[FR] A story of metadata par Alexandre Pujol
Et les métadonnées?
À chaque fois que vous accédez à un fichier sur un serveur vous générez des métadonnées. Ces métadonnées peuvent être l’adresse du fichier, sa taille, la date actuelle, l'identifiant du propriétaire du fichier... Un attaquant espionnant ce serveur peut intercepter toutes ces métadonnées et recueillir des informations sensibles sur vous, même si votre fichier est chiffré. D'un point de vue de l'attaquant, cela revient à pouvoir lire votre relevé téléphonique. Le serveur ayant besoin de ces informations pour traiter votre fichier, vous ne pouvez donc pas vous contentez de chiffrer ces métadonnées.
Le but de cette présentation est de suivre les étapes de conception d'un nouveau protocole de sécurité permettant d’empêcher la fuite de métadonnées. Cette analyse se fera depuis la découverte de ces fuites jusqu’à sa résolution en passant par toutes les étapes nécessaires à sa création. Je montrerais comment en utilisant des techniques classiques de forensique on peut récupérer en direct les métadonnées d'un serveur quand elles apparaissent en RAM. Ensuite, nous essayeront de comprendre comment empêcher la fuite de ces métadonnées sur ce serveur. Les différents protocoles que nous créerons sont couramment appelés "Oblivious RAM" (ORAM). Certains sont extrêmement simple mais aussi extrêmement lent, d'autre sont bien plus complexe et nécessiteront que l'on se penche sur des concepts assez récent comme le chiffrement homomorphique ou la signature en caméléon.
Si vous avez toujours pensé que le chiffrement était suffisant pour assurer votre vie privée sur internet ou si vous vous êtes toujours demandé ce que l'on pouvait faire avec des métadonnées, cette présentation est faite pour vous. Vous comprendrez comment vos métadonnées peuvent révéler plus sur votre vie de « personne qui n'a rien à cacher » que vos données. Vous réaliserez que chaque message envoyé depuis votre ordinateur peut potentiellement en dire énormément sur vous. Enfin, avant de devenir complètement paranoïaque, vous comprendrez que les solutions disponibles sont encore du domaine de la recherche et sont loin d’être prêtes pour un usage quotidien.
À propos de Alexandre Pujol @roddhjav
PhD Student in computer science in University College Dublin in the Performance Engineering Laboratory UCD. He has graduated from Polytech Marseille, France with a masters of computer science.