Tech Talk / conférence technologique présentée par Inria (institut national de recherche dédié au numérique) axée autour de la gestion des données personnelles. Inria, dont fait partie Inria Saclay, est l'institut national de recherche dédié au numérique qui connecte les entrepreneurs au meilleur de la recherche publique française en un lieu : French Tech Central.
Workshop IA : supercalculateur pour booster vos projets par GENCI
Inria Tech Talk : Respect des données personnelles avec PlugDB
1. PERSONAL AND
TRUSTED DATA
MANAGEMENT
SYSTEMS
LIENS :
• Equipe PETRUS
https://team.inria.fr/petrus
• PlugDB
https://project.inria.fr/plugdb
Carte SD
Bluetooth
Lecteur
d’empreinte
Puce sécurisée
(SGBD)
(secrets) (données)
MCU
USB
Nicolas Anciaux, directeur de recherche Inria
Responsable de l’équipe PETRUS
(Inria et UVSQ)
Flagship: PlugDB
2. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
La protection des données personnelles
Entre enjeux sociétaux …
Discrimination dans l’offre de services
Ex: Allianz conduite connectée, YouDrive…
Uniformisation des comportements
Google vs Qwant
Surveillance entre particuliers
Ex : Intelius
Fuites massives
Ex: Yahoo, Equifax …
Collecte silencieuse
via objets connectés
… et enjeux économiques
Risque généralisé d’intermédiation
•2
3. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
La tendance actuelle
D’une centralisation extrême des données personnelles…
Silos centralisés gérés par les acteurs du Web ➔ enjeux de securité et de vie privée
… à une démocratisation
Implication de l’individu (empowerment) et respect de la vie privée
Règlement Général Européen sur la Protection des Données (RGPD)
Transparence & Consentement éclairé sur la finalité de la collecte et du traitement
Responsabilité (accountability)
Privacy-by-Design, Sécurité, Data Protection Officer, Registre, Notification des incidents …
Droit des personnes : droit à l’oubli, droit d’accès, droit à la portabilité (art. 20)
Loi Lemaire pour une République Numérique
Portabilité et récupération (art. 48), droit à l’auto-hébergement (art. 41)
Droit des individus à récupérer une copie de leurs données personnelles
et à les gérer par eux-mêmes
4
4. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Exemples d’initiatives
Récupération de données médicales et énergétiques - USA
Données généralistes (énergie, crédit, smartphone …) - UK
Self-Data en France
5
« initiative gouvernementale regroupant industriels et
associations de consommateurs »
« La production, l’exploitation et le partage de
données personnelles par les individus, sous
leur contrôle et à leurs propres fins »
5. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
L’enjeu du cloud personnel
Redonner le pouvoir à l’individu sur ses données personnelles
Gestion actuelle des données personnelles
Concentration en silos sécurité
Délégation des usages vie privée
5
Silos de données
millions d’individus
6. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Redonner le pouvoir à l’individu sur ses données personnelles
Gestion actuelle des données personnelles
Concentration en silos sécurité
Délégation des usages vie privée
Tendance règlementaire / institutionnelle
Portabilité récupération des données
‘Empowerment’ capacité d’utiliser / contrôler
L’enjeu du cloud personnel
6
Empowerment
Portabilité
Silos de données
millions d’individus
7. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Redonner le pouvoir à l’individu sur ses données personnelles
Gestion actuelle des données personnelles
Concentration en silos sécurité
Délégation des usages vie privée
Tendance règlementaire / institutionnelle
Portabilité récupération des données
‘Empowerment’ capacité d’utiliser / contrôler
Cloud Personnel : réponses techniques
Récupération et stockage
Partage
Usage transverse des données
Usage collectif
L’enjeu du cloud personnel
7
Empowerment
Portabilité
Silos de données
millions d’individus
8. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Que peut-on faire avec ?
Organiser l’ensemble de son patrimoine numérique
…outils puissants de recherche, de visualisation et de partage
Par mots-clés, par facettes, visualisation de masses de données historisées
‘Personal-Big-Data’ : usage personnel
Croiser des données stockées auparavant en silos étanches
Ex. Santé : quantified-self×alimentation×examens biologiques× …
‘Big-Personal-Data’ : usage collectif
Etudes épidémiologiques, sociologiques, économiques…
Machine learning / deep learning préservant la vie privée
Et beaucoup à inventer …
8
9. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Faut-il y croire ?
Des succès d’estime (académiques)
Hippocratic DB [VLDB’02], Personal Data Server [VLDB’10], OpenPDS [PLOS’14], PIMS [CACM15]…
En 2015, Serge Abiteboul et la FING y croient
“Managing your digital life with a Personal information management system, Com. of the ACM”
En 2018, Tim Berners Lee y croit
“…. the web has evolved into an engine of inequity and division … Solid is how we evolve the web
in order to restore balance - by giving every one of us complete control over data, in a
revolutionary way …” https://www.inrupt.com/blog/one-small-step-for-the-web
Ainsi que de nombreuses startups, y compris en France :
9
10. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Approche ‘Personal Data Management Server’ (PETRUS)
Home box dotée de matériel sécurisé
10
B
A
A
Partage entre individus
Partage
entre
terminaux
E
D
C
B
C
ED
Cloud personnel
sécurisé d’Alice
Capteurs A
Employeur
Hôpital
Ecole
Banque
Telecom
Requêtes
globales
11. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Contribution scientifiques (PETRUS)
Designer des ‘composants’ BD…
Fonctionnalités BD embarquées
dans des objets sécurisés
Ex. smartcard, PlugDB, Intel SGX…
Recherche top-k, requêtes SQL, …
intégrées à la plateforme PlugDB
Et les inscrire dans une ‘architecture’
Architecture de gestion de données
Informatique de confiance
Ex. Box DomYcile, Cloud Personnel…
Architecture BD sécurisée et extensible
à base d’enclaves (sécurité matérielle)
11
12. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
…. Et concrètement ?
PlugDB : objet personnel sécurisé
SGBD complet
Stockage, indexation, requêtes (SQL / full-text)
… contrôle d’accès, transactions, restauration
Cible : objets à microcontrôleur
Dissémination
DomYcile (avec Hippocad, pour le CD78, 10000 usagers ciblés)
Suivi médico-social à domicile
PlugDB est intégré dans une box à domicile
Sécurisation du cloud personnel (avec Cozy Cloud)
Partage sécurisé (CIFRE), calculs distribués (CIFRE)
Intégration PlugDB/Cozy (ANR PersoCloud)
Carte SD
Bluetooth
Lecteur
d’empreinte
Puce sécurisée
(SGBD)
(secrets) (données)
MCU
USB
13. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Projet DomYcile (CD78, Hippocad, PETRUS) – II-Lab OwnCare
Solution de cloud personnel intégrant PlugDB
Sigfox
Dossier de
coordination
socio-médicale
PlugDB inside
-- Yvelines --
8 000 domiciles
262 villes
10 000 patients
Sécurité (individus, intervenants, org.)
Souveraineté (GDPR)
Transversalités des services
14. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Nos technologies
1- Le cœur de PlugDB
2- Nos travaux plus prospectifs (en cours)
Quelles propriétés de sécurité pour le cloud personnel ?
Comment administrer ses données (cas du partage) ?
Comment participer à un calcul global avec ses données ?
14
15. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Cœur de PlugDB : évaluation de requêtes embarquée
Intégrer de l’évaluation de requêtes dans de petits objets
Vie privée externaliser des résultats vs. les données brutes
Soutenabilité (énergie, performance) calculer localement vs. tout transmettre
15
16. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Cœur de PlugDB : évaluation de requêtes embarquée
Intégrer de l’évaluation de requêtes dans de petits objets
Vie privée externaliser des résultats vs. les données brutes
Soutenabilité (énergie, performance) calculer localement vs. tout transmettre
Problème difficile
Architecture commune (pour la gestion de données)
Microcontrôleur petite RAM
Mémoire Flash IO spécifiques (petites écritures aléatoires coûteuses)
16
Petite RAM
Indexation massive en Flash
Maintien des index en Flash trop coûteux
Optimisations existantes : RAM
NAND
FLASH
MCU
BUS
17. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Règles de design [IS’17, EDBT’16, VLDB’15]
(1) Write-once partitioning
Pour chaque structures, produire des partitions successives
… de taille bornée (RAM) et jamais modifiées
17
18. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Règles de design [IS’17, EDBT’16, VLDB’15]
(1) Write-once partitioning
Pour chaque structures, produire des partitions successives
… de taille bornée (RAM) et jamais modifiées
(2) Linear pipelining
Définir un algorithme d’évaluation RAM bornée à ‘coût linéaire’ (pipeline)
… sur l’ensemble des partitions
18
19. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Règles de design [IS’17, EDBT’16, VLDB’15]
(1) Write-once partitioning
Pour chaque structures, produire des partitions successives
… de taille bornée (RAM) et jamais modifiées
(2) Linear pipelining
Définir un algorithme d’évaluation RAM bornée à ‘coût linéaire’ (pipeline)
… sur l’ensemble des partitions
(3) Background linear merging
Passer à l’échelle : intégrer un algorithme de fusion des partitions (pipeline)
… pour limiter leur nombre (log.)
19
20. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Exemple des requêtes top-k [IS’17, EDBT’16, VLDB’15]
Méthodes BD classiques
Index inversé (modifié ‘en place’)
Evaluation d’une fonction score
(matérialisation en RAM)
Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
(d1, ftj,d1), (d3, ftj,d3)…(d1, ftj,d5)
{ti}Q
TF-IDF(d) = (fti,d
* Log( N / Fti
))
21. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Exemple des requêtes top-k [IS’17, EDBT’16, VLDB’15]
Méthodes BD classiques
Index inversé (modifié ‘en place’)
Evaluation d’une fonction score
(matérialisation en RAM)
Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
(d1, ftj,d1), (d3, ftj,d3)…(d1, ftj,d5)
{ti}Q
TF-IDF(d) = (fti,d
* Log( N / Fti
))
21
Design du composant
(1) Write-once partitioning
………
22. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Exemple des requêtes top-k [IS’17, EDBT’16, VLDB’15]
Méthodes BD classiques
Index inversé (modifié ‘en place’)
Evaluation d’une fonction score
(matérialisation en RAM)
Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
(d1, ftj,d1), (d3, ftj,d3)…(d1, ftj,d5)
{ti}Q
TF-IDF(d) = (fti,d
* Log( N / Fti
))
22
Design du composant
(1) Write-once partitioning
………
Algorithme RAM bornée, traverse 1 fois chaque partition
(2) Linear pipelining
23. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Exemple des requêtes top-k [IS’17, EDBT’16, VLDB’15]
Méthodes BD classiques
Index inversé (modifié ‘en place’)
Evaluation d’une fonction score
(matérialisation en RAM)
Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
(d1, ftj,d1), (d3, ftj,d3)…(d1, ftj,d5)
{ti}Q
TF-IDF(d) = (fti,d
* Log( N / Fti
))
23
Design du composant
(1) Write-once partitioning
………
merge merge
…
merge
merge
(3) Background linear merging
Partition active
Partition obsolète
(1) Write-once partitioning
………
(2) Linear pipelining
Partition active
Partition obsolète
merge merge
…
merge
merge
(3) Background linear merging
Algorithme RAM bornée, traverse 1 fois chaque partitionAlgorithme RAM bornée, traverse 1 fois chaque partition
(2) Linear pipelining
24. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Exemple des requêtes top-k [IS’17, EDBT’16, VLDB’15]
Méthodes BD classiques
Index inversé (modifié ‘en place’)
Evaluation d’une fonction score
(matérialisation en RAM)
Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
(d1, ftj,d1), (d3, ftj,d3)…(d1, ftj,d5)
{ti}Q
TF-IDF(d) = (fti,d
* Log( N / Fti
))
24
Design du composant
(1) Write-once partitioning
………
merge merge
…
merge
merge
(3) Background linear merging
Partition active
Partition obsolète
Algorithme RAM bornée, traverse 1 fois chaque partition
(1) Write-once partitioning
………
(2) Linear pipelining
Partition active
Partition obsolète
merge merge
…
merge
merge
(3) Background linear merging
25. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Exemple des requêtes top-k [IS’17, EDBT’16, VLDB’15]
Méthodes BD classiques
Index inversé (modifié ‘en place’)
Evaluation d’une fonction score
(matérialisation en RAM)
Listes inversées
Dictionnaire
de termes
(arbre B)
ti , Fti
tj , Ftj
(d1, fti,d1), (d8, fti,d8)…
(d1, ftj,d1), (d3, ftj,d3)…(d1, ftj,d5)
{ti}Q
TF-IDF(d) = (fti,d
* Log( N / Fti
))
25
Design du composant
(1) Write-once partitioning
………
merge merge
…
merge
merge
(3) Background linear merging
Partition active
Partition obsolète
(1) Write-once partitioning
………
(2) Linear pipelining
Partition active
Partition obsolète
merge merge
…
merge
merge
(3) Background linear merging
Algorithme RAM bornée, traverse 1 fois chaque partition
Composant capable d’indexer des millions d’entrées
26. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Nos technologies
1- Le cœur de PlugDB
2- Nos travaux plus prospectifs (en cours)
Quelles propriétés de sécurité pour le cloud personnel ?
Comment administrer ses données (cas du partage) ?
Comment participer à un calcul global avec ses données ?
26
27. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Diversité des architectures de Cloud Personnel (PDMS)
PDMS : tout notre patrimoine numérique au même endroit…
Solutions en ligne (cloud traditionnel)
BitsAbout.me, Meeco, CozyCloud …
Confiance dans l’hébergeur (ex: OVH)
…le PDMS provider (ex: Cozy)
…et dans toutes les Apps
27
Personal Cloud
28. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Diversité des architectures de Cloud Personnel (PDMS)
PDMS : tout notre patrimoine numérique au même endroit…
Solutions en ligne (cloud traditionnel)
BitsAbout.me, Meeco, CozyCloud …
Confiance dans l’hébergeur (ex: OVH)
…le PDMS provider (ex: Cozy)
…et dans toutes les Apps
Zero-knowledge (e.g., SpiderOak)
SpyderOak, Sync, MyDex…
Confiance dans l’environment client (clés)
… et dans toutes les Apps
28
Personal Cloud
29. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Diversité des architectures de Cloud Personnel (PDMS)
PDMS : tout notre patrimoine numérique au même endroit…
Solutions en ligne (cloud traditionnel)
BitsAbout.me, Meeco, CozyCloud …
Confiance dans l’hébergeur (ex: OVH)
…le PDMS provider (ex: Cozy)
…et dans toutes les Apps
Zero-knowledge (e.g., SpiderOak)
SpyderOak, Sync, MyDex…
Confiance dans l’environment client (clés)
… et dans toutes les Apps
Home cloud (auto-hébergement)
SW (OpenPDS), HW (Helixee), Secure HW (PlugDB)
Confiance dans le PDMS provider, SW, HW/Secure HW
29
Personal Cloud
30. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Vers un PDMS extensible & sécurisé ?
Fonctionnalités liées au cycle de vie des données
Collecte stockage-restauration exploitation-partage destruction
Toutes les menaces considérées font sens
Celles considérées par les solutions en ligne, zéro-knowledge, home cloud…
Mais : impossible d’unifier les réponses techniques !
5 propriétés de sécurité à considérer [IS’19]
Collecte : se protéger de code (Grisbi, Wboob) qui a nos mots de passe / données
Stockage : protéger les données, restaurer son mot de passe
Calcul : calculer sans fournir les données de base, mais offrir des garanties
Calcul global : contribuer à un calcul collectif sans crainte
Administration : contrôler sans expertise technique
30
31. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Emergence d’une nouvelle forme de ‘secure HW’
HW puissant, sécurité matérielle, disponible partout
‘Trusted Execution Environments’ dans les PCs, smartphones, tablettes, cloud (ex: Azure)
AMD: Secure Execution Environment
ARM: TrustZone
Intel: Software Guard Extensions (SGX)
Propriétés garanties matériellement (terminologie SGX) :
Isolation: le code tournant dans le TEE n’est pas influencé par un adversaire externe
Confidentialité: les données dans TEE sont privées et ne peuvent être observées
Attestation: le code tournant dans le TEE peut prouver son ‘identité’ il est possible de
lancer un calcul sur un TEE distant et d’obtenir des garanties d’intégrité sur le résultat
NB: l’exécution peut être ‘sans état’ (ne laisse pas de trace…)
31
32. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Architecture à 3 niveaux [IS’19]
Problème du cloud personnel tension sécurité – extensibilité
Eviter les fuites de données et réaliser des traitements BD avancés
Approche composant insuffisante
32
33. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Architecture à 3 niveaux [IS’19]
Problème du cloud personnel tension sécurité – extensibilité
Eviter les fuites de données et réaliser des traitements BD avancés
Approche composant insuffisante
Architecture orientée données – informatique de confiance
‘Noyau’ limité et sécurisé
Code de confiance (petit, prouvé)
Environnement sécurisé (Ex. Secure Element - SE)
33
Noyau
34. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Architecture à 3 niveaux [IS’19]
Problème du cloud personnel tension sécurité – extensibilité
Eviter les fuites de données et réaliser des traitements BD avancés
Approche composant insuffisante
Architecture orientée données – informatique de confiance
‘Noyau’ limité et sécurisé
Code de confiance (petit, prouvé)
Environnement sécurisé (Ex. Secure Element - SE)
‘Tâches BD’ avancées et isolées
Code extensible (volumineux, pas de confiance)
Environnement isolé (Ex. Trusted Execution Environment - TEE)
34
Noyau
Tâche
BD
Tâche
BD
35. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Architecture à 3 niveaux [IS’19]
Problème du cloud personnel tension sécurité – extensibilité
Eviter les fuites de données et réaliser des traitements BD avancés
Approche composant insuffisante
Architecture orientée données – informatique de confiance
‘Noyau’ limité et sécurisé
Code de confiance (petit, prouvé)
Environnement sécurisé (Ex. Secure Element - SE)
‘Tâches BD’ avancées et isolées
Code extensible (volumineux, pas de confiance)
Environnement isolé (Ex. Trusted Execution Environment - TEE)
Applications (App)
Environnement riche
Aucune hypothèse de sécurité (aujourd’hui)
35
Noyau
App
Tâche
BD
Tâche
BD
App
Sécurité
Extensibilité
36. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Proposition architecturale pour garantir les 5 propriétés [IS’19]
36
TCP/IP DNS
Apps
Untrusted modules
Core (proven code)
Isolated data task
Untrusted module/app
Protected databases
Code isolation
Attestation
Confidentiality
Peripheral isolation
Isolated Data-Tasks
Data
Collector
Personal
computation
Collective
computation
Decision
making
Core modules (proven)
Credentials,policies,
manifests,tasks, etc.
User’s & external user’s
data, derived data
Communication
- TLS-trusted
- Authentication
Policy enforcement
- Reference monitor
- Attestation
- Audit
Data storage
- Data storage & access
- Backup & recovery
37. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Nos technologies
1- Le cœur de PlugDB
2- Nos travaux plus prospectifs (en cours)
Quelles propriétés de sécurité pour le cloud personnel ?
Comment administrer ses données (cas du partage) ?
Comment participer à un calcul global avec ses données ?
37
38. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Partage sécurisé pour le cloud personnel [ISD’17, EBDT’18]
Contrôler le partage sans imposer la maitrise technique
Choix actuel : devenir expert (apprenti sorcier) ou déléguer (antinomique)
38
39. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Partage sécurisé pour le cloud personnel [ISD’17, EBDT’18]
Contrôler le partage sans imposer la maitrise technique
Choix actuel : devenir expert (apprenti sorcier) ou déléguer (antinomique)
Problème difficile du point de vue architectural
Sécurité décisions non contournables
Extensibilité modèles riches, solution générique (agnostique au modèle)
Contrôle par l’individu administration sans expertise
39
40. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Partage sécurisé pour le cloud personnel [ISD’17, EBDT’18]
Contrôler le partage sans imposer la maitrise technique
Choix actuel : devenir expert (apprenti sorcier) ou déléguer (antinomique)
Problème difficile du point de vue architectural
Sécurité décisions non contournables
Extensibilité modèles riches, solution générique (agnostique au modèle)
Contrôle par l’individu administration sans expertise
Idées principales
1- Garantir les effets du modèle mais pas le modèle lui-même
2- Rendre tous les effets appréhendables et contrôlables par l’individu
‘Share What You See with Who You Know’ (SWYSWYK)
40
41. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Challenge : des permissions ‘zéro-knowledge’
Attaques sur SWYSWYK
Les permissions produites par un modèle corrompu
peuvent porter une information sensible
Idées en cours d’investigation
Rejouer le modèle dans des enclaves ‘sans état’ pour trouver certaines dépendances…
41
42. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Nos technologies
1- Le cœur de PlugDB
2- Nos travaux plus prospectifs (en cours)
Quelles propriétés de sécurité pour le cloud personnel ?
Comment administrer ses données (cas du partage) ?
Comment participer à un calcul global avec ses données ?
42
43. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Focus sur : Big-Personal-Data (calcul collectif)
Exemples de calculs
Etude sociologique : nombre de cachets de Valium prescrits par entreprise ?
M. learning / IA : reconnaissance d’image, classification d’écritures bancaires (Cozy), etc.
Objectif
Calculs quelconques, à large échelle, assurant la vie privée:
(1) consentement, collecte et rétention limitées,
(2) seul le résultat du calcul est dévoilé à une tierce partie,
(3) le requérant a la garantie d’un résultat calculé honnêtement
43
44. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Techniques de calcul global
Vie privée différentielle, chiffrement homomorphe
Ne répondent pas à ce problème
Serveur central sûr (e.g., TrustedDB …)
Contredit l’hypothèse de décentralisation
Techniques ‘gossip’ respectueuses de la vie privée
répondent au point (2) uniquement
… et ne satisfont pas le critère de généricité
Protocoles SMC
répondent au point (2) uniquement
… mais ne satisfont pas la combinaison large échelle / généricité
44
45. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Réponse à base de PDMS + TEEs
Nouveau modèle d’attaque
Machine de l’utilisateur et infrastructure : potentiellement corrompues
TEEs : honnêtes en majorité, un petit groupe est instrumenté (exploitation de canaux-cachés)
Code du calcul, nombre de participants, clause de collecte/destruction : valides
Objectifs de sécurité allant au-delà de l’état de l’art
Conformité : code, nombre de participants, clause de collecte/destruction
Garanties mutuelles : l’utilisateur a la garantie d’un résultat honnête, sur des données valides, et
les participants peuvent vérifier que les autres se comportent honnêtement
Résistance aux attaques par canaux-cachés : impossible de cibler un participant donné, pas
d’impact ‘massif’ d’une attaque à la confidentialité
Principe
Framework basé sur un ‘manifeste’ de calcul exécuté dans des enclaves SGX
45
46. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Framework général
Contre-mesures génériques de sécurité :
Exécution globale vérifiable localement (sur chaque participant)
L’assignation des participants est ‘prouvablement’ aléatoire
46
Actors (citizen/legal person)
Manifest (spec.)
Manifest (exec.)
TEE protocol driver
TEE computation code
Untrusted protocol driver
PDMS (personal data)
Attestation
Confidentiality
Corrupted TEE
….
Participant Participant (corrupted)Participant
Querier Public DBRegul. Citizen identity
1 Querier specifies a manifest and publish it; Regul. certifies the manifest
Participants consent to manifest; Participants/querier build executable manifest
Participants execute manifest (query plan); Querier retrieves results (encrypted)
1 2 3
Legend:
2
3
result
47. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Contre-mesures spécifiques de sécurité (ex. Groupby ou k-means)
Pour toute fonction distributive/algébrique:
Exposition minimal des données sur chaque nœud partitionnement adapté
Performances / résistances au attaques par canaux-cachés
Exemple de partitionnement :
47
: Participants (N in total) : attestation & data flows
Result
Reducers
Mappers
Root
R1 R2
R11 R13 R21 R23
D1 D2 D3
R12 R22
48. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Conclusion
Equipe PETRUS
PErsonal and TRUSted Cloud – Inria Saclay-IDF et UVSQ
Un objectif
Concevoir une plateforme PDMS efficace et sécurisée
Axes de recherche
1- Architectures pour le Cloud Personnel
2- Modèles d’administration et mise en oeuvre sécurisée des politiques
3- Protocoles décentralisés de gestion de données personnelles
4- Implications juridiques, économiques et sociétales
Une volonté d’expérimentation et de transfert
Plateforme concrète : PlugDB
Un II-Lab (Inria-UVSQ-Hippocad) : ‘OwnCare’
49. N. Anciaux – Audition DR2PETRUS - Personal & Trusted Cloud – Nicolas Anciaux
Cloud Personnel, sujet interdisciplinaire par excellence
Entre …
informaticiens
Challenges SI x Big Data et IA x cryptographie x algo distribués x architectures logicielles et matérielles
… économistes
Modèles économiques liés à l’exploitation des données perso., incentives
… et juristes
Principe de responsabilité, privacy-by-design, quelle politique EU de la donnée…
De multiples questions ouvertes par le cloud personnel
Effets boomerang ? Empowerment individual/societal ?
Quel statut pour les données hébergées relatives à d’autres individus ?
98% of MIT students are happy to trade their friends' email addresses for free pizza... (National Bureau of Economic Research)
Monétisation des données personnelles comme incitation à la protection ?
Données personnelles comme moyen de paiement d’un service ?
Jusqu’où ouvrir le droit à la recupération ?
…
50. Questions ?
Equipe PETRUS : https://team.inria.fr/petrus
PlugDB : https://project.inria.fr/plugdb
Quelques références :
[IS’19] Personal Data Management Systems: The security and functionality standpoint
[EBDT’18] Reconciling Privacy and Data Sharing in a Smart and Connected Surrounding
[IS’17] Supporting secure keyword search in the personal cloud
[ISD’17] SWYSWYK: A Privacy-by-Design Paradigm for PIMS
[EDBT’16] Distributed Secure Search in the Personal Cloud