Explication technique

Cette partie est un peu technique, elle s'adresse aux personnes qui souhaitent obtenir concrètement des preuves de la sécurité de leurs données sans avoir à faire uniquement confiance à la réputation de Karapace.

Résumé

L'analyse proposée ici vous montre que le vol de données portant sur votre vos informations personnelles est extrêmement moins probable avec le système Karapace. L'utilisation d'un tiers de confiance est une solution efficace pour obtenir d'excellents niveaux de sécurité sur les données personnelles. Il est en effet environ un million à un milliard de fois moins probable qu'un vol de données se produise avec Karapace. Ce chiffre peut paraître surprenant à première vue. Il s'explique par le fait que dédoubler les entités a des implications sur les probabilités très intéressantes. Par exemple, admettons qu'un site a une chance sur mille de se faire pirater, si un système de données est réparti sur 2 sites, il a alors une chance sur un million (1/1000 x 1/1000) de se faire pirater. Or Karapace présente bien d'autres avantages encore.

Cette sécurité importante découle du fait qu'il y a deux niveaux de protections pour avoir des données personnelles : les sécurités de Karapace pour empêcher l'accès à la base regroupant les emails des personnes et les sécurités du site du questionnaire pour empêcher l'accès aux réponses. Les principales raisons de ce renforcement de sécurité sont :

- Il faut pirater à la fois le site du questionnaire (les questionnaires sont stockés chez le mandataire de l'étude) et Karapace (les emails des répondants sont stockés chez Karapace). Généralement les pirates essayent plusieurs sites avant d'arriver à en pirater un. Ici, il en faut un plus obligatoirement Karapace dont le système de fonctionnement est assez simple pour être bien sécurisé. Si le pirate n'a pas ces deux jeux de données, il ne pourra pas faire le lien et ils seront inutilisables.
- Il faut parvenir à décrypter les données de Karapace qui utilise un puissant algorithme de niveau militaire.
- En cas de piratage d'une entité, l'autre y réagit en effaçant la partie des données qui permettrait au pirate de croiser l'identité et les réponses.
- Un vol de données interne (par un employé de l'entreprise) n'a d'intérêt que s'il y a des complices dans l'autre société, ce qui est très dur puisque pour Karapace une seule personne (très contrôlée) peu potentiellement avoir accès aux données.

Idée générale

Le principe de base de Karapace est de dissocier les données pour les rendre inutilisables.

Si vos données sont volées avec un système de questionnaire "classique", votre identité apparaitra face à vos réponses. Avec le système Karapace, si le site du questionnaire est piraté, le pirate aura une série de réponses sans identité. Il saura par exemple qu'il existe une personne quelque part qui a un taux de glycémie élevé et se soigne avec tel médicament, mais ignorera qui. En cas de vol de données sur Karapace, le pirate aura simplement une liste d'adresses emails cryptées, et même s'il parvenait à les décrypter, cela resterait une simple liste d'adresses email.

Dans les deux cas, les données n'ont aucun intérêt et il faut parvenir à les voler sur les deux entités. C'est déjà difficile avec une, les pirates essaient souvent plusieurs systèmes avant d'arriver à en forcer un. Avec Karapace, non seulement il faut parvenir à forcer l'un des systèmes des mandataires des questionnaires mais il faut en plus forcer, en particulier, le système Karapace dont la sécurité est renforcée. De plus, si un pirate parvient à forcer un des deux systèmes, il sera alors possible de supprimer les données de l'autre système en partie ou en totalité pour empêcher le recoupement entre les deux bases de données.

L'analyse ci-dessous vous démontre qu'il est un million à un milliard de fois moins probable qu'un vol de données personnelles se produise avec le système Karapace.

Analyse du risque de vol de données à caractère personnel

On appellera un système "traditionnel" de questionnaire, un système où on demande sur un même site à une personne de s'identifier puis de répondre à des questions et où les données d'identité et de réponses sont stockées sur le même système. Pour le système Karapace, on prendra essentiellement en compte l'identification et la redirection vers un questionnaire car même si le système est plus vaste que cela, c'est à ce niveau qu'existe le risque de vol de données.

Il faut avoir à l'esprit que l'image classique du pirate agissant à distance dans un pays étranger est un peu fausse ici. En effet, dans environ 6 cas sur 10, le vol de données est effectué par un salarié de l'entreprise qui les héberge. Il s'agit souvent d'intérimaires ou d'employés mécontents. Ils ont souvent tout simplement accès aux données ou ont accès au système et parviennent à y trouver des failles simples. Le reste du temps c'est effectivement des pirates extérieurs à la société qui parviennent à exploiter des failles de sécurité plus complexes.

On dissociera donc le vol interne par un employé du vol externe par un pirate à distance. On recherche ici la probabilité d'un vol de données personnel (c'est-à-dire de données permettant de remonter à l'identité d'une personne associées à ses réponses). On notera cette probabilité P_vol. Nous manipulerons ici uniquement des ordres de grandeurs et non des statistiques précises. On verra à la fin de l'étude comment se passe une réaction au piratage d'un seul des deux systèmes.

Le cas d'un vol externe par un pirate agissant à distance

Système traditionnel de questionnaire

Système Karapace + Questionnaire sur le site de l'enquêteur

Sur un site proposant des questionnaires d'opinion la probabilité qu'une faille de sécurité permette un vol de données personnelles (P_{piratage questionnaire}) est environ de 1/500

On note P_{envie piratage} la probabilité qu'un pirate externe ait envie de pirater ces données qui ont souvent un faible intérêt.

Donc P_{vol, traditionnel} = P_{envie piratage} x P_{piratage questionnaire}

On reprend les mêmes probabilités que ci-contre. Il faut que le pirate ait envie de pirater les données de l'enquêteur (il ignore alors que le système Karapace est utilisé), qu'il y parvienne, qu'après en se rendant compte que les données sont inutilisables, il souhaite continuer en piratant Karapace (P_{envie piratage 2} ≈ 1/50), et qu'il parvienne à pirater Karapace.

Karpace est un site hautement sécurisé alors que les sites de questionnaires traditionnels ont une sécurité plus classique. De plus Karapace présentent plusieurs avantages en terme de sécurité :
- Le système est plus simple qu'un questionnaire, il s'agit simplement d'identifier et de rediriger sur un lien
- Karapace a été conçu par des ingénieurs informatiques en collaboration avec les services techniques de la CNIL et avec un soin particulier, sachant qu'il s'agit d'un maillon important de la sécurité des données
- Karapace empêche l'interception des données par le protocole HTTPS
On admettra que Karapace est 20 fois plus sûr qu'un site classique de questionnaires

P_{vol, avec Karapace}= P_{envie piratage} x P_{piratage questionnaire} x P_{envie piratage 2} x P_{piratage Karapace}

≈ P_{envie piratage} x P_{piratage questionnaire} x P_{envie piratage 2} x P_{piratage questionnaire} / 20
≈ P_{vol, traditionnel} / 500 00

Pour le moment le système Karpace est 500 000 fois plus sûr que le système traditionnel.

Il faut aussi prendre en compte que les données identifiantes de la base Karapace sont cryptées avec un des algorithmes les plus sûrs au monde (de niveau militaire "SECRET") qui est inviolable sans la clé de décryptage. Le pirate doit donc en plus, avoir l'envie et parvenir à pirater une autre partie du système Karapace pour trouver la clé de décryptage bien dissimilée. On chiffre cette probabilité (P_décryptage) à 1/100.

On peut conclure de l'analyse ci-dessous que le système Karapace est environ 500 millions de fois plus sûr qu'un système traditionnel au sens où il est 500 millions fois moins probable que survienne un vol de données à caractère personnel.

Le cas d'un vol interne par un employé

Système traditionnel de questionnaire

Système Karapace + Questionnaire sur le site de l'enquêteur

On note P_{vol salarié} la probabilité qu'un salarié d'une entreprise émettant des questionnaires ait à la fois l'envie et la possibilité technique de voler des données personnelles.

Dans les populations de personnes régulièrement interrogées on estime qu'environ 50 employés sont en contact avec les données du répondant (c'est une moyenne, l'intervalle et de 15 à 200). La justesse de ce chiffre n'a pas d'importance pour la suite.

Donc P_{vol, traditionnel} ≈ P_{vol salarié} x 50

On reprend les mêmes probabilités que ci-contre. Il faut que l'employé commette le vol puis que soit il ait la capacité de pirater Karapace, soit il arrive à rentrer en contact avec un employé de Karapace qui permette ce vol en interne.

Concernant le cas où il arrive à pirater à distance Karapace, on reprend le résonnement de la partie ci-dessus et on y ajoute la probabilité qu'il ait les compétences pour le faire (P_{compétences techniques}≈1/10) :

P_{vol, avec Karapace}≈ P_{vol salarié} x 50 x P_{compétences techniques} x P_{envie piratage 2} x P_{piratage Karapace}x P_{décryptage Karapace}

≈ P_{vol, traditionnel} / 5 000 000 000

Pour le moment le système Karpace est 5 milliards fois plus sûr que le système traditionnel.

Concernant le cas de la connivence avec un employé de Karapace, chez Karapace, la règle est drastique, une seule personne a accès au système et à ses accès (on parle de l'ensemble du système, serveur, administration, etc). Il s'agit du Responsable des Accès qui est une personne choisie à l'unanimité des associés de Karapace. Les associés s'assurent que cette personne est fiable et qu'elle permet de garantir la bonne réputation de Karapace. Le reste des employés ont des fonctions administratives ou commerciales mais n'ont pas de contact avec le système Karapace.

Cette personne est choisie pour sa fiabilité et prend des engagements qui la mettront en grande difficulté sur le plan pénal et financier en cas de défaillance. L'idée est de réduire le risque au maximum à une personne. De plus si cette personne venait à voler les données, celles-ci resteraient inutilisables, il faut également la complicité d'un employé chez une entreprise enquêtrice. On chiffre la probabilité de défaillance du Responsable des Accès P_{défaillance Karapace} à une chance sur un million. Il faut également prendre en compte que la probabilité que les deux complices se rencontres (P_complicité ≈ 1/100)

On a donc :

P_{vol, avec Karapace}≈ P_{vol salarié} x 50 x P_{défaillance Karapace} x P_complicité ≈ P_{vol, traditionnel} / 100 000 000

Il ressort de ceci qu'en fonction des compétences techniques de l'employé, le système Karapace est 100 millions à 5 milliards de fois plus sûr que le système traditionnel.

Les sécurités en cas de piratage

Dans l'analyse qui précède, un élément n'a pas été pris en compte. Souvent un piratage est visible. En effet, pour trouver une faille de sécurité il est nécessaire au pirate de tâtonner. On repère l'utilisation de certaines techniques de base peu subtiles qu'utilisera le pirate avant de passer à des techniques plus sophistiquées. Dans de nombreux cas, les extractions importantes des données laissent des traces et produisent des alertes.

Si un des deux systèmes (la base de données du questionnaire ou la base de données de Karapace) est piraté, l'entité en question peu contacter l'autre pour effacer les données permettant de remonter à l'identité de la personne. C'est possible dans les deux cas et réalisable en moins d'une heure. Ainsi même si le pirate parviendrait à pirater les deux systèmes, l'un des deux aurait le temps de se protéger contre une éventuelle attaque en supprimant les données permanttant le croisement des deux bases de données.

Cela a pour effet non seulement d'empêcher le vol de données mais aussi de décourager les pirates qui savent que cette attaque déjà très difficile a de grandes chances de ne déboucher sur aucun résultat même en cas de succès. On estime que la réaction à une attaque augmente la sécurité des données d'un facteur de 10 à 100.

Conclusion

Cette analyse ne se base que sur des ordres de grandeurs. L'idée n'est pas de dire précisément de quel coefficient la sécurité augmente avec le système Karapace mais de donner un ordre de grandeur du gain de sécurité des données.

Il en ressort qu'on peut affirmer assez prudemment que le système Karapace est un million à un milliard de fois plus sûr que le système du questionnaire traditionnel. Cela signifie que le fait qu'un vol de données à caractère personnel se produise est un million à un milliard de fois moins probable avec Karapace. Il faudrait encore ajouter à cela le phénomène de dissuasion pour le voleur devant ce surcroît de difficulté.

Il faut savoir qu'une telle probabilité n'a que le sens qu'on veut bien lui donner. On estime que le nombre de personnes à avoir été affectées par un vol de données depuis 2007 est inférieur à 500 000. Et ces vols concernent plus des cartes bancaires, des mots de passe et des comptes emails que des questionnaires. Si on prend le nombre d'attaques sur des données personnelles issues de questionnaires pour le diviser par le coefficient de sécurité de Karapace (un million à un milliard), on comprend qu'une telle attaque est très peu probable.