Démasquer les utilisateurs des réseaux sociaux

L'un des moyens pour les réseaux sociaux de gagner de l'argent consiste à partager des informations sur les utilisateurs avec des annonceurs et d'autres personnes intéressées à comprendre le comportement des consommateurs et à exploiter les tendances en ligne.





Les réseaux sociaux promettent généralement de supprimer les informations d'identification personnelle avant de partager ces données, afin de protéger la vie privée des utilisateurs. Mais des chercheurs de l'Université du Texas à Austin ont découvert que, combinées à des données facilement disponibles provenant d'autres sources en ligne, ces données anonymisées peuvent toujours révéler des informations sensibles sur les utilisateurs.

Lors de tests impliquant le site de partage de photos Flickr et le service de microblogging Twitter, les chercheurs texans ont pu identifier un tiers des utilisateurs ayant des comptes sur les deux sites simplement en recherchant des modèles reconnaissables dans des données de réseau anonymisées. Twitter et Flickr affichent tous deux les informations des utilisateurs publiquement, de sorte que les chercheurs ont anonymisé une grande partie des données afin de tester leurs algorithmes.

Les chercheurs voulaient voir s'ils pouvaient extraire des informations sensibles sur des individus en utilisant uniquement les connexions entre les utilisateurs, même si presque tous les noms, adresses et autres formes d'informations d'identification personnelle avaient été supprimés. Ils ont découvert qu'ils le pouvaient, à condition qu'ils puissent comparer ces modèles avec ceux d'un autre graphique de réseau social où certaines informations sur les utilisateurs étaient accessibles.



Les données des réseaux sociaux, en particulier le modèle d'amitié entre les utilisateurs, peuvent être précieuses pour les annonceurs, selon Vitaly Chmatikov , professeur d'informatique à l'Université du Texas à Austin, qui a participé à la recherche. La plupart des réseaux sociaux prévoient de gagner de l'argent en partageant ces informations, tandis que les annonceurs espèrent les utiliser pour, par exemple, trouver une utilisatrice particulièrement influente et la cibler avec de la publicité pour atteindre son réseau d'amis. Mais Shmatikov dit que ces informations rendent également les réseaux vulnérables. Lorsque vous publiez ces données, vous devez préserver la structure du réseau social, dit-il. Si vous ne le faites pas, alors c'est probablement inutile pour le but pour lequel vous le publiez.

Les chercheurs disent qu'il est assez facile de trouver des données de réseaux sociaux non anonymes : les connexions entre amis sur de nombreux réseaux, comme Twitter, sont rendues publiques par défaut. Pendant ce temps, les efforts pour créer un graphe social universel, comme avec OpenSocial, fournissent encore plus de ressources. Les algorithmes des chercheurs n'ont fonctionné qu'avec un taux d'erreur de 12%, même lorsque les modèles de connexions sociales étaient significativement différents : seulement 14% des relations des utilisateurs se chevauchaient de Twitter à Flickr. Les résultats sont décrits dans un document qui sera présenté plus tard ce mois-ci au Symposium IEEE sur la sécurité et la confidentialité .

La structure du réseau autour de vous est si riche, et il y a tellement de possibilités différentes, que même si vous avez des millions de personnes qui participent au réseau, nous nous retrouvons tous avec des réseaux différents autour de nous, dit Shmatikov. Une fois que vous traitez un comportement humain suffisamment sophistiqué, que vous parliez des achats que les gens font ou des films qu'ils regardent ou, dans ce cas, des amis qu'ils se font et de la façon dont ils se comportent socialement, les gens ont tendance à être assez uniques. Chaque personne fait quelques choses originales et individuelles qui finissent par être fortement identificatrices.

Pour donner à l'algorithme un point de départ, les chercheurs doivent également identifier quelques utilisateurs à partir d'un graphe de réseau social anonyme. Mais ils disent que c'est facile à faire sur de nombreux réseaux sociaux. Une partie des utilisateurs de Facebook, par exemple, choisissent de rendre leurs profils publics, et un attaquant pourrait s'en servir comme point de départ. Dans leurs expériences, les chercheurs ont découvert qu'ils devaient identifier aussi peu que 30 personnes afin de pouvoir exécuter leurs algorithmes sur des réseaux de 100 000 utilisateurs ou plus.

Les chercheurs ajoutent que l'algorithme utilise la plus petite quantité d'informations possible et qu'en pratique, un fouineur déterminé serait capable d'en trouver beaucoup plus. Cette attaque aurait été beaucoup, beaucoup plus forte si nous avions réellement utilisé des informations qui sont généralement laissées après la suppression des [noms et adresses], explique Shmatikov. Nous montrons donc vraiment à quel point le strict minimum suffit.

C'est une recherche importante, dit Alessandro Achats , professeur agrégé de technologies de l'information et de politiques publiques à L'université de Carnegie Mellon et un expert de la confidentialité en ligne. La recherche met en évidence comment des données qui peuvent ne pas sembler importantes peuvent en fait fournir à un attaquant les moyens de découvrir des informations vraiment sensibles, explique Acquisti. Par exemple, l'algorithme pourrait théoriquement utiliser les noms des groupes préférés d'un utilisateur et des amis qui assistent à des concerts pour décoder des détails sensibles tels que l'orientation sexuelle à partir de données soi-disant anonymisées. Acquisti estime que le résultat brosse un tableau sombre pour l'avenir de la confidentialité en ligne. L'anonymat complet n'existe pas, dit-il. C'est impossible.

Shmatikov pense qu'il n'y a pas de solution technique au problème. Il suggère que les lois sur la confidentialité et les pratiques des entreprises doivent peut-être être modifiées pour reconnaître qu'il n'y a aucun moyen d'anonymiser les données des réseaux sociaux. Les utilisateurs devraient également être en mesure de décider d'autoriser ou non le partage de leurs données, a déclaré Shmatikov.

cacher