Dans ce quiz, nous allons analyser les possibilités de protection des traitements des données sensibles dans le cadre de notre exemple d'application de running, au travers des approches présentées dans le cours. Voici un texte décrivant les fonctionnalités de l'application. Il s'agira ensuite d'analyser la sécurité et la confidentialité de cette application.

Chaque utilisateur dispose d'une montre connectée, qui mesure l'heure, la vitesse de déplacement et la position GPS de l'individu la portant. Le propriétaire de la montre doit s'inscrire sur le site web de PrivateRun, en donnant un login et un mot de passe. Puis, lors de cette première connexion, il doit entrer l'identifiant unique de sa montre (indiqué sur un autocollant collé sur le revers de la montre), afin de lier la montre avec son compte.

La montre est connectée au téléphone de l'utilisateur en Wi-Fi, et se sert de la connexion "data" du téléphone pour envoyer les données (par protocole HTTPS) vers le site web de PrivateRun, hébergé par SuperCloudProvider.

L'utilisateur peut ensuite voir l'historique des données produites par la montre en se connectant sur le site web, à l'aide de ses login et mot de passe créés précédemment. Ces données sont stockées dans la base de données (hébergée sur un serveur de SuperCloudProvider) avec un chiffrement déterministe pour les données de géolocalisation, vitesse et date, et en clair pour l'identifiant de l'utilisateur. La clé de déchiffrement est stockée sur un autre serveur de SuperCloudProvider. Une fonctionnalité appelée "partage" est proposée par l'application web et permet aux utilisateurs de partager les données de leurs courses avec d'autres utilisateurs dont ils connaissent le login.

Dans le cadre de la portabilité des données demandée par le RGPD (c'est-à-dire la possibilité de récupérer ses données pour pouvoir les réutiliser ailleurs), PrivateRun a décidé de créer une fonction "Export" pour permettre aux utilisateurs d'exporter l'ensemble des données concernant leurs courses dans un format Excel facile à lire : chaque ligne contient les trois informations de date, position GPS, et vitesse.

PrivateRun propose de publier sur son site web une sorte de classement, qui liste pour chaque utilisateur la distance totale parcourue sur une semaine glissante. Afin de sécuriser ce calcul, PrivateRun a décidé d'utiliser un protocole de somme sécurisée avec N=100.000, et de distribuer le calcul sur 10 nœuds réseaux.