Sites Inria

English version

Interview

11/10/2016

Nextleap : sécurité des données nouvelle génération

Après avoir travaillé sur les protocoles de sécurité au MIT, Harry Halpin a rejoint l’équipe Prosecco d’Inria Paris en janvier 2016. Il coordonne le projet européen Nextleap, qui regroupe une équipe pluridisciplinaire. L’objectif : bâtir les protocoles de sécurité de demain, pour les applications de messagerie et d’identité.

Pouvez-vous nous expliquer comment est né le projet Nextleap ?

Nextleap est un projet de trois ans financé dans le cadre d’Horizon 2020 : le programme européen qui accorde des crédits à des projets de recherche essentiels pour les années à venir. Récemment, nous avons connu d’importants problèmes de sécurité en Europe et concomitamment, les services en ligne sont de plus en plus centralisés dans quelques entreprises américaines. Nous voulons établir un lien entre la décentralisation tout en offrant plus de sécurité et de vie privée. Les nouveaux services tels que Whatsapp, Messenger, Twitter etc. sont bâtis en Html, le standard W3C (world wide web) et TCP/IP. Mais certaines régions dans lesquelles ces applications sont utilisées ne disposent pas de ces standards.

Ces standards n’existent pas au niveau de l’envoi des messages eux-mêmes, ce qui fait que les messages dans ces services ne sont ni sécurisés ni privés. Nous manquons très largement de recherche sur la sécurité des données. L’objectif de Nextleap est donc de créer des protocoles de nouvelle génération pour introduire de la sécurité dans les réseaux sociaux et dans toutes ces nouvelles applications offertes par internet. Il y a eu beaucoup de travaux, dans les années 90 concernant le cryptage des messages, mais il était trop tôt. Par exemple, on s’aperçoit aujourd’hui que les protocoles TLS, sont sensibles aux attaques, comme l’a démontré la recherche Prosecco. Nous avons besoin d’une nouvelle génération de protocoles. Il n’y a pas de standards de sécurité pour les applications de messagerie ou des applications d’identité.

Concrètement, quelles sont les conséquences d’un tel manque de standards de sécurité ?

Nous avons des exemples de militants pour les droits de l’Homme, qui utilisaient des applications de messagerie non-sécurisées. En Iran, par exemple, ils utilisaient Telegram, qui se promeut comme un service sécurisé, mais en réalité le logiciel qu’ils utilisent est tout-à-fait attaquable. Ces activistes peuvent être pris pour cible et même courir le risque d’être tués. Pour des entreprises européennes, ou même des gouvernements, la sécurité des communications est aussi essentielle. Regardez le scandale des emails d’Hillary Clinton, aux États-Unis. Les gouvernements européens peuvent-ils faire confiance à Gmail ? Il y a eu un combat au niveau européen après les révélations d’Edward Snowden et les gouvernements se sont demandé comment ils pourraient s’assurer de la sécurité de leurs communications alors que leurs données étaient stockées aux États-Unis. Le Safe Harbor Privacy Principles , l’accord qui garantissait la sécurité des données de protection européennes, a été invalidé en octobre 2015 par la Cour de justice européenne. Il nous faut donc trouver de nouveaux protocoles qui permettront de concrétiser les droits des citoyens.

Mais le « data-mining  » est une source de revenus pour de nombreuses entreprises qui peuvent ainsi mieux cibler leur marketing…

Oui, c’est pourquoi nous cherchons à concevoir des systèmes qui permettent d’analyser des données sans les rendre accessibles. Les gens devraient être certains que personne n’espionne leurs données. Le règlement général sur la protection des données est respecté en France et en Europe sur la bonne volonté des entreprises. Mais nous devons concevoir des standards techniques qui le garantissent. Aujourd’hui, des entreprises gagnent de l’argent en comprenant ce que font les usagers de leurs services en ligne. C’est très bien ! Mais je pense que c’est faisable d’une manière qui respecte la sécurité. Par exemple, si j’essaie de vous vendre des chaussures, je ne m’intéresse pas à vous en particulier mais aux données d’un groupe de personnes à qui je pourrais vendre mes chaussures. Je n’ai donc pas besoin des données individuelles en elles-mêmes mais des résultats du machine learning . Ce que l’on veut ce sont des réponses et non vos données. Il est possible de créer des algorithmes qui permettent cela.

Ces nouveaux protocoles devront concerner des applications et des services en lignes qu’utilise le grand public. C’est une question à laquelle vous réfléchissez ?

Oui, c’est la raison pour laquelle notre équipe est pluridisciplinaire car ces questions soulèvent de nombreuses questions sociales, politiques et éthiques. La commission européenne a recommandé que nous travaillions avec des sociologues et des philosophes. Nous sommes très heureux de compter Bernard Stiegler de l’institut de recherche et d’innovation parmi nous, il est philosophe, spécialisé dans l’impact des grandes mutations technologiques sur la société. Nous travaillons également avec une équipe de sociologues de la Sorbonne et du CNRS qui enquêteront sur les attentes des utilisateurs autour de la sécurité. Nos résultats seront publiés en open source , afin que chacun puisse les utiliser et nous espérons que de nombreuses compagnies ainsi que le grand public se mettront aux protocoles.

Mots-clés : Nextleap Nouvelle génération Sécurité Données Prosecco Europe

Haut de page

Suivez Inria tout au long de son 50e anniversaire et au-delà !