Browser Fingerprinting : Exploring Device Diversity to Augment Authentification and Build Client-Side Countermeasures - Inria - Institut national de recherche en sciences et technologies du numérique Accéder directement au contenu
Thèse Année : 2017

Browser Fingerprinting : Exploring Device Diversity to Augment Authentification and Build Client-Side Countermeasures

Empreinte digitale d'appareil : exploration de la diversité des terminaux modernes pour renforcer l'authentification en ligne et construire des contremesures côté client

Pierre Laperdrix

Résumé

Users are presented with an ever-increasing number of choices to connect to the Internet. From desktops, laptops, tablets and smartphones, anyone can find the perfect device that suits his or her needs while factoring mobility, size or processing power. Browser fingerprinting became a reality thanks to the software and hardware diversity that compose every single one of our modem devices. By collecting device-specific information with a simple script running in the browser, a server can fully or partially identify a device on the web and follow it wherever it goes. This technique presents strong privacy implications as it does not require the use of stateful identifiers like cookies that can be removed or managed by the user. In this thesis, we provide the following contributions: an analysis of 118,934 genuine fingerprints to understand the current state of browser fingerprinting, two countermeasures called Blink and FPRandom and a complete protocol based on canvas fingerprinting to augment authentication on the web. Browser fingerprinting is still in its early days. As the web is in constant evolution and as browser vendors keep pushing the limits of what we can do online, the contours of this technique are continually changing. With this dissertation, we shine a light into its inner-workings and its challenges along with a new perspective on how it can reinforce account security.
L'arrivée de l'Internet a révolutionné notre société à l'aube du 21e siècle. Nos habitudes se sont métamorphosées pour prendre en compte cette nouvelle manière de communiquer el de partager avec le monde. Grâce aux technologies qui en constituent ses fondations, le web est une plateforme universelle Que vous utilisiez un PC de bureau sous Windows, un PC portable sous MacOS, un serveur sous Linux ou une tablette sous Android, chacun a les moyens de se connecter à ce réseau de réseaux pour partager avec le monde. La technique dite de Browser fingerprinting est née de celle diversité logicielle et matérielle qui compose nos appareils du quotidien. En exécutant un script dans le navigateur web d'un utilisateur, un serveur peut récupér une très grande quantité d'informations. Il a été démontré qu'il est possible d'identifier de façon unique un appareil en récoltant suffisamment d'informations. L'impact d'une telle approche sur la vie privée des internautes est alors conséquente, car le browser fingerprinting est totalement indépendant des systèmes de traçage connu comme les cookies. Dans celle thèse, nous apportons les contributions suivantes : une analyse de 118 934 empreintes, deux contre-mesures appelées Blink et FPRandom et un protocole d'authentification basé sur le canvas fingerprinting. Le browser fingerprinting est un domaine fascinant qui en est encore à ses balbutiements. Avec cette thèse, nous contribuons à l'écriture des premières pages de son histoire en fournissant une vue d'ensemble du domaine, de ses fondations jusqu'à l'impact des nouvelles technologies du web sur cette technique. Nous nous tournons aussi vers le futur via l'exploration d'une nouvelle facette du domaine afin d'améliorer la sécurité des comptes sur Internet.
Fichier principal
Vignette du fichier
These_2017ISAR0016_Laperdrix_Pierre.pdf (4.23 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)
Loading...

Dates et versions

tel-01729126 , version 1 (12-03-2018)

Identifiants

  • HAL Id : tel-01729126 , version 1

Citer

Pierre Laperdrix. Browser Fingerprinting : Exploring Device Diversity to Augment Authentification and Build Client-Side Countermeasures. Cryptography and Security [cs.CR]. INSA de Rennes, 2017. English. ⟨NNT : 2017ISAR0016⟩. ⟨tel-01729126⟩
1152 Consultations
5116 Téléchargements

Partager

Gmail Facebook X LinkedIn More