Leveraging browser fingerprinting for web authentication (Authentification forte par prise d'empreinte de navigateur) Andriamilanto, Tompoariniaina Nampoina - (2020-12-17) / Universite de Rennes 1 Leveraging browser fingerprinting for web authentication
| |||
Langue : Anglais Directeur(s) de thèse: Baudry, Benoît; Gross-Amblard, David Discipline : Informatique Laboratoire : IRISA Ecole Doctorale : MATHSTIC Classification : Informatique Mots-clés : prise d'empreinte de navigateur, authentification web, authentification multi-facteur
| |||
Résumé : L'authentification web consiste à vérifier que le visiteur d'un site web est bien le détenteur d'un compte. Pour ce faire, plusieurs informations peuvent servir de preuve de détention, dont les empreintes de navigateur. Celles-ci sont des propriétés collectées à partir d'un navigateur permettant d'en constituer une empreinte potentiellement unique. Au travers de cette thèse, nous proposons deux contributions. Nous étudions l'adéquation des empreintes de navigateur pour de l'authentification. Nous faisons le lien entre les empreintes digitales et celles des navigateurs afin d'évaluer ces dernières selon des propriétés d'informations biométriques. Nous basons notre étude sur l'analyse de quatre jeux de données d'empreintes de navigateur, dont un comprenant presque deux millions de navigateurs. Nous proposons FPSelect, un outil de sélection d'attributs tels qu'ils satisfassent un niveau de sécurité et réduisent les contraintes d'utilisation. Le niveau de sécurité est mesuré selon la proportion d'utilisateurs usurpés étant donné les attributs utilisés, une population de navigateurs, et un attaquant modélisé. Les contraintes sur l'utilisation sont mesurées selon le temps de collecte des empreintes, leur taille, et leur instabilité. Nous comparons les résultats de FPSelect avec des méthodes usuelles de sélection d'attributs sur deux jeux de données. Abstract : Web authentication is the verification that a visitor claiming an account legitimately owns this account. Several authentication factors were proposed such that each one provides a supplementary security barrier. Browser fingerprints notably came out as a promising candidate. They are the aggregation of properties collected from a web browser, which compose a potentially unique fingerprint. In this thesis, we provide two contributions. We investigate the adequacy of browser fingerprints for web authentication. We make the link between the digital fingerprints that distinguish browsers, and the biological fingerprints that distinguish Humans, to evaluate browser fingerprints according to properties inspired by biometric authentication factors. We assess these properties on four real-life browser fingerprint datasets, which include one of nearly two million browsers. We propose FPSelect, an attribute selection framework to find the attribute set that satisfies a security requirement and reduces the usability cost. The security is measured as the proportion of impersonated users given a fingerprinting probe, a user population, and a modeled attacker. The usability is quantified by the collection time of browser fingerprints, their size, and their instability. We compare our framework with common baselines using on two real-life fingerprint datasets. |