La sécurité d’un système d’authentification est un élément dont l’importance continue de croître depuis la naissance du Web. De nos jours, c’est un point d’intérêt majeur et des solutions comme l’authentification multi-facteur ont un impact fort sur l’expérience utilisateur qui empêchent ces techniques d’être acceptées par la majorité des utilisateurs et d’être déployées à grande échelle sur Internet. Une empreinte de navigateur est une technique d’identification sans état et qui ne requiert pas de permission. Elle collecte des informations sur l’appareil, l’OS, le navigateur et la configuration de l’utilisateur. Alors que cette technique a majoritairement été étudiée à des fins de suivi en ligne, ses propriétés en font un élément intéressant pour renforcer la sécurité sur Internet, et notamment l’authentification. Dans cette thèse, je propose 3 contributions relative à l’usage des empreintes de navigateur pour améliorer l’authentification sur Internet: • Je visite manuellement 1, 485 pages Internet appartenant à 446 sites et je mesure que les empreintes de navigateur sont collectées sur des pages sensibles, tel que des pages d’authentification. J’évalue la résistance de ces sites contre 2 attaques, le vol de mot de passe et le vol de cookies, et montre que les empreintes de navigateur sont peu utilisées pour se protéger contre ces menaces. • Je collecte des empreintes de navigateur dans un environnement contrôlé pour mesurer précisément les attributs qui offrent des propriétés intéressantes en terme d’unicité et de stabilité. J’utilise cette connaissance pour concevoir et implémenter un algorithme pouvant lier des empreintes de navigateur. J’évalue cet algorithme sur un ensemble de données formé de 952, 828 empreintes provenant de 64, 235 instances de navigateur, et montre que l’algorithme est fiable et pertinent. • Je conçois et implémente un schéma d’authentification qui renforce l’authentification en utilisant la technique des empreintes de navigateur. J’intègre ce schéma dans un système centralisé d’authentification comportant 82 utilisateurs. Je démontre que la technique des empreintes de navigateur améliore la sécurité tout en ayant un impact minime sur l’expérience utilisateur. Avec ces contributions, je démontre que les empreintes de navigateur sont légitimes pour renforcer l’authentification sur Internet. Alors que le Web est en constante évolution, je conclus en proposant des perspectives à court et long terme pour améliorer ces travaux et suivre l’évolution de la technique des empreintes de navigateur.
M. Romain ROUVOY Université de Lille Directeur de Thèse Mme Isabelle CHRISMENT TELECOM Nancy - Université de Lorraine Examinatrice M. Olivier BARAIS Université de Rennes 1 - IRISA - INRIA - B-COM Rapporteur M. Walter RUDAMETKIN Université de Lille - Polytech - Inria Co-directeur de Thèse M. Marc TOMMASI Université de Lille Examinateur M. Gunes ACAR Radboud University Nijmegen Examinateur Mme Sonia BEN MOKHTAR CNRS Rapporteure M. Arnaud PERILLOUX Ministère des Armées Invité
Thesis of the team Spirals defended on 14/01/2022