Remise du prix « Protection de la vie privée » 2022 par la CNIL et l’Inria
Lors de la conférence « Computers, Privacy and Data Protection » (CPDP), la CNIL et l’Inria ont remis le prix 2022 de la protection de la vie privée à une équipe de chercheurs européens pour leur article sur le traçage via les formulaires de courriel.
Le 25 mai 2023, Nataliia Bielova, chercheuse à l'Inria, et François Pellegrini, vice-président de la CNIL, ont présenté le Prix CNIL-Inria lors de la conférence CPDP à Bruxelles. Ce prix européen, créé par la CNIL et l'Inria en 2016 dans le cadre du partenariat entre les deux institutions, vise à encourager la recherche dans le domaine de la protection des données et de la vie privée. Les travaux ont été principalement sélectionnés sur les deux critères de l'excellence scientifique et de l'impact sociétal.
L’article récompensé
Cette récompense est l’occasion de sensibiliser la communauté scientifique aux enjeux de protection des données et à la nécessité de développer des projets de recherche dans ce domaine.
L’article lauréat intitulé « Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission » a été publié lors de la conférence Usenix Security 2022.
L’équipe récompensée est composée de :
- Asuman Senol : Privacy and Identity Management Group au COSIC - KU de Louvain, Belgique
- Gunes Acar : Digital Security group à l’Université Radboud, Nijmegen, Pays-Bas
- Mathias Humbert : Departement of Information Systems, faculté de commerce et d’économie, Université de Lausanne, Suisse
- Frederik Zuiderveen Borgesius : Digital Security group à l’Université Radboud, Nijmegen, Pays-Bas
Dans leur étude, les auteurs ont construit un outil pour 100 000 sites web, détectant les formulaires de courriel et complétant automatiquement les adresses courriel. En analysant les flux réseau, cet outil détecte lorsque ces adresses sont transmises à des tiers avant toute action de l'utilisateur, ce qui était le cas pour de nombreux sites.
Leurs résultats montrent des différences, selon que les IP utilisées pour visiter les sites sont situées en Europe ou aux États-Unis. Le type d'appareil utilisé (ordinateur ou téléphone) affecte également les résultats. Les auteurs ont mis en ligne l'intégralité du code de leur outils et ont également développé une extension pour détecter ces transmissions d'adresses courriel.
Les membres du jury, coprésidé par Nataliia Bielova et François Pellegrini, ont également tenu à souligné la qualité de l’article académique « A Run a DayWon’t Keep the Hacker Away: Inference Attacks on Endpoint Privacy Zones in Fitness Tracking Social Networks » écrit par Karel Dhondt, Victor Le Pochat, Alexios Voulimeneas, Wouter Joosen et Stijn Volckaert, tous les cinq affiliés au groupe imec-DistriNet de l’univeristé KU Leuven située à Louvain en Belgique, et publié lors de la conférence ACM SIGSAC 2022 sur la sécurité des ordinateurs et des communications (CCS). Ce travail illustre les risques de réidentification de traces de localisations en prenant l’exemple concret des applications de partage de courses à pied.
Remerciements
Le lauréat du prix a été désigné par un jury composé de chercheurs mondialement reconnus dans le domaine de la protection des données ainsi que d’experts d’autorités de protection des données :
- Mário S. Alvim (Université fédérale du Minas Gerais – Brésil)
- Nicolas Anciaux (Inria, équipe PETRUS – France)
- Aurélien Bellet (Inria–France)
- Zinaida Benenson (Université d’Erlangen-Nuremberg, Allemagne)
- Olivier Blazy (École Polytechnique – France)
- Joe Calandrino (Federal Trade Commission – Etats-Unis)
- Mathieu Cunche (INSA-Lyon, Inria PRIVATICS – France)
- Giuseppe D’Acquisto (Garante per la protezione dei dati personali (autorité de protection des données) – Italie)
- Josep Domingo-Ferrer (Université Rovira i Virgil, directeur de la chaire à l’UNESCO sur la confidentialité des données – Spain)
- Simone Fischer-Hübner (Université Karlstad – Suisse)
- Sébastien Gambs (Université du Québec à Montréal – Canada)
- Oana Goga (Laboratoire d'informatique de l'École polytechnique – France)
- Marit Hansen (Commissaire à la protection des données du Land Schleswig-Holstein and Landeszentrum für Datenschutz (autorité de protection des données) – Allemagne)
- Jaap-Henk Hoepman (Université de Radboud – Pays-Bas)
- Amandine Jambert (CNIL – France)
- Veelasha Moonsamy (Université de la Ruhr à Bochum – Allemagne)
- Benjamin Nguyen (INSA-CVL – France)
- Rishab Nithyanand (University de l’Iowa – États-Unis)
- Carmela Troncoso (EPFL – Suisse)
- Narseo Vallina (IMDEA Networks Institute and ICSI, Université de Californie, Berkeley – Espagne et États-Unis)
- Kim Wuyts(KU de Louvain – Belgique)
- deux chercheurs de l’Inria : Nataliia Bielova (co-président du jury) et Pierre Laperdrix (vice-président du jury)
- ainsi que d’un vice-président et un agent de la CNIL François Pellegrini (co-président du jury) et Vincent Toubiana (vice-président du jury).