Description
Date depot: 1 janvier 1900
Titre: Gestion de la vie privée dans les environnements fédérés
Directrice de thèse:
Maryline LAURENT (LTCI (EDMH))
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini
Resumé:
Aujourd'hui, il suffit qu'un utilisateur utilise l'Internet comme outil de travail pour qu'il voit ses comptes informatiques associés se multiplier. Les réservations d'hôtel, la gestion de comptes bancaires, la vente par correspondance, le service de transactions électrniques sécurisées (Paypal), la vente aux enchères (eBay...) sont autant de comptes avec, pour chacun, un login et mot de passe à retenir. Qui plus est, pour chaque achat en ligne effectué avec sa carte bancaire auprès d'un site marchand, un utilisateur doit décliner à chaque fois son nom, son numéro de carte bancaire auprès d'un site marchand, un utilisateur doit décliner à chaque fois son nom, son numéro de carte bancaire avec date de validité. Malgré toutes les garanties de confidentialités et de bonne gestion des données de cartes bancaires par le site marchand, le risque est non négligeable de découvrir par la suite que des achats en ligne ont été facturés sur votre compte bancaire.
Face à ce constat, les outils de fédérations d'identités proposent que l'utilisateur centralise ses paramètres d'authentification dans un seul serveur appelé fournisseur d'identité (IDP- IDentity Provider) et que les différents fournisseurs de services (SP- Service Provider)fassent confiance à l'authentification opérée par ce serveur pour offrir l'accès ou non au service. Ces outils étendent le concept de SSO (Single Sign On) qui consiste à n'authentifier qu'une seule fois un utilisateur qui a alors accès avec ses droits propres à un ensemble de services applicatifs.
Trois architectures de fédération d'identité -Shibbolth, Liberty Alliance et WS-Federation- sont aujourd'hui définies avec leurs propres technologies (SAML, SOAP, XML, HTTP ...) et leurs propres contextes d'applications.
Dans ces architectures où les attributs des utilisateurs (adresse email, numéro de téléphone, numéro de cartes bancaires, numéro de passeport ...) sont gérés électroniquement par des serveurs, il est clair que le respect de la vie est au centre de bien des préoccupations et les solutions techniques doivent impérativement apporter des réponses satisfaisantes. En effet, il faut s'assurer que les données personnelles ne sont pas divulguées à tout serveur en ayant fait la demande et que, dans le cas de serveurs autorisés à récupérer une telle demande, ces données sont exploitées dans un contexte bien défini et autorisé par l'utilisateur. Il faut aussi que les attributs échangés dans un message soient protégés contre d'éventuelles écoutes du réseau. Enfin, le détail des opérations effectués par un utilisateur sur un fournisseur de service doit rester confidentiel; pour cela, le fournisseur d'identité peut très bien communiquer un pseudonyme au fournisseur de service de manière que le fournisseur de service ait l'assurance que l'utilisateur s'est bien authentifié sans pour autant connaître son identité précise. Le principe de pseudonymat permet de garantir que les traces laissées par un utilisateur ne sont pas conservées à des fins commerciales ou autres.
Les travaux de thèse s'intéresseront au respect de la vie privée dans telles architectures. Ils couvriront également la complémentarité (voir le recouvrement d'intérêts) à attendre des architectures de fédération d'identité vis-à-vis des techniques d'authentification aujourd'hui classiques: AAA (Authentication, Authorization, Accounting) et PKI(Public Key Infrastructure). Enfin cette thèse étudiera l'apport que pourrait avoir la technique de gestion d'identité dans les domaines encore aujourd'hui non sécurisés comme le P2P (Peer-To-Peer), et en particulier elle s'interrogera sur la forme que pourrait prendre le fournisseur d'identité en tant que tiers de confiance pour servir non seulement à l'authentification des entités P2P, mais aussi à la mise en place d'une sécurité inter noeuds P2P (2ème objectif).
Cette thèse est réalisée dans le cadre du projet FC2 (Fédération de Cercles de Confiance et usages sécurisés de l'identité).
Doctorant.e: Dari Kheira