Browser Fingerprinting: Exploring Device Diversity to Augment Authentication and Build Client-Side Countermeasures

Pierre Laperdrix 1
1 DiverSe - Diversity-centric Software Engineering
Inria Rennes – Bretagne Atlantique , IRISA_D4 - LANGAGE ET GÉNIE LOGICIEL
Résumé : L’arrivée de l’Internet a révolutionné notre société à l’aube du 21e siècle. Nos habitudes se sont métamorphosées pour prendre en compte cette nouvelle manière de communiquer et de partager avec le monde. Grâce aux technologies qui en constituent ses fondations, le web est une plateforme universelle. Que vous utilisiez un PC de bureau sous Windows, un PC portable sous MacOS, un serveur sous Linux ou une tablette sous Android, chacun a les moyens de se connecter à ce réseau de réseaux pour partager avec le monde. La technique dite de Browser fingerprinting est née de cette diversité logicielle et matérielle qui compose nos appareils du quotidien. En exécutant un script dans le navigateur web d’un utilisateur, un serveur peut récupérer une très grande quantité d’informations. Il a été démontré qu’il est possible d’identifier de façon unique un appareil en récoltant suffisamment d’informations. L’impact d’une telle approche sur la vie privée des internautes est alors conséquente, car le browser fingerprinting est totalement indépendant des systèmes de traçage connu comme les cookies. Dans cette thèse, nous apportons les contributions suivantes : 1- Grâce au site AmiUnique.org, nous analysons 118,934 empreintes. Nous démontrons que l’identification d’appareils est toujours possible, car 89.4% des empreintes collectées sur notre site sont uniques. Nous constatons aussi que l’identification d’appareils mobiles est possible, même si ces plateformes logicielles et matérielles sont beaucoup plus restreintes. 2- Nous détaillons deux contre-mesures appelées Blink et FPRandom. Modifier artificiellement le contenu d’une empreinte présente de nombreuses difficultés, car un mauvais changement peut empêcher l’utilisateur de naviguer sur Internet. En exploitant la diversité logicielle et en introduisant un comportement aléatoire dans certaines fonctions des navigateurs, nous changeons constamment l’empreinte présentée à un traqueur pour l’empêcher d’identifier un appareil sur Internet. 3- De plus en plus de bases de données sont attaquées chaque année, et une quantité de plus en plus grande de mots de passe se retrouve en libre accès sur Internet. Pour améliorer la sécurité des systèmes d’authentification, nous avons conçu un protocole d’authentification complet basé sur la canvas fingerprinting. En demandant au navigateur de dessiner une image très précise, il nous est possible de vérifier si l’appareil utilisé est connu ou non du système. Notre protocole permet d’éviter des piratages de compte suite à un vol de mot de passe. Le browser fingerprinting est un domaine fascinant qui en est encore à ses balbutiements. Avec cette thèse, nous contribuons à l’écriture des premières pages de son histoire en fournissant une vue d’ensemble du domaine, de ses fondations jusqu’à l’impact des nouvelles technologies du web sur cette technique. Nous nous tournons aussi vers le futur via l’exploration d’une nouvelle facette du domaine afin d’améliorer la sécurité des comptes sur Internet.
Type de document :
Thèse
Computer Science [cs]. INSA Rennes, 2017. English
Liste complète des métadonnées

Littérature citée [248 références]  Voir  Masquer  Télécharger

https://hal.inria.fr/tel-01621257
Contributeur : Pierre Laperdrix <>
Soumis le : lundi 23 octobre 2017 - 10:16:45
Dernière modification le : jeudi 11 janvier 2018 - 06:28:14

Fichier

thesis-pierre-laperdrix.pdf
Fichiers produits par l'(les) auteur(s)

Identifiants

  • HAL Id : tel-01621257, version 1

Citation

Pierre Laperdrix. Browser Fingerprinting: Exploring Device Diversity to Augment Authentication and Build Client-Side Countermeasures. Computer Science [cs]. INSA Rennes, 2017. English. 〈tel-01621257〉

Partager

Métriques

Consultations de la notice

157

Téléchargements de fichiers

210