Mário s. alvim Docteur de l’École polytechnique Laboratoire d’informatique

MÁRIO S . ALVIMD O C T E U R D E L’ É C O L E P O LY T E C H N I Q U E

L A B O R ATO I R E D ’ I N F O R M AT I Q U E

Des approches formelles pour la protection d'information

Une analyse des systèmes interactifs, contrôle de divulgation statistique, et le raffinement des spécifications

P R I X D E T H È S E PA R I S T E C H1 6 N O V E M B R E 2 0 1 2

S U P E R V I S E U R : C AT U S C I A PA L A M I D E S S I

Prix de thèse ParisTech 2012 - Mário S. Alvim

19951996

19971998

19992000

20012002

20032004

20052006

20072008

20092010

20112012

0

500

1000

1500

2000

2500Utilisateurs(en millions)

Année

L’Internet se développe rapidement…

16.Nov.2012


… et nos données privées en ligne augmentent

Ce que l'on achète

Ce que l’on aime

Ceux que l'on connaît

Où l’on va

16.Nov.2012


Et si quelqu’un regarde nos données privées?

Ce que l'on achète

Ce que l’on aime

Ceux que l'on connaît

Où l’on va

16.Nov.2012


Les menaces à la vie privée sont réelles…

Si l’on fait abstraction des menaces?

1990: 87% des gens pouvaient être identifiés dans le recensement aux USA [Sweeney’00]

2005: Dé-anonymisation d’ADN [Malin&Sweeney’04]

2012: Le cas de l’hyper-marché et de l’adolescente enceinte [Forbes’12]

16.Nov.2012


… mais il faut quand même partager des données

La recherche médicale et pharmaceutique?

Le recensement et la planification gouvernementale?

Le Printemps Arabe en 2011?

16.Nov.2012

Si l’on protège trop les données?


La solution: partager les données privées d’une façon contrôlée

Fuites d’informationMesurer ce qu’il peut voir

Protection de la vie privéeLimiter ce qu’il peut voir

Les objectifs de cette thèse

Assurer que l’information estprotégée, toutefois utilisable

16.Nov.2012


Fuite

Utilité

Le contrôle de divulgation statistique

Vraie réponse

Mécanisme de requête

Base de données

Mécanisme de randomisation

Réponse fournie

16.Nov.2012


Differential privacy pour le contrôle de divulgation statistique

Differential privacy [Dwork’06]Les individus peuvent se joindre à la base de données sans augmenter significativement la divulgation de leurs données personnelles.

Sujet de recherche très actif(Microsoft, Facebook)

16.Nov.2012

Fuite

Utilité

Vraie réponse


Base de données


Réponse fournie

Pr [𝑅é𝑝𝑜𝑛𝑠𝑒∨𝐷]≤e𝜖 ⋅Pr [𝑅é𝑝𝑜𝑛𝑠𝑒∨𝐷 ′ ]


Les contribuitions de cette thèse

Les fondements scientifiques de la protection de la vie privée et de la differential privacy

16.Nov.2012

Fuite d’informationMesure de la fuite en

utilisant la théorie d’information (min-entropy)

Utilité de l’informationMéthode pour assurer l’utilité maximale, en

respectant les contraintes de confidentialité


Nos contributions (1 | 3) Un moyen de mesurer la fuite de la differential privacy

Mesure formelle de l'information révélée sur n’importe quelque personne en particulier

La limite de l’information révélée sur la base de données dans son ensemble (min-entropy)

Garanties mathématiques

précises regardant la vie privée des participants aux

bases de données

16.Nov.2012

Fuite

Utilité

Vraie réponse


Base de données


Réponse fournie


Nos contributions (2 | 3)Un mécanisme pour maximiser l'utilité de l'information statistique

16.Nov.2012

Fuite

Utilité

Vraie réponse


Base de données


Réponse fournie

Réponses fournies aussi près que possible des vraies réponses

Attention: en respectant les contraintes de confidentialité

Un mécanisme de randomisation

optimal et rapide pour la differential

privacy


Nos contributions (3 | 3)Le résultat final

16.Nov.2012

Le problème

Avec cette thèse

Résultats pratiques

L’anonymisation fournit des garanties très faibles

La differential privacy ajoute du bruit à la vraie réponse

En utilisant la théorie d’information, nous avons prouvé que la differential

privacy protège les données des individus

Nous avons crée une méthode optimale: pour n’importe quel niveau de

confidentialité souhaité, nous fournissons les réponses le

plus utilisables

Protection de l’information Utilité de l’information

Nous assurons que l’information est protégée , toutefois utilisable


En 3 ans de thèse

Première mesure dans la littérature pour les fuites de

systèmes interactifs

Fondements des menaces de

confidentialité utilisant la théorie d’information

Une méthode pour générer des

mécanismes privés avec l'utilité maximale

Conclusion: l'impact de cette thèse en sciences et ses applications dans le monde réel

Une analyse rigoureuse des

protocoles d'enchères en ligne

Une limite pour la fuite moyen: utile pour les grandes organisations

Un algorithme rapide préservant les données privées et leur utilité

16.Nov.2012

Continuation des travaux comme un post-doc à l’University of Pennsylvania, USA


Merci pour votre attention!

Des questions

16.Nov.2012


List of publications

16.Nov.2012

Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi. Quantitative Information Flow in Interactive Systems. Journal of Computer Security 20, Number 1, 2012. Pages 3-50.

Mário S. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, Pierpaolo Degano, Catuscia Palamidessi. Differential Privacy: on the trade-off between Utility and Information Leakage. 8th International Workshop on Formal Aspects of Security and Trust (FAST 2011), Leuven, Belgium.

Mário S. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, Catuscia Palamidessi. Quantitative Information Flow and Applications to Differential Privacy. Foundations of Security Analysis and Design VI (11th International School on Foundations of Security Analysis and Design), Bertinoro, Italy. Pages 211-230.

Mário S. Alvim, Miguel E. Andrés, Konstantinos Chatzikokolakis, Catuscia Palamidessi. On the Relation between Differential Privacy and Quantitative Information Flow. 38th International Colloquium on Automata, Languages and Programming (ICALP 2011), Zürich, Switzerland. Pages 60-76. (Invited paper associated to the invited talk of Catuscia Palamidessi.)

Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi. Probabilistic Information Flow. 25th Annual IEEE Symposium on Logic in Computer Science (LICS 2010), Edinburgh, UK. Pages 314-321. (Invited paper associated to the inveted talk of Catuscia Palamidessi.)

Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi, Peter van Rossum. Safe Equivalences for Security Properties. 6th IFIP International Conference on Theoretical Computer Science (IFIP TCS 2010), Brisbane, Australia. Pages 55-70.

Mário S. Alvim, Miguel E. Andrés, Catuscia Palamidessi. Information Flow in Interactive Systems. 21st International Conference on Concurrency Theory (CONCUR 2010), Paris, France. Pages 102-116.


References

16.Nov.2012

[Dwork’06] C. Dwork. Differential Privacy. Proceedings of ICALP (2006)

[Forbes’12] Forbes Magazine Online. How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did. Forbes Online (16/02/2012)

[Malin&Sweeney’04] B. Malin and L. Sweeney. How (not) to protect genomic data privacy in a distributed network: using trail re-identification to evaluate and design anonymity protection systems. J. of Biomedical Informatics, 37(3):179–192 (2004)

[Sweeney’00] L. Sweeney. Uniqueness of simple demographics in the US population. LIDAP-WP4. Carnegie Mellon University, Laboratory for International Data Privacy, Pittsburgh, PA (2000)

http://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

Mário s. alvim Docteur de l’École polytechnique Laboratoire d’informatique

Documents

Transcript of Mário s. alvim Docteur de l’École polytechnique Laboratoire d’informatique