Voir le résumé
L’Authentification Adaptative (AA) permet à un système de sélectionner dynamiquement la ou les méthodes les plus appropriées pour authentifier un utilisateur en fonction d’informations contextuelles, telles que la localisation, et l’adresse IP. Toutefois, il est difficile de raisonner sur la pertinence de la ou des méthodes d’authentification en fonction des informations contextuelles, lorsque le choix porte sur multiples dimensions telles que la sécurité et l’expérience utilisateur. De nombreuses initiatives universitaires ont été lancées pour remplacer les mots de passe et exploiter les informations contextuelles afin d’adapter la ou les méthodes d’authentification demandées à l’utilisateur. Ces initiatives se concentrent sur l’utilisation des informations contextuelles pour calculer des scores de risque. Des méthodes d’authentification supplémentaires sont alors requises si un certain niveau de risque est détecté. Compte tenu de la diversité des impacts en terme de sécurité, expérience de l’utilisateur, déployabilité, et respect de la vie privée, les scores de risque sont des indicateurs trop simples de l’adéquation des méthodes d’authentification. Le raisonnement sur la pertinence des méthodes d’authentification nécessite une compréhension fine de la situation contextuelle. Ma recherche vise ainsi à exploiter les informations contextuelles au-delà du calcul des scores de risque pour fournir un raisonnement plus fin sur l’adéquation des méthodes d’authentification. L’objectif est donc d’améliorer la conception, le déploiement et l’évaluation des systèmes d’authentification adaptatifs. Dans cette thèse, j’apporte quatre contributions majeures. Premièrement, je propose une étude de la littérature centré sur la modélisation des informations contextuelles pour les systèmes d’authentification afin de modéliser l’ensemble des informations contextuelles. J’analyse la manière dont la modélisation du contexte pour les systèmes d’authentification adaptatifs est effectuée et je détermine les propriétés souhaitées du modèle d’information contextuelle pour les systèmes d’authentification adaptatifs. Je démontre la capacité à capturer un ensemble commun de caractéristiques contextuelles pertinentes pour les systèmes d’authentification adaptatifs indépendamment du domaine d’application, et je souligne que malgré la possibilité d’un cadre unifié, il n’existe pas de norme pour la modélisation du contexte pour les systèmes d’AA. Deuxièmement, je présente un framework de modélisation de contexte pour les décisions d’authentification dynamique (CoFrA), dans lequel les informations contextuelles spécifient l’adéquation de la (des) méthode(s) d’authentification au-delà du calcul des scores de risque et en ce qui concerne les propriétés de sécurité, d’utilisabilité, de confidentialité et de déployabilité. CoFrA est un métamodèle précis, réutilisable et extensible qui caractérise le domaine de l’AA et fournit un langage permettant de déterminer la ou les méthodes d’authentification appropriées dans un contexte donné. Troisièmement, je propose un modèle d’explicabilité basé sur les valeurs de Shapley qui peut être utilisé pour expliquer les scores de risque qui sont estimés avec des approches basées sur les scores afin de soutenir la transition des approches basées sur les scores vers une approche d’AA plus fine. Je montre que les risques peuvent être expliqués différemment et spécifiquement pour chaque tentative de connexion de l’utilisateur. Quatrièmement, je présente une approche outillée pour la définition des modèles d’authentification les mieux adaptés. CoFrA fournit un langage pour déterminer les modèles d’authentification adaptatifs. Pour une application, il peut y avoir plusieurs modèles valides, et la difficulté est de choisir celui qui convient à l’application en fonction de multiples critères de qualité. Ma quatrième contribution soutient ce choix.