Comment cacher vos données privées de mobilité lorsque vous utilisez Uber? Des chercheur·euse·s de la Faculté des HEC (Université de Lausanne) et de l’EPFL ont mis au point un protocole qui permet, à l’aide de techniques cryptographiques, de mettre en relation un passager et un chauffeur tout en préservant leurs données privées vis à vis du fournisseur de service (par exemple Uber). Baptisé ORide, leur prototype permet d’organiser un trajet dont seuls chauffeur et client connaissent le point de départ, la destination et le parcours. Il sera présenté l’été prochain lors de deux conférences spécialisées outre-Atlantique. Aux sociétés comme Uber de décider si elles sont intéressées, les chercheur·euse·s n’ayant volontairement déposé aucun brevet.
Du déficit de protection des données par Uber…
Kévin Huguenin, Professeur assistant en Systèmes d’information à HEC Lausanne et Jean-Pierre Hubaux, Professeur à la Faculté Informatique et Communications à l’EPFL ont très vite constaté que la protection des données était un aspect qui avait été trop peu débattu en comparaison des réticences qu’a connu Uber en Europe. Les récents scandales impliquant la société américaine qui ont récemment éclaté et qui ont été relayés par les médias mondiaux, leur ont donné raison. Failles de sécurité, données des clients en libre accès pour les employés de la société, géolocalisation des usagers après leur trajet: à l’heure du Big data, des critiques se sont élevées pointant du doigt ces différents aspects.
Le défi a donc été de voir s’il était techniquement possible de préserver les données privées des protagonistes tout en assurant le service de trajets d’Uber avec les mêmes performances, les mêmes fonctionnalités et le même confort d’utilisation. « Ce travail s’inscrit dans un projet plus global de protection des données de localisation et en particulier des traces de mobilité » détaille le Prof. Huguenin. « Le cas du ride-hailing à la Uber nous semblait particulièrement important vu sa popularité et les risques pour la vie privée des utilisateurs. Le fait que les données doivent être échangées entre les différents protagonistes (clients et chauffeurs) et pas uniquement entre les clients et le fournisseur de service soulevait des problèmes particulièrement intéressants ».
C’est ainsi qu’est né ORide («O» pour oublieux), prototype qui se base sur un système cryptographique proche du chiffrement homomorphe, permettant d’effectuer des opérations sur les données chiffrées sans voir ni les données, ni le résultat.
…au développement d’un prototype unique
Comment ce système cryptographique fonctionne-t-il concrètement? Lorsqu’un·e client·e cherche un·e chauffeur·euse, il envoie ses données chiffrées de localisation aux chauffeurs disponibles via le fournisseur de service. Ces derniers calculent, de manière chiffrée, la distance qui les sépare du client et lui envoient ces données. Sur cette base, le client identifie le chauffeur le plus proche. ORide révèle aux smartphones des deux utilisateur·trice·s leur localisation mutuelle une fois le binôme établi. L’itinéraire emprunté est confiné dans les smartphones des deux partenaires. Au final, seule la distance parcourue et le prix de la course sont connus du fournisseur de service – le moyen pour la société de prélever son pourcentage sur la course ou pour le client de justifier ses frais. En outre, ORide conserve le confort de l’application avec le paiement par carte de crédit et la possibilité d’évaluer son chauffeur.
Afin de tester leur modèle, les scientifiques ont utilisé des données publiques des chauffeur·euse·s de taxi de New York. Dans cette ville, pour une population équivalente à celle de la Suisse, il y a environ autant de taxis que de véhicules gérés par Uber et son concurrent Lyft. Or selon leur analyse, l’opération de chiffrage ne ralentit pas de manière significative le processus de recherche d’un véhicule.
Il reste maintenant une dernière étape d’importance pour les chercheur·euse·s: ORide sera présenté lors de la prestigieuse conférence USENIX Security en août prochain à Vancouver (BC) au Canada.