Chaque recherche effectuée sur Internet génère des données qui sont collectées par les fournisseurs de service utilisés. Dans un souci de préserver sa vie privée, peut-on cacher les requêtes que nous soumettons aux moteurs de recherche ? C’est ce que promettent les « obfuscators » ou logiciels obscurcisseurs. Dans une étude publiée récemment, une équipe de chercheurs issus de l’UCLouvain et de l’Imperial College of London a soumis ces logiciels à un modèle mathématique pour vérifier leur fiabilité.
« Le principe de ces programmes est de noyer votre requête sous un tas d’autres requêtes en pensant que le moteur de recherche ne pourra pas distinguer ce qui provient de vous et ce qui provient de ce logiciel. Cela offrirait une certaine protection », explique Julien Hendrickx, un des chercheurs de cette étude et professeur en ingénierie mathématique à l’Ecole Polytechnique de l’UCLouvain.
Des besoins identifiés
Trois besoins auxquels doivent répondre les logiciels obscurcisseurs ont été identifiés.
Le premier est l’indistinguabilité. La « vraie » requête de l’utilisateur doit être impossible à identifier. Ce qui n’est pas toujours le cas : « certains programmes ne vont générer que des requêtes en anglais. Si vous êtes francophone, vous êtes démasqué. »
Le deuxième est la couverture : le sujet de la recherche devrait être difficile à identifier. « Par exemple, si vous faites des recherches sur des vacances en Méditerranée. »
Le troisième est l’imprécision. « La recherche émise doit rester difficile à identifier, même si quelqu’un est au courant du domaine général que vous investiguez. Si votre escapade en Méditerranée est connue, on ne doit pas pouvoir identifier votre recherche sur des hôtels précis. »
L’internaute demeure vulnérable
Verdict ? La plupart des obscurcisseurs actuellement disponibles se sont révélés vulnérables aux attaques, mettant potentiellement en danger les données des utilisateurs. Plus inquiétant, il semble qu’il soit très difficile, voire théoriquement impossible, de construire un bon obscurcisseur.
« On a pu démontrer de façon mathématique qu’il était impossible d’atteindre simultanément les différents objectifs. On ne peut pas à la fois cacher le domaine général des recherches et des recherches précises. On pourrait éventuellement atteindre un des objectifs, mais pas les deux complètement et simultanément. »
Les chercheurs mettent en garde contre un faux sentiment de sécurité que pourraient éprouver les usagers de ces logiciels. Ils en appellent à une évaluation approfondie des propriétés des obscurcisseurs de requêtes et le développement de logiciels fondés sur des principes transparents.