Get best of the week

L'anonymisation des données ne garantit pas votre anonymat complet



On pense que les informations «impersonnelles» que de nombreuses entreprises aiment collecter et utiliser ne protègent pas vraiment une personne de l'anonymisation si les données s'infiltrent soudainement dans le réseau ou sont utilisées pour les intérêts de quelqu'un d'autre. Cloud4Y indique si c'est le cas.

L'automne dernier, le fondateur d'Adblock Plus, Vladimir Palant, a analysé les produits Avast Online Security, AVG Online Security, Avast SafePrice et AVG SafePrice et a conclu qu'Avast utilise son logiciel antivirus populaire pour collecter et vendre ensuite les données des utilisateurs. Le battage médiatique a rapidement disparu, car le directeur exécutif d'Avast, Ondrei Vlcek, a convaincu les utilisateurs que les données collectées étaient aussi anonymes que possible, c'est-à-dire privées de tout lien avec l'identité d'une personne en particulier.

"Notre entreprise n'autorise pas les annonceurs ou les tiers à accéder via Avast ou toute autre donnée qui permettrait à des tiers de cibler une personne spécifique", a-t-il déclaré.

Cependant, une étude menée par des étudiants de l'Université de Harvard montre que la dépersonnalisation des informations collectées est loin d'être une garantie de protection contre la «désanonymisation», c'est-à-dire la divulgation de l'identité d'une personne sur la base des données de la base de données. De jeunes scientifiques ont créé un outil qui parcourt d'énormes tableaux d'ensembles de données de consommation qui sont entrés en libre accès à la suite de négligence, de piratage ou d'une autre sorte de fuite.

Le programme a été alimenté par toutes les bases de données qui ont fui sur le réseau depuis 2015. Y compris les données des comptes MyHeritage, les données des utilisateurs d'Equifax, Experian, etc. Malgré le fait que beaucoup de ces bases de données contiennent des informations «anonymisées», les étudiants disent que l'identification des utilisateurs réels n'a pas été si difficile.

Le principe de fonctionnement est assez simple. Le programme prend une liste d'informations d'identification (e-mail ou nom de la personne), puis analyse toutes les bases de données divulguées à la recherche d'informations correspondant aux paramètres spécifiés. S'il y a des correspondances, les élèves obtiennent plus d'informations sur la personne. Et parfois, cette information suffit à l'identifier clairement.

Rassembler des morceaux de votre personnalité




Une fuite individuelle est comme une pièce de puzzle. En soi, il n'est pas particulièrement utile, mais lorsque de nombreuses fuites sont collectées, devenant une base de données unique, vous pouvez obtenir une image étonnamment claire de notre personnalité. Les gens peuvent oublier ces fuites, mais les pirates ont la possibilité d'utiliser ces données après beaucoup de temps. Il suffit de rassembler quelques pièces de puzzle supplémentaires.

Imaginez qu'une entreprise ne puisse stocker que des noms d'utilisateur, des mots de passe, des adresses e-mail et d'autres informations de compte de base, une autre entreprise peut stocker des informations sur votre navigation et rechercher des requêtes ou des données sur votre emplacement. Ces informations seules ne vous permettront pas d'être identifié, mais dans l'ensemble, elles peuvent révéler de nombreux détails personnels que même vos amis et votre famille les plus proches peuvent ne pas connaître.

Le but de la recherche étudiante est de montrer qu'une telle collecte de données, quelle que soit son impersonnalité, constitue toujours une menace potentielle pour les utilisateurs. Un ensemble de données provenant d'une source peut être facilement lié à une autre via une ligne présente dans les deux ensembles. Autrement dit, vous ne devez pas penser que vos informations personnelles sont en sécurité uniquement parce que l'entreprise impliquée dans la collecte et le stockage des données assure sa complète dépersonnalisation.

Il existe d'autres preuves de cela. Par exemple, dans une étude britannique , les scientifiques de l'apprentissage automatique ont pu créer un programme qui pourrait identifier correctement 99,98% des Américains dans n'importe quel ensemble de données anonyme en utilisant seulement 15 caractéristiques. Une autre étude réalisée par des représentants du Massachusetts Institute of Technology,ont montré que les utilisateurs peuvent être identifiés dans 90% des cas si seulement quatre paramètres de base sont utilisés.

Il s'avère qu'individuellement, les fuites d'informations sont assez douloureuses, mais ensemble, elles deviennent un véritable cauchemar.

Le problème n'est pas seulement dans les entreprises


Mais ne blâmez pas seulement l'entreprise. Malgré les nombreux scandales entourant les fuites de données confidentielles, qui sont devenues presque un phénomène hebdomadaire, le public sous-estime considérablement l'impact de ces fuites et hacks sur la sécurité personnelle. Par conséquent, il ignore les mesures de sécurité de base. Ainsi, après avoir analysé l'un des ensembles de données de sortie du programme, les étudiants de Harvard ont découvert que sur 96 000 mots de passe contenus dans la base de données, seulement 26 000 étaient uniques.

Autrement dit, les gens sont trop paresseux pour trouver quelque chose de compliqué en utilisant des mots de passe de modèle. Voici, par exemple, la récente publication sur Habré sur ce sujet. Les leaders sont les mots de passe «12345» et «123456». Avec une telle protection, aucune technologie n'économisera du piratage. Il est difficile de protéger les données d'une personne si elle ne fait aucun effort pour le faire.

Il y a une nuance: les « Recommandations méthodologiques pour l'application de l'arrêt Roskomnadzor du 5 septembre 2013 N 996« Sur l'approbation des exigences et des méthodes de dépersonnalisation des données personnelles »(approuvées par Roskomnadzor le 13/12/2013) sont en vigueur en Russie . Ces recommandations vous permettent d'atteindre un très haut niveau de dépersonnalisation. Et si vous n'économisez pas sur cette procédure, remplacer votre nom complet par une pièce d'identité (tout le monde se souvient probablement à quel point les noms des enfants de l'ancien procureur général de Russie, Artyom et Igor Chaika, à Rosreestr, ont été transformés en codes LSDU3 et YFYaU9 ).

Que puis-je ajouter? On a tellement parlé de l'importance d'utiliser des mots de passe uniques qu'il n'a aucun sens de se répéter. Et les entreprises continueront de collecter des données, nous rassurant avec des promesses de dépersonnaliser tout autant que possible. Mais, comme vous le voyez, ces promesses ne sont pas toujours fiables.

Quoi d'autre peut être utile à lire sur le blog Cloud4Y

Comment la banque s'est «cassée»
Confidentialité personnelle? Non, ils n'ont pas entendu
Kaboom: un sapeur inhabituel
Diagnostics de connexion réseau sur un routeur EDGE virtuel
→ Les virus résistants aux CRISPR construisent des «abris» pour protéger les génomes des enzymes pénétrant l'ADN

Abonnez-vous à notre télégramme-canal, pour ne pas rater un autre article! Nous écrivons pas plus de deux fois par semaine et uniquement pour affaires.

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles