Identification des menaces à la vie privée - Partie 2 : "Identification des types importants d’attaques"

"Identifier les types d’attaques majeures" fournit un aperçu concis des principales menaces pour la vie privée, telles que les violations de données, l’ingénierie sociale et l’analyse des métadonnées.

TYPES DE MENACES POUR LA VIE PRIVÉE

Les types de menaces à la vie privée LINDDUN vous aident à raisonner sur d’éventuelles préoccupations de confidentialité d’une manière systématique et structurée. Cette connaissance est structurée selon les 7 principaux types de menaces répertoriés dans l’acronyme LINDDUN.

LIAISON
Associer des éléments de données ou des actions de l’utilisateur pour en savoir plus sur un individu ou un groupe.

IDENTIFICATION
Apprendre l’identité d’un individu, par des filtrations, déductions ou inférences.

SANS RÉVOCATION
Pouvoir attribuer une réclamation à un individu.

DÉTECTION
Déduire la participation d’un individu par l’observation.

DIVULGATION DES DONNÉES
Collecter, stocker, traiter ou partager des données personnelles de manière excessive.

NON-CONNAISSANCE DE LA POSSIBILITÉ D’INTERVENIR
Information insuffisante, participation ou autorisation des personnes dans le traitement de leurs données personnelles.

DÉFAUT
Écart par rapport aux meilleures pratiques, normes et législations en matière de sécurité et de gestion des données.


Liaison

| EN RELIANT LES POINTS

QUOI ? En savoir plus sur un individu ou un groupe en associant des éléments de données ou des actions d’utilisateur. Les liens peuvent entraîner des conséquences indésirables pour la vie privée, même s’ils ne révèlent pas l’identité d’une personne.

Les éléments de données ou les actions de l’utilisateur peuvent être liés par :

  • identifiants : nom d’utilisateur, adresse IP, modèle de téléphone, type de capteur,…
  • la combinaison d’éléments ou d’ensembles de données : une empreinte du navigateur, un suivi de l’emplacement
  • Profilage, dérivation ou inférence

L’élaboration de profils de groupes est également une forme de liaison. Dans ce cas, les données relatives à un groupe de personnes sont combinées d’une manière qui peut nuire à la vie privée, par ex. . , par des profils étendus, des recommandations, etc.

Le couplage devient problématique lorsqu’il peut donner lieu à des inférences (c’est-à-dire en apprendre davantage sur les personnes), isoler les individus, ajouter des données supplémentaires pour créer des profils, etc. Cela peut entraîner ultérieurement d’autres menaces, telles que identifier, détecter et ne pas répudier. Le couplage est déclenché par les menaces de [divulgation des données] : plus il y a de données disponibles, plus la probabilité que des menaces de couplage se produisent est élevée.

  • *** Exemple de menace**Individualisation (pseudonyme) d’un individu.
    Une personne avec l’adresse e-mail '[email protected]' a posté plusieurs messages haineux sur un forum de discussion en ligne et son compte est suspendu (mais nous ne pouvons pas identifier cette personne).
  • Liaison des actions 'anonymes' de l’utilisateur.
    Un site de réservation de voyage peut suivre les empreintes digitales du navigateur et augmenter les tarifs si un utilisateur visite à nouveau votre site pour les mêmes détails de vol/hôtel.
  • Profiler une personne (par inférence).
    Alice est toujours à l’emplacement 'L' pendant les heures de bureau. Nous savons que la société 'C' réside là, donc Alice travaille dans 'C'.
  • Dérivation des profils de groupe (basé sur les propriétés partagées).
    Sur la base des données du groupe, il est déterminé que 80% des personnes dans le quartier 'N' ont un risque plus élevé de maladie D'. Carol qui vit dans 'N' doit payer un taux plus élevé de l’assurance maladie.

IDENTIFICATION

**| QUI EST QUI? **

QUOI? Apprendre l’identité d’un individu. Bien que de nombreux systèmes exigent l’identification des sujets de données, les menaces d’identification surviennent lorsque l’identité peut être révélée par la fuite, la déduction ou l’inférence dans les cas où cela n’est pas intentionnel ou souhaité.

L’identification peut se faire par :

  • données identifiées : lorsque le système maintient explicitement le lien avec l’identité ou fait référence à l’identité (par exemple dans les métadonnées)
  • données identifiables : lorsque l’identité peut être dérivée indirectement, par ex. par exemple. , pseudonymes, contenu révélant l’identité ou via un petit ensemble d’anonymat

L’identification des menaces est également liée au lien. La (re)identification peut également donner lieu à des problèmes de méconnaissance et de non-respect.

  • Exemples de menacesLe traitement des informations identifiées :
    En s’inscrivant sur le site d’un journal, les utilisateurs sont obligés de s’inscrire avec leur nom complet et leur adresse, ce qui permet l’identification des pages vues. En conséquence, l’utilisateur ne peut plus naviguer dans le journal de manière anonyme.
  • L’intéressé se distingue des autres, par exemple lorsqu’on utilise des consultations avec un petit ensemble de résultats : consultation du salaire moyen des femmes dans une petite entreprise où il n’y a qu’une employée.
  • Révéler les attributs:
    Lorsqu’un client envoie un formulaire de commentaires et fournit des informations très détaillées afin qu’ils puissent être identifiés de manière unique. Par exemple, lorsque vous achetez une voiture chez un concessionnaire et envoyez des commentaires, y compris la marque de la voiture, le modèle, le concessionnaire, le code postal.

JE NE RÉSIGNE PAS

| JE SAIS CE QUE VOUS AVEZ FAIT L’ÉTÉ DERNIER

QUOI? Être capable d’attribuer une réclamation, c’est-à-dire savoir, avoir fait, avoir dit quelque chose, à un individu. Cela conduit à la perte d’un démenti plausible, p. ex. un plaignant qui peut être poursuivi.

Le système retient des preuves relatives à une action ou un fait particulier, ce qui affecte les demandes de refus. P.e. fichiers journaux, signatures numériques, métadonnées de documents, données filigranées.
Ce test peut être attribué à une personne.
Identifier (et lier) les menaces augmentera le risque de non-répudiation.




  • Exemple de menaceCertains traitements de texte conservent les métadonnées de l’auteur et de la révision dans le document, évitant ainsi les réclamations de refus. en ce qui concerne l’auteur ou la révision des documents.
  • Les notifications de lecture servent à prouver que l’utilisateur a ouvert/lu le message.
  • Les données collectées par une application de suivi des règles pourraient être utilisées comme preuve pour poursuivre les personnes dans le cadre du respect des lois sur l’avortement.

Détection

| CE N’EST PAS CE QUE VOUS REGARDEZ, C’EST CE QUE VOUS VOYEZ (HD THOREAU).

QUOI? Déduire la participation d’un individu par l’observation. La détection des menaces ne nécessite pas de pouvoir lire les données réelles - il suffit simplement de savoir que les données existent pour en déduire plus d’informations (sensibles).

La détection peut être effectuée par:

  • ** observer les flux de communication** : interactions avec le système ou le service et communication entre systèmes
  • observer les effets secondaires de l’application : par exemple, lorsque les actions entraînent également des fichiers temporaires dans le système de fichiers
  • observer les réponses du système : lorsque le système révèle l’existence de certaines données à travers ses réponses
    L’observation ou la vérification de l’existence peut suffire pour obtenir des informations sensibles sur les personnes. La détection des menaces facilite également le lien et l’identification, car les informations déduites peuvent être utilisées pour extraire davantage d’informations sur une personne.
  • Exemples de menacesLes transmissions sans fil sont détectables par d’autres appareils à proximité.
  • Une application supprimée sur un smartphone peut laisser une trace de fichiers temporaires et de configuration, qui peuvent être utilisés par un adversaire pour en savoir plus sur le propriétaire du téléphone.
  • En essayant d’envoyer un e-mail à un utilisateur de messagerie suspect et en observant tout rebond, un adversaire peut déduire que certaines adresses e-mail sont utilisées et que le destinataire est un utilisateur enregistré.
  • En essayant d’accéder au dossier médical d’une célébrité dans un centre de réadaptation et en recevant une réponse avec 'droits d’accès insuffisants', il peut être déduit que la célébrité a été traitée pour dépendance, même sans avoir accès au dossier réel.

DIVULGATION DES DONNÉES

| CE N’EST PAS VOTRE AFFAIRE

QUOI? Collecter, stocker, traiter ou partager des données personnelles de manière excessive. Les menaces de divulgation de données représentent des cas où la divulgation de données personnelles vers, dans et à partir du système est considérée comme problématique.

La divulgation d’informations doit tenir compte des intérêts des parties intéressées, et le principe de minimisation des données joue un rôle crucial. Le système doit être conçu pour collecter, traiter, stocker et partager uniquement les données strictement nécessaires.

La divulgation des données peut être explicite, c’est-à-dire intentionnelle ou conçue par le système, ou implicite, c’est-à-dire non intentionnelle ou indirecte (p. ex., au moyen de métadonnées ou dérivée d’autres données).

Se concentre sur quatre caractéristiques de la menace:

  1. Types de données inutiles : cela concerne la sensibilité du type de données, la granularité et le codage qui peuvent être trop détaillés
  2. Volume de données excessif : fait référence à la quantité et à la fréquence du traitement des données, ainsi qu’au nombre de personnes concernées qui peut être trop élevé
  3. Traitement inutile : analyse, diffusion ou conservation de données supplémentaires qui ne sont pas strictement nécessaires
  4. *Exposition excessive désigne les différentes parties avec lesquelles les données sont partagées, ce qui peut être considéré comme excessif, et le degré d’accessibilité des données
  • Exemple de menaceLes applications de surveillance de la santé devraient limiter la collecte et le traitement des paramètres médicaux d’un patient au strict nécessaire. Par exemple, une application diététique ne doit pas enregistrer les mesures de fréquence cardiaque.
  • Lorsque quelqu’un publie sur un réseau social, cette publication inclut souvent également des informations personnelles sur d’autres personnes.
  • Lorsqu’un utilisateur se désabonne d’une newsletter, le système ne doit plus retenir son adresse e-mail.
  • Lorsqu’un site Web utilise des services de suivi et d’analyse tiers, les données personnelles concernant l’utilisateur du site Web et son utilisation du site sont transférées à des tiers externes.

MANQUE DE CONNAISSANCE ET NON-INTERVENTIONNISME

| LE SYSTÈME EST OUVERT.

QUOI? Information, participation ou formation insuffisantes des personnes dans le traitement de leurs données à caractère personnel.

Ces menaces peuvent survenir lorsque :

  • Transparence insuffisante : les personnes concernées ne sont pas informées de la collecte ou du traitement de leurs données personnelles ou des données personnelles de tiers
  • Information insuffisante : les personnes concernées ne sont pas suffisamment informées de l’impact qu’elles peuvent avoir sur la vie privée des autres en utilisant le système
  • Capacité d’intervention insuffisante : les personnes concernées ne peuvent pas accéder à leurs données personnelles ni les gérer
    icône de méconnaissance
  • Exemple de menaceLorsque les caméras de circulation collectent et traitent des données personnelles en utilisant des techniques de reconnaissance faciale et de reconnaissance des plaques d’immatriculation, sans informer les personnes.
  • Lorsque vous utilisez une plate-forme de médias sociaux, les utilisateurs ne sont pas informés des implications du partage d’images qui incluent d’autres personnes.
  • Lorsque les personnes concernées ne peuvent pas accéder à leurs propres données, les modifier ou (facilement) mettre à jour leurs paramètres de confidentialité.

VIOLATION

| PILIERS DE CONSTRUCTION

Quoi ? Le système s’écarte des meilleures pratiques, des normes et de la législation en matière de sécurité et de gestion des données, ce qui conduit à une gestion incomplète des risques. Se concentre sur le contexte de la gestion organisationnelle et opérationnelle dans lequel un système ou un service est intégré.

Les principales caractéristiques de la menace de non-conformité sont :

  • Illégalité du traitement des données personnelles
  • Absence de gestion du cycle de vie des données : cela concerne les principes de minimisation des données, de limitation du stockage et de contrôle des personnes concernées
  • L’absence de gestion adéquate des risques liés à la cybersécurité

LINDDUN se concentre uniquement sur les problèmes de non-conformité qui découlent directement des menaces à la vie privée de Lien, identification, non-répudiation, détection, divulgation de données et méconnaissance.

  • *** Exemple de menace**Le système n’est pas protégé contre les problèmes de cybersécurité, p. ex. , une attaque de déni de service peut nuire à la capacité d’un sujet de données à exercer un contrôle, ou une fuite de base de données à grande échelle augmente la probabilité d’identification ou de liaison d’un sujet de données.
  • La collecte ou le traitement est considéré comme illégal dans le cadre des réglementations applicables (GDPR, CSL,…).
  • Une politique de conservation des données est appliquée de manière incorrecte, ce qui conduit à un système qui stocke les données personnelles pendant une période plus longue que celle réellement nécessaire pour traiter les données.

Article original en anglais : https://linddun.org/threat-types/s.

Complete and Continue