Towards a Privacy-enhanced Social Networking Site

Abstract

L’avénement des réseaux sociaux, tel que Facebook, MySpace et LinkedIn, a fourni une plateforme permettant aux individus de rester facilement connectés avec leurs amis, leurs familles ou encore leurs collègues tout en les encourageant activement à partager leurs données personnelles à travers le réseau. Avec la richesse des activités disponibles sur un réseau social, la quantité et la variété des informations personnelles partagées sont considérables. De plus, de part leur nature numérique, ces informations peuvent être facilement copiées, modifiées ou divulguées sans le consentement explicite de leur propriétaire. Ainsi, l’information personnelle révélée par les réseaux sociaux peut affecter de manière concrète la vie de leurs utilisateurs avec des risques pour leur vie privée allant d’un simple embarras à la ruine complète de leur réputation, en passant par l’usurpation d’identité. Malheureusement, la plupart des utilisateurs ne sont pas conscients de ces risques et les outils mis en place par les réseaux sociaux actuels ne sont pas suffisants pour protéger efficacement la vie privée de leurs utilisateurs. En outre, même si un utilisateur peut contrôler l’accès à son propre profil, il ne peut pas contrôler ce que les autres révèlent à son sujet. En effet, les “amis” d’un utilisateur sur un réseau social peuvent parfois révéler plus d’information à son propos que celui-ci ne le souhaiterait. Le respect de la vie privée est un droit fondamental pour chaque individu. Nous pré- sentons dans cette thèse une approche qui vise à accroître la prise de conscience des utilisateurs des risques par rapport à leur vie privée et à maintenir la souveraineté sur leurs données lorsqu’ils utilisent un réseau social. La première contribution de cette thèse réside dans la classification des risques multiples ainsi que les atteintes à la vie privée des utilisateurs d’un réseau social. Nous introduisons ensuite un cadre formel pour le respect de la vie privée dans les réseaux sociaux ainsi que le concept de politique de vie privée (UPP). Celle-ci définie par l’utilisateur offre une manière simple et flexible de spécifier et communiquer leur attentes en terme de respect de la vie privée à d’autres utilisateurs, tiers parties ainsi qu’au fournisseur du réseau social. Par ailleurs, nous dé- finissons une taxonomie (possiblement non-exhaustive) des critères qu’un réseau social peut intégrer dans sa conception pour améliorer le respect de la vie privée. En introduisant le concept de réseau social respectueux de la vie privée (PSNS), nous proposons Privacy Watch, un réseau social respectueux de la vie privée qui combine les concepts de provenance et d’imputabilité afin d’aider les utilisateurs à maintenir la souveraineté sur leurs données personnelles. Finalement, nous décrivons et comparons les différentes propositions de réseaux sociaux respectueux de la vie privée qui ont émergé récemment. Nous classifions aussi ces différentes approches au regard des critères de respect de la vie privée introduits dans cette thèse.

The rise of Social Networking Sites (SNS), such as Facebook, Myspace, and LinkedIn has provided a platform for individuals to easily stay in touch with friends, family and colleagues and actively encourage their users to share personal information. With the wealth of activities available on SNS, the amount and variety of personal information shared is considerable and diverse. Additionally, due to its digital nature, this information can be easily copied, modified and disclosed without the explicit consent of their owner. Personal information disclosed from SNS could affect users’ life, with privacy risks ranging from simple embarrassment to ruining their reputation, or even identity theft. Unfortunately, many users are not fully aware of the danger of divulging their personal information and the current privacy solutions are not flexible and thorough enough to protect user data. Furthermore, even though users of SNS can control access to their own profile, they cannot control what others may reveal about them. Friends can sometimes be untrustworthy and disclose more information about the user than they should. Considering that privacy is a fundamental right for every individual, in this thesis, we present an approach that increases privacy awareness of the users and maintains the sovereignty of their data when using SNS. The first contribution of this thesis is the classification of multiple types of risks as well as user expectations regarding privacy in SNS. Afterwards, we introduce the Privacy Framework for SNS and the concept of User Privacy Policy (UPP) to offer users an easy and flexible way to specify and communicate their privacy concerns to other users, third parties and SNS provider. Additionally, we define a taxonomy (possibly non-exhaustive) of privacy criteria that can enhance the user privacy if they are integrated within the design of a SNS and introduce the concept of a Privacy-enhanced SNS (PSNS). Furthermore, we present also Privacy Watch, a theoretical proposal of a PSNS platform that combines the concept of provenance and accountability to help SNS users maintain sovereignty over their personal data. Finally, we survey and compare several privacy-enhanced SNS that were recently proposed that try to integrate some privacy features directly into the design of the system. We also classify these different approaches with respect to the privacy criteria developed.