Sites Inria

Données

10/06/2013

Espionner les espions ? Une mission pour Inria et la Cnil

Sécurité & smartphone Sécurité & smartphone - © JimmyAnderson / iStockiphoto

Pour améliorer la protection de la vie privée, dans le cadre de l’usage des smartphones et d’Internet, Inria et la Cnil ont uni leurs efforts. Il en résulte plusieurs projets, ainsi que des vagues de tests pour mettre en évidence la "fuite" organisée d’informations à caractère personnel.

« Début 2012, notre équipe s’est rapprochée de la Cnil, explique Claude Castelluccia, responsable de l’équipe Privatics à Inria Rhone-Alpes, ce qui a débouché sur une convention de collaboration entre nos deux institutions. Son premier objectif est de sensibiliser les chercheurs d’Inria aux problématiques de recueil et de traitement des données personnelles. Le second objectif est d’apporter l’expertise d’Inria à la Cnil, et notamment à son service Innovation, pour l’aider à adopter des démarches pro-actives sur les questions de données personnelles et donc d’anticiper sur des problèmes à venir. »  Réciproquement, cette collaboration apporte à Inria une vue plus directe des problèmes de protection de la vie privée, tels qu’ils se présentent au quotidien...

Cette convention devrait conduire à plusieurs projets de collaboration. Le premier d’entre-eux, Mobilitics , concerne la protection de la vie privée dans le cadre d’usage des téléphones et autres tablettes - ce projet annuel étant renouvelé pour l’année 2013. « Dans le cadre de Mobilitics, nous étudions les informations qui "fuient" des terminaux mobiles. Pendant la première année du projet, en 2012, nous avons conçu et développé des outils de capture pour terminaux mobiles. En cette année 2013, nous allons procéder à des vagues de tests, et analyser les données récoltées » , détaille Claude Castelluccia.

Des informations recueillies à l’insu de l’utilisateur

Pour sa part, Vincent Roca est chercheur dans l’équipe Privatics, et il suit le projet Mobilitics . « Nous avons développé des outils logiciels et des spywares, explique t-il qui cherchent à détecter les données "fuitées" par les applications. »  Ces outils enregistrent les événements et les accès aux données privées (telles que le carnet d’adresses de l’utilisateur).

« Notre démarche est novatrice, dans le sens où nous faisons tourner ces spywares pendant plusieurs mois afin d’identifier le volume et la nature des informations personnelles que les applications recueillent et accumulent). Par exemple, il est important de savoir avec quelle fréquence on se trouve géolocalisé par une application : tous les jours, toutes les heures, toutes les minutes, le jour, la nuit, etc. ? Du coup, nous pourrons émettre des hypothèses sur l’utilisation des informations ainsi recueillies à l’insu de l’utilisateur » , poursuit Vincent Roca.

Aujourd’hui, ces tests sont faits soit en laboratoire soit en usage quotidien par des volontaires, tous employés d’Inria ou de la Cnil. « Nous ne prévoyons pas de diffuser vers le grand public ces logiciels, en particulier parce qu’ils nécessitent de contourner la protection des smartphones, une pratique qui augmente largement la vulnérabilité du téléphone » , souligne Claude Castelluccia. Sur le plan technique, les études ont commencé par iOS (Apple ) et se prolongent désormais sur Androïd (Google ).

Révéler à l’utilisateur qu’il est espionné

Le second aspect des recherches engagées dans le cadre de Mobilitics concerne la visualisation des données.
« Notre objectif est de donner du sens aux données recueillies, en les visualisant sur l’écran d’un ordinateur. Nous développons donc des outils qui permettent à l’utilisateur de visualiser sur une carte les lieux et les instants où une application l’a géolocalisé, peut être à son insu. C’est un aspect important pour la Cnil, qui souhaite publier les résultats de tests vers le grand public, dans le cadre d’actions de sensibilisation. En avril 2013, la première conférence de presse Inria-Cnil avait justement l’objectif de présenter les premiers résultats au grand public. »

Mobilitics s’inscrit dans un axe de recherche plus global qui consiste, en résumé, à espionner les espions où qu’ils agissent : sur Internet, sur mobiles, sur téléphones fixes, dans les magasins physiques, et via les multiples capteurs qui se raccordent aux smartphones ... Pour Vincent Roca : « C’est un rôle qui nous semble important d’un point de vue citoyen, dans le cadre de la mission de service public d’Inria, que de contribuer à protéger les individus et à tracer les traceurs, amener de la visibilité et de la transparence dans un système que les acteurs industriels veulent rendre opaque. »  Au moment de conclure, Claude Castelluccia souligne que « l’année 2012 a été celle du développement des outils mais 2013 sera probablement celle de nombreux constats » . À suivre !

Mots-clés : Smartphone Privatics Mobilitics CNIL Données

Haut de page

Suivez Inria tout au long de son 50e anniversaire et au-delà !