Description
Date depot: 1 janvier 1900
Titre: Controle d Usage et Protection de la Vie Privee dans la Gestion des Donnees
Directeur de thèse:
Refik MOLVA (Eurecom)
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini
Resumé:
Grâce à l’essor de l’informatique en général et au succès des applications distribuées, les utilisateurs sont amenés à partager de plus en plus d’informations à caractère privé avec un grand nombre d’entités dans le réseau global. Un premier besoin de sécurité qui est pris en compte par la plupart des outils informatiques est de contrôler l’accès des autres à ses propres informations. Un autre besoin qui devient important en raison des applications distribuées consiste à empêcher la divulgation à des tierces parties, la diffusion en nombre ou simplement la conservation de ces informations par les entités qui y ont accédé en premier lieu et d’une façon légitime. La prise en compte de ces besoins par les applications distribués est très partielle et se limite souvent au traitement du contrôle d’accès. Par exemple, les applications de réseau social offrent des mécanismes pour limiter l’accès aux données personnelles aux seuls « amis » ou au cercle d’entités fiables tandis qu’il n’y a pas de solution permettant à un utilisateur de ces applications de s’assurer que les données privées ou les informations personnelles ne seront pas divulguées par les amis eux-mêmes. Cette exigence qui va au-delà du simple contrôle d’accès correspond à une problématique de la sécurité informatique appelée « contrôle d’usage ».
Cette thèse traitera le problème de contrôle d’usage dans la gestion des données en mettant l’accent sur la protection de la vie privée. Parmi les objectifs de la sécurité informatique, le contrôle d’usage vise à garantir l’utilisation des données ou des ressources conformément aux politiques de leurs propriétaires pendant toute la durée de vie de ces données ou de ces ressources. Le contrôle d’usage est donc un objectif très ambitieux et tente d’assurer des garanties qui dépassent largement le cadre du contrôle d’accès qui se borne à une vérification instantanée des droits ou de l’autorisation au moment de l’accès aux données ou aux ressources. Ainsi le contrôle d’accès vérifie seulement si un utilisateur a le droit de lire un fichier au moment de la demande de lecture par cet utilisateur tandis que le contrôle d’usage doit vérifier en plus que l’utilisation des données qui a lieu après est autorisée et empêcher toute utilisation non-autorisée pendant toute la durée où les données sont conservées par l’utilisateur. Contrairement au contrôle d’accès qui est un des domaines les mieux traités dans la sécurité informatique, le contrôle d’usage est un problème qui est très peu étudié et qui ne se prête guère à des solutions simples par l’application des méthodes usuelles de la sécurité informatique et de la cryptographie.
Les approches existantes visant à assurer le contrôle d’usage se résument en trois catégories :
- environnements contrôlés : ce sont des solutions réservées aux environnements « propriétaires » ou « fermés » où l’ensemble des utilisateurs et des systèmes informatiques sont gérés par un organisme hiérarchique où les responsabilités sont clairement définies et les actions sont imputables.
- solutions basées sur la confiance : les entités qui sont amenées à traiter les données sont fiables dans le sens que celles-là respectent la politique de contrôle d’usage ; par exemple, dans un scénario client-serveur de ce type, les serveurs sont considérés fiables et ne garderont pas la copie des données privées des utilisateurs au-delà du laps de temps nécessaire à une vérification.
- les solutions matérielles : ces solutions visent à étendre le contrôle d’usage au-delà d’un environnement fermé en permettant à tous les utilisateurs d’un système ouvert de bénéficier du contrôle d’usage du moment que chaque exécutant est équipé d’un module matériel qui garantit la mise en œuvre des politiques de contrôle d’usage. Les solutions pour la protection des droits numériques (digital right management) font partie de cette catégorie.
Doctorant.e: Leontiadis Iraklis