Proteus: A Practical Framework for Privacy-Preserving Device Logs

Le papier présente Proteus, un cadre pratique de journalisation de périphériques qui préserve la vie privée en permettant l'analyse forensique sans révéler les informations personnellement identifiables (PII) ni compromettre la fidélité des données, grâce à un schéma à deux couches combinant pseudonymisation par hachage et chiffrement à rotation temporelle.

L'essentiel

Imaginez que votre téléphone est comme un journal intime ultra-détaillé. Il note tout ce que vous faites : à quelle heure vous avez envoyé un message, où vous étiez, quelle application vous avez ouverte, et même votre adresse email.

Aujourd'hui, les entreprises de sécurité et les enquêteurs ont besoin de lire ce journal pour détecter les fraudes ou résoudre des piratages. Mais il y a un gros problème : si on envoie ce journal tel quel à un serveur externe, on révèle aussi toutes vos informations personnelles (votre nom, votre localisation, etc.). C'est comme envoyer votre journal intime à un inconnu en espérant qu'il ne le lise pas.

Les solutions actuelles sont soit trop brouillonnes (elles effacent tout, rendant le journal inutile), soit trop risquées (elles laissent passer des informations sensibles).

C'est là qu'intervient Proteus, le nouveau système présenté dans cet article. Voici comment il fonctionne, expliqué simplement avec des analogies.

1. Le Problème : Le Dilemme du Journal

Imaginez que vous devez envoyer votre journal à un détective privé.

• L'approche actuelle (le "Status Quo") : Vous envoyez le journal en clair. Le détective voit tout, y compris vos secrets. C'est dangereux pour votre vie privée.
• L'approche "Censure" : Vous rayez tous les noms et lieux avant d'envoyer. Le détective ne voit plus rien. Problème : il ne peut plus relier les événements. Il ne sait pas que "l'incident A" et "l'incident B" concernent la même personne. L'enquête est bloquée.

2. La Solution Proteus : Le Système à Double Verrou

Proteus propose une solution intelligente qui permet au détective de faire son travail sans jamais voir vos secrets. Il utilise une technique en deux couches, comme un coffre-fort à double serrure.

Couche 1 : Le Masque de Identité (Le Pseudonyme)

Au moment où votre téléphone écrit une ligne dans le journal (par exemple : "Alice s'est connectée à 14h00"), Proteus ne garde pas le nom "Alice".

• Il remplace "Alice" par un code secret unique (comme un surnom mathématique, par exemple #X7Z9).
• L'avantage : Si Alice se connecte à 14h05 et à 15h00, le code sera le même (#X7Z9). Le détective peut donc voir que c'est la même personne et reconstituer la chronologie, mais il ne sait toujours pas que #X7Z9 correspond à Alice. C'est comme porter un masque à un bal masqué : tout le monde sait qui est qui entre eux, mais personne ne connaît votre vrai visage.

Couche 2 : Le Coffre-Fort Temporel (Le Chiffrement)

Le problème du masque seul, c'est que si un espion vole le journal tous les jours, il peut voir que #X7Z9 apparaît toujours le matin au bureau et déduire que c'est un employé.

• Proteus ajoute une seconde couche : il chiffre ce code #X7Z9 avec une clé qui change tous les jours.
• Imaginez que votre journal est dans une boîte en verre, mais cette boîte est enfermée dans un coffre-fort dont la combinaison change chaque matin à minuit.
• Même si un espion vole le journal aujourd'hui et demain, il ne peut pas relier les deux jours car les clés sont différentes.

3. L'Enquête : La Clé à Durée Limitée

Alors, comment le détective fait-il son travail s'il ne peut rien lire ?

• Le processus : Si une enquête est nécessaire, vous (ou votre entreprise) donnez au détective une clé temporaire.
• Cette clé lui permet d'ouvrir les coffres-forts uniquement pour une période précise (par exemple, "les logs du 12 mars").
• Une fois la période passée, le téléphone change sa clé maîtresse. Le détective ne peut plus ouvrir les logs futurs. C'est comme donner une clé de chambre d'hôtel qui ne fonctionne que pour 24 heures.
• Le résultat magique : Le détective peut voir que #X7Z9 (Alice) a fait telle action à telle heure, et reconstituer l'histoire de l'attaque. Mais il ne pourra jamais savoir que #X7Z9 est Alice, car la clé pour révéler le vrai nom n'a jamais quitté votre téléphone.

4. Pourquoi c'est génial ?

• Pas de perte de qualité : Contrairement aux anciennes méthodes qui effaçaient les détails, Proteus garde tout le contexte. L'enquêteur voit exactement ce qui s'est passé, juste sans les noms.
• Très rapide : Les tests montrent que ce système est si léger qu'il ne ralentit presque pas le téléphone (moins de 1 milliseconde par message). C'est comme ajouter une serrure invisible à votre porte sans alourdir la porte.
• Sécurité maximale : Même si un pirate vole le téléphone ou le serveur, il ne peut pas remonter le temps pour lire les anciens messages (grâce au changement de clé quotidien) ni lire les futurs (grâce au changement de clé après l'enquête).

En résumé

Proteus, c'est comme envoyer un journal intime à un détective, mais où chaque page est écrite dans un code secret qui change chaque jour. Le détective peut reconstituer l'histoire complète de l'événement (qui a fait quoi et quand), mais il reste aveugle à l'identité réelle des personnes impliquées. C'est la solution parfaite pour protéger votre vie privée tout en permettant de sécuriser le monde numérique.

Résumé technique

Voici un résumé technique détaillé du papier de recherche "Proteus: A Practical Framework for Privacy-Preserving Device Logs" en français.

1. Le Problème

L'augmentation de la collecte de logs sur des appareils personnels (smartphones, objets connectés) dans le cadre de politiques "Bring Your Own Device" (BYOD) et de services consommateurs crée un dilemme majeur entre l'observabilité (nécessaire pour la forensique, la détection de fraude et la surveillance) et la vie privée.

• Fuite de PII : Les logs contiennent souvent des informations personnellement identifiables (PII) telles que des adresses e-mail, des localisations GPS ou des identifiants de santé. Lorsqu'ils sont exportés vers des plateformes cloud pour analyse, ces données sont souvent exposées en clair.
• Limites des approches actuelles :
  • Sanitisation a posteriori : Supprime les PII mais détruit la fidélité des événements, rendant impossible la corrélation entre les événements (ex: suivre une session utilisateur).
  • Suivi de la taint (taint tracking) : Souffre de lacunes de couverture et de surcoûts d'exécution.
  • Confidentialité différentielle : Sacrifie la précision au niveau de l'événement, ce qui est inacceptable pour les enquêtes forensiques.
  • Chiffrement simple : Nécessite souvent le déchiffrement complet pour l'analyse, exposant ainsi les données.

Le défi consiste à protéger les données sensibles à la source (in-situ) sans compromettre la capacité à reconstruire des chronologies ou à corréler des événements liés.

2. Méthodologie : L'Architecture de Proteus

Proteus est un framework de journalisation qui protège les PII dès leur génération sur l'appareil, en utilisant un protocole cryptographique à deux couches et une architecture basée sur le ratchet (chiffrement rotatif).

A. Protection à deux couches

Pour chaque champ PII détecté dans un log :

1. Pseudonymisation (Couche 1) : Le texte en clair est haché via une fonction HMAC avec une clé secrète ($K_{hash}$) stockée uniquement sur l'appareil. Cela génère un "token" stable qui permet de lier des événements (ex: savoir que deux logs concernent le même utilisateur) sans révéler l'identité réelle.
2. Chiffrement (Couche 2) : Ce token est ensuite chiffré avec une clé journalière ($K_t$) dérivée d'un mécanisme de ratchet hiérarchique. Cela empêche la corrélation par un adversaire qui capturerait plusieurs instantanés (snapshots) des logs au fil du temps.

B. Gestion des clés et Ratchet Hiérarchique

• Ancrage matériel (DICE) : Le système utilise l'attestation DICE (Device Identifier Composition Engine) pour dériver une racine de confiance ($CDI$) liée à l'état matériel et logiciel de l'appareil. Cela assure l'intégrité et l'authenticité de l'origine des logs.
• Ratchet Interne (Journalier) : Une clé de chaîne ($ck_t$) est mise à jour quotidiennement via une fonction de dérivation de clé (KDF) à sens unique. Cela garantit la confidentialité vers l'avant (Forward Secrecy) : si l'état actuel est compromis, les logs passés restent sécurisés.
• Ratchet Externe (Post-compromission) : Lors d'un partage contrôlé (quand un serveur reçoit les clés de déchiffrement pour une période donnée), la racine de clé ($R_0$) est réinitialisée en mélangeant de nouvelles entropies issues d'un échange Diffie-Hellman éphémère. Cela garantit que le serveur ne peut pas déchiffrer les logs générés après la période autorisée (Sécurité post-compromission).

C. Protocole de Partage Contrôlé

L'accès aux logs n'est pas permanent. Le client exporte un "grant" (autorisation) contenant l'état du ratchet pour une fenêtre de temps spécifique. Le serveur peut alors dériver les clés de déchiffrement pour cette période uniquement. Même avec ces clés, le serveur ne peut pas inverser le hachage HMAC pour retrouver le PII original, car il ne possède pas la clé de hachage ($K_{hash}$).

3. Contributions Clés

1. Premier framework de protection in-situ pour les logs mobiles : Proteus empêche la sortie de PII en clair tout en préservant l'utilité forensique complète.
2. Modèle de menace formel pour les terminaux mobiles : Définit des exigences de sécurité face à des observateurs multi-instantanés (malware, accès physique) et des serveurs "honnêtes mais curieux".
3. Implémentation pratique et évaluation : Déploiement sous forme de bibliothèque Android transparente (extension de logcat) sur trois générations de matériel.
4. Garanties de sécurité prouvables : Preuve formelle (par réduction) que la construction de ratchet hiérarchique offre des propriétés de confidentialité et de confidentialité vers l'avant analogues au "Double Ratchet" de Signal, mais adapté aux contraintes de journalisation.

4. Résultats de l'Évaluation

Les auteurs ont évalué Proteus sur une base de données de 30,3 millions d'entrées de logs (LogHub) et sur trois appareils Android (Pixel 2, Tab S6, Pixel 6a).

• Surcoût de stockage : Très faible, seulement 2,41 % par rapport aux logs bruts. Intéressamment, pour les PII longs (comme les URL), le système réduit même la taille car les tokens chiffrés ont une taille fixe.
• Latence : Une latence médiane de 0,2 ms par message. Cela rend l'approche viable pour une production en temps réel sans bloquer les applications.
• Bottlenecks : La détection des PII (basée sur des expressions régulières) et le traitement du format sont les étapes les plus coûteuses, bien que le chiffrement lui-même soit très efficace.
• Scalabilité : Le système gère des charges de travail réalistes avec une surcharge linéaire par rapport au nombre de PII, et non au volume total de logs.

5. Signification et Impact

Proteus résout le compromis fondamental entre la sécurité et la vie privée dans la journalisation mobile.

• Changement de paradigme : Il déplace la protection de la périphérie (serveur) vers la source (appareil), éliminant le besoin de faire confiance aux opérateurs cloud pour la confidentialité des données brutes.
• Utilité Forensique préservée : Contrairement aux méthodes d'anonymisation qui rendent les données inutiles pour l'investigation, Proteus permet de reconstruire des chronologies d'attaque et de corréler des événements tout en gardant les identités réelles cachées.
• Adoption potentielle : Grâce à sa faible empreinte et son intégration transparente avec Android, Proteus offre une voie réaliste pour déployer une journalisation sécurisée à grande échelle dans les environnements d'entreprise (BYOD) et les services consommateurs, respectant ainsi les réglementations comme le RGPD et le CCPA.

En résumé, Proteus démontre qu'il est possible d'avoir une observabilité complète sans exposition des données sensibles, en utilisant une cryptographie avancée ancrée dans le matériel.