Modèle Android de protection de la vie privée

Modèle Android de protection de la vie privée

Nous présentons dans cette section les étapes clés du modèle de protection de la vie privée sur Android . Nous détaillerons dans un premier temps son cadre légal. Puis nous étudierons le versant utilisateur du processus à savoir le système d’autorisations et de consentement. Enfin, nous expliquerons le versant technique à savoir la déclaration et validation des permissions.

Aspects juridiques : Politiques de confidentialité 

Quand il est question de données personnelles et service en ligne, l’approche « notification et consentement » est la norme. Cette approche informe l’utilisateur des pratiques de confidentialité du service, à savoir de collecte et traitement des données personnelles, et donne à l’utilisateur le choix de s’engager, ou non, avec le service. Les médias sociaux mobiles ne dérogent pas à la règle. La demande de consentement se fait à l’inscription, nécessitant une action de la part de l’utilisateur : cocher la case « J’ai lu et accepte les conditions d’utilisation du service et politiques de confidentialité », appuyer sur un bouton « En cliquant sur créer un compte, vous acceptez nos conditions et indiquez que vous avez lu notre politique de confidentialité » ou autre. D’autre part, Google Play, marché applicatif officiel d’Android, exige que les applications, traitant des informations personnelles ou sensibles, fassent preuve de transparence et publient des règles de confidentialité sur la fiche Google Play Store de l’application, ainsi que dans l’application en elle même (Google Play, 2017). Ces règles doivent décrire dans le détail les méthodes de collecte, d’utilisation et de partage des données de l’utilisateur et l’application doit limiter la pratique (collecte, utilisation partage de données) au cadre. Enfin, la loi applicable peut imposer d’autres mesures et pénalités en termes d’atteinte à la vie privée des utilisateurs.

Dans ce mémoire, nous nous concentrons uniquement sur la collecte des informations personnelles ou sensibles, et, plus précisément sur les informations recueillies sur l’utilisateur. Les informations qu’il saisit sont en dehors du cadre de l’étude.

Notifications et consentement utilisateur

Le système d’autorisations
Comme principal mécanisme de protection de la vie privée des utilisateurs, Android utilise un modèle sophistiqué d’autorisations. Sur les plateformes mobiles, le système d’autorisations régit la manière dont les applications accèdent à certaines ressources, telles que les informations à caractère personnel, les données du mobile et du réseau ou encore les données des capteurs (caméra, GPS, etc.). Les applications Android s’exécutent dans un « bac à sable », zone isolée qui n’a pas accès au reste des ressources du système, sauf si des autorisations d’accès leur sont accordées. Le processus d’autorisation est en deux étapes. Dans un premier temps, le développeur déclare que son application requiert des permissions d’accès à des ressources du mobile (mémoire, capteurs, connectivité, etc.) dans le manifeste de l’application. Dans un second temps, l’utilisateur est invité à examiner et accorder ou refuser l’accès aux ressources lors de l’installation ou de l’exécution de l’application.

En pratique, une autorisation est une courte proposition générique telle que « Lire le journal d’appel » ou « Accéder à votre position précise (GPS et réseau) » de demande d’accès à une ressource, ici le journal d’appel ou les coordonnées GPS du mobile, sans information supplémentaire de son utilité pour le fonctionnement de l’application. Plus précisément, une autorisation Android est une traduction en langage naturel d’une permission d’accès à une ressource destinée à informer l’utilisateur des besoins de l’application.

Changements dans le système d’autorisations Android
Les versions antérieures à Marshmallow, la sixième version Android sortie au cours de l’été 2015, avaient un système d’autorisations binaire qui présentait à l’installation la liste des autorisations requises par l’application. Si l’utilisateur refusait de concéder une ou plusieurs des autorisations listées, sa seule option était de renoncer à installer l’application (Android Developpers : System Permissions, 2017). De précédentes études (Felt, Chin, Hanna, Song, & Wagner, 2011) ont révélé que ce système était inefficace en termes de responsabilisation de l’utilisateur final en relation à la vie privée : l’utilisateur n’était pas en mesure de comprendre ni de contrôler, l’accès des applications à ses données privées. Vient s’ajouter à cela la prolifération d’applications demandant plus d’autorisations que nécessaire (Gorla, Tavecchia, Gross, & Zeller, 2014) et le problème de l’accoutumance de l’utilisateur. Comme l’utilisateur ne comprend pas toujours pourquoi une application nécessite une donnée ou une fonctionnalité spécifique, il n’est pas en mesure d’identifier les cas de surréclamation d’autorisations. Aussi, les demandes d’autorisations systématiques à l’installation altèrent fortement la capacité d’attention rationnelle et de compréhension des individus. Cette altération met à mal la capacité de donner l’aval (consentement) et de contrôler la légitimité de la demande. Dès lors, une majorité d’utilisateurs acceptent les autorisations sans les lire afin d’avoir accès aux services ou fonctionnalités des applications (Felt, Ha, et al., 2012).

Le nouveau modèle d’autorisations Android (version Marshmallow et ultérieures) introduit un changement majeur en demandant les autorisations lors de l’exécution de l’application. La documentation officielle d’Android pour les développeurs (Android Developpers : Permissions Overview, 2018) classe les autorisations en deux catégories en termes de sécurité et risque d’atteinte à la vie privée : normale et dangereuse. Une autorisation est considérée dangereuse quand elle permet l’accès à des informations sensibles : données stockées sur l’appareil ou données captées à caractère personnel (Localisation, SMS, Contacts, etc.). Une autorisation est dite normale lorsqu’elle accède à des ressources pas ou peu sensibles, avec un risque d’atteinte à la vie privée de l’utilisateur ou au fonctionnement des autres applications du mobile très limité. Ainsi, les autorisations normales sont accordées d’office par le système et ne sont pas révocables. Elles doivent être cependant notifiées dans le manifeste, sans quoi elles ne sont pas accordées. Cela permet notamment de respecter l’exigence de transparence de Google Play et Android et d’informer un utilisateur soucieux de sa vie privée. Les permissions dangereuses sont demandées la première fois que l’application les requiert à l’exécution. Cela permet une contextualisation de l’autorisation et ainsi une meilleure compréhension de l’utilisateur. De plus, l’utilisateur peut, à tout moment, consulter, accorder ou révoquer les autorisations dangereuses d’une application dans Paramètres/Applications/Autorisations. Ainsi l’utilisateur est responsabilisé et peut contrôler les applications susceptibles d’affecter sa vie privée. Le modèle est basé sur le principe de minimisation des privilèges (Andriotis, Sasse, & Stringhini, 2016) : il suppose que les applications pourront fonctionner avec service dégradé pour les fonctionnalités nécessitant des permissions récusées par l’utilisateur que nous appellerons dans la suite un « niveau basique ». Cela se traduit, par exemple, par une localisation approximative ou l’absence de synchronisation des contacts de l’application avec le carnet d’adresses du mobile.

Table des matières

INTRODUCTION
CHAPITRE 1 NOTIONS PRÉLIMINAIRES
1.1 Le système Android
1.1.1 Architecture
1.1.2 Modèle de sécurité
1.2 Modèle Android de protection de la vie privée
1.2.1 Aspects juridiques : Politiques de confidentialité
1.2.2 Notifications et consentement utilisateur
1.2.2.1 Le système d’autorisations
1.2.2.2 Changements dans le système d’autorisations Android
1.2.2.3 Analyse du nouveau système d’autorisations
1.2.3 Définition et vérification des permissions
1.2.3.1 Définition des permissions
1.2.3.2 Vérification des permissions
1.2.3.3 Permissions dangereuses
1.2.4 Résumé
CHAPITRE 2 PROBLÈME ET MÉTHODOLOGIE
2.1 Problème étudié
2.1.1 Accès effectif aux ressources par les applications
2.1.2 Collecte de données et médias sociaux
2.2 Méthodologie
2.2.1 Identification d’une problématique
2.2.2 Étude a priori
2.2.3 Étude pratique
2.2.4 Démonstration de faisabilité
2.2.5 Expérience
CHAPITRE 3 REVUE DE LITTÉRATURE
3.1 Détection et prévention de fuite d’information sur Android
3.1.1 Analyse de flux statique
3.1.2 Analyse de flux dynamique
3.1.3 Analyse de flux hybride
3.1.4 Limitations des solutions d’analyse de flux d’information
3.1.5 Analyse du flux réseau
3.1.6 Modification du modèle d’exécution
3.2 Sensibilisation des utilisateurs aux risques d’atteinte à leur vie privée
3.2.1 Production participative
3.2.2 Apprentissage machine
3.2.3 Traitement automatique du langage naturel
3.2.4 Limitations des gestionnaires d’autorisations Android
3.2.5 Aide et stimulus à la conscientisation de l’utilisateur
3.2.6 Conclusion
CHAPITRE 4 ANALYSE A PRIORI
4.1 Introduction
4.2 Politiques de confidentialité
4.2.1 Définitions et généralités
4.2.2 Présentation du jeu de données étudié
4.2.3 Déclarations de collecte de données captées et choix utilisateur
4.2.4 Obstacles à un consentement averti
4.3 Autorisations et Permissions
4.3.1 Observations à trois niveaux : Google Play, paramètres et manifeste
4.3.2 Défaut d’information et explications
4.3.2.1 Les permissions / autorisations dangereuses
4.3.2.2 Les permissions / autorisations normales
4.3.2.3 Les permissions signature et les autorisations spéciales
4.3.3 Les limitations
CHAPITRE 5 ÉTUDE DES ACCÈS AUX RESSOURCES
5.1 Cadre de l’étude
5.2 Interactions inter-applications : Précisions sur les Intents
5.3 Outils : collecte et traitement des données
5.4 Statistiques d’accès aux ressources
5.4.1 Fonctionnalités de localisation et messagerie texte
5.4.2 Complexité de l’analyse des mesures
5.4.2.1 Complexité au niveau quantitatif
5.4.2.2 Complexité au niveau qualitatif
5.5 Résultats
5.5.1 Paramètres expérimentaux
5.5.2 Résultats globaux
5.5.3 Accès à la messagerie texte
5.5.4 Accès à localisation
CHAPITRE 6 RESTRICTION DES ACCÈS SELON LE CONTEXTE
6.1 Améliorations viables du système d’autorisations
6.1.1 Rappels
6.1.2 Obtenir un consentement éclairé
6.1.3 Lier les autorisations au contexte
6.2 Test de faisabilité
6.2.1 Exigences techniques
6.2.2 Évaluation de l’impact sur les fonctionnalités des applications
6.2.2.1 La messagerie texte
6.2.2.2 La localisation
CONCLUSION

Cours gratuitTélécharger le document complet

 

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *