Un nouveau modèle d’IA peut aider à prévenir les violations de données.

Des experts impériaux en matière de protection de la vie privée ont créé un algorithme d’IA qui teste automatiquement les systèmes de protection de la vie privée pour détecter les fuites de données potentielles.

C’est la première fois que l’IA est utilisée pour découvrir automatiquement les vulnérabilités de ce type de système, dont Google Maps et Facebook sont des exemples.

Les experts du Computational Privacy Group de l’Imperial College se sont intéressés aux attaques contre les systèmes basés sur des requêtes (QBS) – des interfaces contrôlées par lesquelles les analystes peuvent interroger des données pour en extraire des informations globales utiles sur le monde. Ils ont ensuite développé une nouvelle méthode basée sur l’IA, appelée QuerySnout, pour détecter les attaques sur les SBC.

Les SBC permettent aux analystes d’accéder à des collections de statistiques recueillies à partir de données individuelles telles que la localisation et les données démographiques. Ils sont actuellement utilisés dans Google Maps pour afficher des informations en direct sur l’affluence dans une zone, ou dans la fonction de mesure d’audience de Facebook pour estimer la taille de l’audience dans un lieu ou un groupe démographique particulier afin de faciliter les promotions publicitaires.

Dans leur nouvelle étude, publiée dans le cadre de la 29e conférence de l’ACM sur la sécurité des ordinateurs et des communications, l’équipe composée d’Ana Maria Cretu, du Dr Florimond Houssiau, du Dr Antoine Cully et du Dr Yves-Alexandre de Montjoye du Data Science Institute a découvert que des attaques puissantes et précises contre les SBC peuvent facilement être détectées automatiquement en appuyant sur un bouton.

Selon l’auteur principal, le Dr Yves-Alexandre de Montjoye : « Jusqu’à présent, les attaques ont été développées manuellement en faisant appel à une expertise hautement qualifiée. Cela signifie que la découverte des vulnérabilités prenait beaucoup de temps, ce qui laissait les systèmes en danger.

« OuerySnout est déjà plus performant que les humains pour découvrir les vulnérabilités des systèmes du monde réel. »

Le besoin de systèmes basés sur des requêtes

Notre capacité à collecter et à stocker des données a explosé au cours de la dernière décennie. Bien que ces données puissent contribuer aux progrès scientifiques, la plupart d’entre elles sont personnelles et leur utilisation soulève donc de graves problèmes de confidentialité, protégés par des lois telles que le règlement général sur la protection des données de l’UE.

Par conséquent, permettre aux données d’être utilisées à bon escient tout en préservant notre droit fondamental à la vie privée est une question cruciale et d’actualité pour les spécialistes des données et les experts de la vie privée.

Les SBC ont le potentiel de permettre l’analyse de données anonymes préservant la vie privée à grande échelle. Dans les SBC, les conservateurs gardent le contrôle des données et peuvent donc vérifier et examiner les requêtes envoyées par les analystes pour s’assurer que les réponses renvoyées ne révèlent pas d’informations privées sur les individus.

Cependant, des attaquants illégaux peuvent contourner ces systèmes en concevant des requêtes pour déduire des informations personnelles sur des personnes spécifiques en exploitant les vulnérabilités ou les bogues de mise en œuvre du système.

Tester le système

Les risques d’attaques « zero-day » fortes et inconnues, au cours desquelles les attaquants exploitent les vulnérabilités des systèmes, ont freiné le développement et le déploiement des SBC.

Pour tester la robustesse de ces systèmes, à l’instar des tests de pénétration dans le domaine de la cybersécurité, il est possible de simuler des attaques contre des données afin de détecter les fuites d’informations et d’identifier les vulnérabilités potentielles.

Cependant, la conception et la mise en œuvre manuelles de ces attaques contre des SBC complexes est un processus long et difficile.

C’est pourquoi, selon les chercheurs, il est essentiel de limiter le potentiel d’attaques fortes non maîtrisées pour permettre une mise en œuvre utile et sûre des SBC tout en préservant les droits individuels à la vie privée.

QuerySnout

L’équipe de l’Imperial a mis au point une nouvelle méthode basée sur l’IA, appelée QuerySnout, qui fonctionne en apprenant quelles questions poser au système pour obtenir des réponses. Il apprend ensuite à combiner automatiquement les réponses pour détecter les failles potentielles dans la protection de la vie privée.

En utilisant l’apprentissage automatique, le modèle peut créer une attaque consistant en une collection de questions qui combine les réponses afin de révéler un élément particulier d’information privée. Ce processus est entièrement automatisé et utilise une technique appelée « recherche évolutive », qui permet au modèle QuerySnout de découvrir les bonnes séries de questions à poser.

Il se déroule dans une « boîte noire », ce qui signifie que l’IA doit seulement avoir accès au système, mais n’a pas besoin de savoir comment il fonctionne pour détecter les vulnérabilités.

Ana-Maria Cretu, co-auteur principal, a déclaré : « Nous démontrons que QuerySnout trouve des attaques plus puissantes que celles actuellement connues sur les systèmes du monde réel. Cela signifie que notre modèle d’IA est meilleur que les humains pour trouver ces attaques. »

Prochaines étapes

Actuellement, QuerySnout ne teste qu’un petit nombre de fonctionnalités. Selon le Dr de Montjoye : « Le principal défi à venir sera d’étendre la recherche à un nombre beaucoup plus important de fonctionnalités pour s’assurer qu’elle découvre même les attaques les plus avancées. »

Malgré cela, le modèle peut permettre aux analystes de tester la robustesse du SBC contre différents types d’attaquants. Le développement de QuerySnout représente une étape clé dans la sécurisation de la vie privée des individus par rapport aux systèmes basés sur des requêtes.

ia

SEO INSIDE est une agence SEO (notamment…).

 

--

 

SEO Inside est une agence web et SEO - en savoir plus sur nous:

Agence web / Audit SEO / Conseil SEO / Création de site internet / Refonte de site internet optimisé pour le SEO / Référencement naturel / Référencement local /Netlinking / Formation SEO / E-Réputation et avis

Voici nos implantations :
Lille / Dunkerque / Amiens – ce sont nos 3 bureaux historiques.

Puis voici nos zones géographiques d’intervention :
Paris / Abbeville / Rouen / Compiègne / Reims / Metz / Caen / Evreux / Nancy / Colmar / Rennes / Le Mans / Orléans / Dijon / Besançon / Angers / Nantes / La Rochelle / Poitiers / Limoges /Clermont-Ferrand / Lyon / Annecy / Grenoble / Valence / Bordeaux / Montauban / Toulouse / Biarritz / Montpellier / Marseille / Cannes / Nice / Avignon / Monaco

SEO INSIDE est une agence web spécialiste en référencement naturel qui se veut proche de vous. Contactez-nous pour discuter de vos projets.