• Langue : Anglais
• Discipline : Informatique et applications
• Identifiant : 2022ULILB001
• Type de thèse : Doctorat
• Date de soutenance : 14/01/2022

Résumé en langue originale

La sécurité d’un système d’authentification est un élément dont l’importance continue de croître depuis la naissance du Web. De nos jours, c’est un point d’intérêt majeur et des solutions comme l’authentification multi-facteur ont un impact fort sur l’expérience utilisateur qui empêchent ces techniques d’être acceptées par la majorité des utilisateurs et d’être déployées à grande échelle sur Internet. Une empreinte de navigateur est une technique d’identification sans état et qui ne requiert pas de permission. Elle collecte des informations sur l’appareil, l’OS, le navigateur et la configuration de l’utilisateur.Alors que cette technique a majoritairement été étudiée à des fins de suivi en ligne,ses propriétés en font un élément intéressant pour renforcer la sécurité sur Internet, et notamment l’authentification. Dans cette thèse, je propose 3 contributions relative à l’usage des empreintes de navigateur pour améliorer l’authentification sur Internet:• Je visite manuellement 1, 485 pages Internet appartenant à 446 sites et je mesure que les empreintes de navigateur sont collectées sur des pages sensibles, tel que des pages d’authentification. J’évalue la résistance de ces sites contre 2 attaques, le vol de mot de passe et le vol de cookies, et montre que les empreintes de navigateur sont peu utilisées pour se protéger contre ces menaces.• Je collecte des empreintes de navigateur dans un environnement contrôlé pour mesurer précisément les attributs qui offrent des propriétés intéressantes en terme d’unicité et de stabilité. J’utilise cette connaissance pour concevoir et implémenter un algorithme pouvant lier des empreintes de navigateur. J’évalue cet algorithme sur un ensemble de données formé de 952, 828 empreintes provenant de 64, 235instances de navigateur, et montre que l’algorithme est fiable et pertinent.• Je conçois et implémente un schéma d’authentification qui renforce l’authentification en utilisant la technique des empreintes de navigateur. J’intègre ce schéma dans un système centralisé d’authentification comportant 82 utilisateurs. Je démontre que la technique des empreintes de navigateur améliore la sécurité tout en ayant un impact minime sur l’expérience utilisateur.Avec ces contributions, je démontre que les empreintes de navigateur sont légitimes pour renforcer l’authentification sur Internet. Alors que le Web est en constante évolution,je conclus en proposant des perspectives à court et long terme pour améliorer ces travaux et suivre l’évolution de la technique des empreintes de navigateur.

Résumé traduit

Security on the Web is a major concern for any user, and authentication solutions, such as multi-factor authentication, negatively impact the user experience and add cost andcomplexity that may prevent them from being more accepted by users and more largelydeployed. Browser fingerprinting is a stateless and permission-less technique thatcollects information about the user’s device, OS, browser and configuration to form anidentifier. While it has mainly been studied from a tracking perspective, its propertiesmake it interesting for security, and more specifically, for Web authentication.In this thesis, I provide 3 main contributions:• I manually browse 1, 485 pages on 446 websites and measure fingerprint collectionon sensitive pages of websites, such as sign-up and sign-in pages. I evaluate theresilience of these websites against 2 types of attack, stolen credentials and cookiehijacking, and show that fingerprinting, despite its potential, is barely used toprotect against these attacks.• I collect fingerprints in a controlled environment to precisely measure the attributesthat offer interesting uniqueness and stability properties. I use this knowledgeto design and implement a fingerprints linking algorithm for Web authenticationand evaluate it on a dataset of 952, 828 fingerprints collected from 64, 235 browserinstances, and show the algorithm is reliable and relevant to link fingerprints.• I design and implement an authentication scheme that strengthens web authen-tication by using browser fingerprinting. I evaluate the scheme on a centralizedauthentication server with 82 users. I demonstrate that browser fingerprintingstrengthens Web authentication while having a minimal impact on the user experience.With these contributions, I argue that browser fingerprinting improves web authenti-cation and conclude this manuscript by providing short-term and long-term perspectivesto improve this work.