Une étude du potentiel des techniques de ZKP lors de l’identification sur les réseaux sociaux.

Et si on pouvait s’identifier sur un réseau social en ligne sans rien dévoiler de notre identité? Et si ce réseau social pouvait être certain de la véracité de cette identification en ayant accès à aucune donnée sur l’utilisateur? C’est l’utopie défendue par une technique de cryptographie de vérification d’identité: le Zero Knowledge Proof.

« The thing that we are trying to do at facebook, is just help people connect and communicate more efficiently. » C’est ainsi que, 20 ans après l’initiative de Zuckerberg, les réseaux sociaux rassemblent aujourd’hui presque 5 milliards d’utilisateurs mondiaux(Forbes). Si les gens sont bien connectés, le défi principal des plateformes sociales réside dans leur incapacité à vérifier efficacement l’identité d’un utilisateur avant la création d’un compte :  faux comptes, comptes clonés et comptes multiples compromettent la sécurité des utilisateurs, sapent la crédibilité des informations et érodent la confiance dans ces plateformes.

En bref: le FAKE (accounts, interactions, news) parasite progressivement la légitimité de ces réseaux à être des vecteurs des liens sociaux.

Aujourd’hui, comment les identités sont-elles vérifiées?

Les systèmes actuels reposent principalement sur des méthodes post-création pour détecter et désactiver les faux comptes. Ces méthodes comprennent des algorithmes d’apprentissage automatique qui analysent le comportement des comptes, les rapports des utilisateurs et les processus de vérification manuelle. Cependant, ces approches sont réactives plutôt que préventives, ce qui signifie que les faux comptes peuvent encore exister temporairement et potentiellement s’engager dans des activités nuisibles avant d’être détectés . Cette situation met en évidence le besoin pressant de solutions proactives capables d’authentifier efficacement l’identité réelle d’un utilisateur avant la création d’un compte, réduisant ainsi considérablement le risque et l’impact des faux comptes. 

Brève typologie des attaques sur l’identité: 

Attaque par clonage d’identité:

Les attaques par clonage d’identité se produisent lorsqu’un acteur malveillant crée un profil en utilisant le même nom, les mêmes photos et d’autres détails personnels d’un utilisateur légitime, clonant ainsi son identité. L’objectif de ces attaques consiste généralement à tromper les amis ou les personnes qui suivent l’utilisateur légitime en leur faisant croire qu’ils interagissent avec une personne authentique.

Attaque Sybil:

Une attaque Sybil implique qu’une seule entité malveillante crée de nombreux faux profils pour manipuler le réseau ou ses utilisateurs. Ces attaques peuvent influer sur divers aspects du réseau, tels que la diffusion de fausses informations, la manipulation des métriques de popularité ou le ciblage direct d’utilisateurs individuels. La lutte contre ces attaques passe généralement par la détection des anomalies, la vérification des utilisateurs et l’imposition de restrictions aux comptes nouveaux ou non vérifiés.

Marionnettes (Sockpuppet)

Il s’agit d’un modèle d’attaque par l’identité dans lequel des utilisateurs malveillants (marionnettistes) s’inscrivent sur plusieurs comptes (sockpuppets). À l’aide de ces comptes, les marionnettistes se livrent à différentes activités malveillantes. Ils font de la publicité pour de fausses choses, du spam ou provoquent des controverses sur les réseaux sociaux. Si un compte est banni par un site de réseau social, les marionnettistes en créent un autre pour poursuivre leurs activités. Les sockpuppets sont de multiples faux comptes créés par le même utilisateur. 

Qu’en dit la loi?

En France, ces atteintes à l’identité sont appréhendées légalement par le délit d’usurpation d’identité numérique (l’article 226-4-1 du code pénal), qui incrimine « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ». Seulement, comme souvent, le droit positif n’est pas assez armé contre le Goliath de la cyber-criminalité. Le David auquel il faut faire appel appel face aux lacunes légales s’appelle ZKP (une technique de vérification d’identité par cryptographie). 

C’est quoi ce ZKP? 

Le Zero Knowledge Proof (preuve d’absence de connaissance) est un principe cryptographique permettant à une partie de démontrer à une autre qu’elle possède un élément d’information spécifique et vérifiée, sans révéler d’autres détails que la preuve de connaissance. Associée à la nature décentralisée et immuable de la technologie blockchain, la ZKP devient un outil de confiance pour la vérification d’identité.

Pour illustrer, imaginons que vous vouliez aller dans un club et qu’il y ait une restriction d’âge – personne de moins de 18 ans ne peut entrer. Normalement, vous devriez aller voir le garde du corps et lui montrer votre pièce d’identité, qui ne contient pas seulement votre âge, mais aussi votre photo, votre année de naissance, probablement votre adresse, etc. En revanche, grâce aux ZKP, vous pouvez prouver que vous possédez un document qui vous appartient et que vous avez plus de 18 ans. Vous présentez cette preuve, qui peut être un code QR, par exemple, la personne chargée de la sécurité scanne le code et l’écran s’affiche en vert si vous remplissez la condition d’âge. C’est tout. 

Vous avez réussi à prouver votre majorité sans communiquer votre nom, votre nationalité, ni même votre date de naissance. Cette technique de cryptographie permet de garantie la véracité d’une information ou d’un utilisateur sur les réseaux sociaux sans qu’il ait à dévoiler ses données personnelles. 

Un facteur essentiel pour que les ZKP fonctionnent est la présence d’une autorité/source de confiance. Par exemple, si vous voulez prouver à vos amis que vous avez plus de 1 000 followers sur Twitter, l’étape suivante consiste à créer un ZKP sur le nombre total de followers de votre compte et à le partager avec vos amis. Vos amis sauront que le résultat est correct car la preuve est générée à partir d’un élément d’information indéniablement vrai. Vous ne pouvez pas falsifier/ inventer le nombre de personnes qui vous suivent sur Twitter, l’information provient d’une source fiable (par exemple, Twitter). Cette preuve est une preuve cryptographique qui ressemble à un ensemble de chiffres et de lettres.

Concrètement, comment la cryptographie peut-elle aider à réduire les risques de désinformation et d’atteintes aux données personnelles?

✔️Grâce au ZKP combiné à la vérification d’identité, les utilisateurs peuvent prouver qu’ils sont des êtres humains référencés et uniques aux réseaux auxquels ils s’identifient, sans leur envoyer d’informations personnelles. Cela peut contribuer grandement à lutter contre les attaques cyber liées à l’identité et assurer l’unicité des comptes. Par extension, cette technique permettrait de réduire les risques de désinformation, les robots dans les médias sociaux, l’abus de position dominante de certaines marques et de leurs campagnes…

Sources:

• Oana Goga, Giridhari Venkatadri, and Krishna P Gummadi. The doppelgänger bot attack: Exploring identity impersonation in online social networks. In Proceedings of the 2015 internet measurement conference, pages 141–153, 2015.https://conferences2.sigcomm.org/imc/2015/papers/p141.pdf
• Posard, M. (2022, 23 septembre). Elon Musk May Have a Point About Bots on Twitter. RAND. https://www.rand.org/pubs/commentary/2022/09/elon-musk-may-have-a-point-about-bots-on-twitter.html
• Sajedul Talukder and Bogdan Carbunar. Abusniff: Automatic detection and defenses against abusive facebook friends. In Proceedings of the International AAAI Conference on Web and Social Media, volume 12, 2018. https://ojs.aaai.org/index.php/ICWSM/article/view/14995
• Usurpation d’identité numérique, cyberharcèlement…: éclairages sur la nouvelle criminalité de l’internet, Nicolas Verly, Dans Légipresse 2020/HS3 (N° 63), pages 43 à 48

Thelma Tertrais