
Effets boomerang ? Empowerment individual/societal ?
Quel statut pour les données hébergées relatives à d’autres individus ?
98% of MIT students are happy to trade their friends' email addresses for free pizza... (National Bureau of Economic Research)
Monétisation des données personnelles comme incitation à la protection ?
Données personnelles comme moyen de paiement d’un service ?
Jusqu’où ouvrir le droit à la recupération ?
…

Questions ?
Equipe PETRUS : https://team.inria.fr/petrus
PlugDB : https://project.inria.fr/plugdb
Quelques références :
[IS’19] Personal Data Management Systems: The security and functionality standpoint
[EBDT’18] Reconciling Privacy and Data Sharing in a Smart and Connected Surrounding
[IS’17] Supporting secure keyword search in the personal cloud
[ISD’17] SWYSWYK: A Privacy-by-Design Paradigm for PIMS
[EDBT’16] Distributed Secure Search in the Personal Cloud

Inria Tech Talk : Respect des données personnelles avec PlugDB

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (19)

Similaire à Inria Tech Talk : Respect des données personnelles avec PlugDB

Similaire à Inria Tech Talk : Respect des données personnelles avec PlugDB (20)

Plus de Stéphanie Roger

Plus de Stéphanie Roger (20)

Inria Tech Talk : Respect des données personnelles avec PlugDB