SCD-Universite de Rennes 1 Modélisation et évaluation de la sécurité des parcours d'authentification Modeling and assessing the security of the authentication procedure AuthentificationRisque de SécuritéDSLModélisationGestion d'IdentitéExigence AuthentictionSecurity RiskDSLModelingIdentity ManagementRequirement Engineering Les applications informatiques sont aujourd’hui largement déployées sur plusieurs plateformes (e.g., smartphone, ordinateur, console de jeux). Une instance de la même application peut être accessible en simultané sur ces plateformes. Cette hétérogénéité augmente certes le confort d’utilisation, mais rend les applications plus complexes, notamment en terme de sécurité, particulièrement, lorsqu’il s’agit de vérifier l’identité de l’utilisateur final. Cette vérification d’identité, bien qu’elle soit fondée sur des normes et des protocoles éprouvés, manque la considération des risques introduits par les éléments de contexte. Ces éléments de contexte sont principalement l’environnement d’exécution (e.g., navigateur web, application mobile), les choix d’utilisabilité, le comportement humain et les erreurs de conception. Cette thèse fournit des outils et méthodes qui permettent aux concepteurs d’améliorer la conception des parcours d’authentification en prenant en considération ces éléments de contexte. Cette démarche nécessite d’identifier les biens que l’on souhaite protéger ainsi que les risques et les menaces sur ces derniers. Pour une application Web/Mobile, le moyen d’authentification de ses utilisateurs est capital pour éviter tout accès non-autorisé. Cette authentification est souvent réalisée lors des phases de développement tout en étant dépourvue de spécification préalable. Cette absence de spécification empêche de déterminer les défauts qui en résultent, mais aussi ceux liés aux interfaces utilisateurs, aux choix d’usage et au comportement de l’utilisateur final. Dans un premier temps, nous étudions l’impact de ces éléments de contexte sur le parcours d’authentification. Puis, nous en déduisons une taxonomie des défauts qualifiés de défauts logiques. Enfin, nous définissons un ensemble d’exigences à respecter lors des phases de conception afin de prévenir ces défauts de sécurité. Dans un second temps, nous proposons de palier le manque de spécification du parcours d’authentification dans le processus de développement. Dans ce but, nous proposons un langage dédié (i.e., Langage Spécifique au Domaine - Domaine Specific Language (DSL)) à la spécification des parcours d’authentification. Ce langage dédié, qui implémente un ensemble d’abstractions que nous définissons via un cadre d’évaluation du niveau de risques, offre deux avantages importants. Premièrement, il permet d’étendre les moyens d’authentification existants en considérant les éléments de contexte (i.e., plasticité de l’interface utilisateur, l’utilisabilité, etc.). Deuxièmement, pour une spécification de parcours donnée, il permet d’évaluer automatiquement le niveau de risque d’attaques logiques associées. Software Applications are being ubiquitous in our daily life. One application may run in different platforms (e.g., Web, Mobile, Gaming Console) while being accessible simultaneously. Although these heterogeneity raises the usability from the end-user’s perspective, it makes the applications more complex to maintain when they evolve, especially when it comes to verify the end-user’s identity and authenticity. Approuved Standards and protocols provide means to ensure the end-user’s identity. Neverthless, these ones lake of considering risks introduced by factors of these heteregeneous context. Some of the factors are : execution environment, usability choice, design errors and end-user’s behaviour. This thesis provides tools and approaches that allows designers to improve the security design of their applications while considering elements from the real-life contexte. This approach imply to identify the main assets to protect, the risks and the threats. Our approach involves Web/Mobile applications, mainly we are focusing on the authentication procedure of the end-user since this is vital in order to avoid unauthorized access to the legitimate user’s resources. These authentification, while leveraging on approuved authentication schemes, considerably lakes of formal specification during the design phase. First, we investigate the impact of the heteregeneous elements on the authentication procedure. Consequently, we identify the relevant flaws that we caracterize and then define as logic flaws. To overcome their flaws, we provide a set requirements that aim to tackle them during the design phase. Second, to overcome the lake of formal specification of the authentication procedure during the design phase, we provide a Domain-Specific Language (DSL). This dedicated language implements the abstractions of a risk assessment framework that we provide. The DSL allows to extend existing authentication schemes while considering real-life contexts. Then, from a given specification, it provides the result of the risk assessment of the identified logic attacks. Electronic Thesis or DissertationText fr application/pdf1 : 1537 Kohttps://ged.univ-rennes1.fr/nuxeo/site/esupversions/29c0e29e-89f3-49ed-a7fc-8b350beecad5 Ndiaye Youssou 1991-11-28 XX 243282761 youssoun32@gmail.com 2019REN1S076 http://www.theses.fr/2019REN1S076 2019-12-10 Informatique Universite de Rennes 1thesis.degree.grantor_1 02778715X Doctorat Universite Bretagne LoirepartenaireRecherche_1 191639044 non ouiBaraisOlivierintervenant_1094608946 MATHSTICecoleDoctorale_1 204770424 IRISA partenaireRecherche_2 026386909 ddc:004 BaraisOlivierUniversite de Rennes 1Sciences et technologie, medecine, pharmacie, odontologie, droit, economie, gestion, philosophieMATHSTICÉcole doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes)Universite Bretagne Loire Communaute des etablissements d enseignement superieur et de recherche (ComuE) IRISA ASCII PDF 1573904