L'évolution du web a suivi une trajectoire double, marquée par des avancées technologiques qui améliorent l'expérience utilisateur et une augmentation des risques pour le respect de la vie privée. Les techniques de traçage des utilisateurs exploitent des aspects de l'environnement de navigation de l'utilisateur (UBE). Aborder ces risques tout en maintenant une fonctionnalité web fluide est essentiel pour l'avenir du web. Dans cette thèse, nous étudions l'impact de l'UBE sur le respect de la vie privée en ligne en analysant le compromis entre utilisabilité et respect de la vie privée. Notre objectif est d'améliorer le respect de la vie privée en minimisant l'exposition inutile des informations UBE tout en maintenant la fonctionnalité des sites web. Nous apportons trois contributions dans ce domaine : 1. Nous présentons un cadre pour déterminer la pertinence des informations au sein de l'UBE en relation avec la fonctionnalité des sites web lorsqu'ils sont consultés. Notre approche permet de restreindre systématiquement des attributs UBE et d'observer le comportement résultant du site web. Nous introduisons Similarity Radar, un outil pour comparer le comportement des sites web dans des environnements normaux versus restreints afin d'identifier les divergences qui indiquent la pertinence de certains attributs UBE. Ce cadre permet la restriction sûre des informations UBE non essentielles, améliorant ainsi le respect de la vie privée de l'utilisateur. 2. Nous utilisons Similarity Radar pour étudier l'impact de l'en-tête HTTP User-Agent (UA) sur le web. De manière similaire à la comparaison entre l'UBE standard et restreint décrite précédemment, nous explorons 270 048 pages web sur 11 252 domaines en utilisant trois navigateurs standard et un ensemble de navigateurs « None » — des clones des navigateurs standard avec leur UA et informations associées définies comme « None ». Nous comparons ensuite la similarité entre les navigateurs standard et les navigateurs « None ». Avant l'exécution de JavaScript (JS), nous observons une similarité de 100 %, indiquant que les en-têtes UA sont aujourd'hui sans pertinence pour la fonctionnalité des sites web. Cependant, après l'exécution du JS, 8,4 % des pages web explorées changent. Ces changements sont principalement dus à des scripts tiers liés à la publicité, à la détection de robots et aux réseaux de diffusion de contenu. En approfondissant, nous classons ces changements selon des niveaux de gravité en termes d'utilisabilité, la plupart étant de légères modifications CSS et un plus petit pourcentage causant des problèmes d'utilisabilité significatifs. Cela indique l'obsolescence de l'en-tête UA malgré leur importance dans le fingerprinting des navigateurs. 3. Nous examinons l'usage des bannières de consentement aux cookies sur différents continents, en nous concentrant sur la manière dont la visibilité et l'impact varient selon la localisation géographique. Nous utilisons une nouvelle technique de détection visuelle automatisée basée sur Similarity Radar pour détecter efficacement les bannières de consentement. Pour chacun des cinq pays — Brésil, France, Japon, Afrique du Sud et États-Unis — nous avons analysé 14 078 sites web, en répétant ce processus trois fois sous différents scénarios d'interaction : d'abord sans interagir avec les bannières de consentement aux cookies, puis en les acceptant, et enfin en les refusant. Les résultats révèlent des disparités dans la prévalence des bannières de consentement, la France affichant la plus haute visibilité à 69 % et le Japon la plus basse à 27 %. Nous observons également que les cookies tiers augmentent après que les utilisateurs interagissent avec les bannières de consentement, en particulier aux États-Unis, tandis que la France maintient le nombre le plus bas de cookies tiers en raison de sa réglementation stricte. Cela indique une corrélation entre la visibilité des bannières de consentement et les pratiques de traçage des utilisateurs.
M. Romain ROUVOY Université de Lille Directeur de thèse, M. Johann BOURCIER Université de Pau et des Pays de l'Adour Rapporteur, Mme Nataliia BIELOVA Centre Inria d'Université Côte d'Azur Rapporteure, M. Walter RUDAMETKIN Université de Rennes Examinateur, Mme Aurore FASS CISPA – Helmholtz Center for Information Security Examinatrice, M. Pierre LAPERDRIX CNRS Co-directeur de thèse.
Thèse de l'équipe Spirals soutenue le 05/12/2024
français
English