Leveraging browser fingerprinting for web authentication Tompoariniaina Nampoina Andriamilanto To cite this version: Tompoariniaina Nampoina Andriamilanto. Leveraging browser fingerprinting for web authentication. Systems and Control [cs.SY]. Université Rennes 1, 2020. English. NNT : 2020REN1S045. tel- 03150590 HAL Id: tel-03150590 https://tel.archives-ouvertes.fr/tel-03150590 Submitted on 23 Feb 2021 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. THÈSE DE DOCTORAT DE L’UNIVERSITÉ DE RENNES 1 ÉCOLE DOCTORALE NO 601 Mathématiques et Sciences et Technologies de l’Information et de la Communication Spécialité : Informatique Par Tompoariniaina Nampoina ANDRIAMILANTO Leveraging Browser Fingerprinting for Web Authentication Thèse présentée et soutenue à Rennes, le 17/12/2020 Unité de recherche : IRISA, IRT b<>com Rapporteurs avant soutenance : Arnaud LEGOUT Chargé de recherche (HDR), INRIA Sophia Antipolis Luc BOUGANIM Directeur de recherche, INRIA Saclay Île de France Composition du Jury : Président : Gildas AVOINE Professeur, INSA Rennes Rapporteurs : Arnaud LEGOUT Chargé de recherche (HDR), INRIA Sophia Antipolis Luc BOUGANIM Directeur de recherche, INRIA Saclay Île de France Examinateurs : Sonia BEN MOKHTAR Directeur de recherche CNRS, laboratoire LIRIS Lyon Pierre LAPERDRIX Chargé de recherche CNRS, laboratoire CRISTAL Lille Clémentine MAURICE Chargée de recherche CNRS, laboratoire IRISA Rennes Dir. de thèse : David GROSS-AMBLARD Professeur, Université de Rennes 1 Encadr. de thèse : Tristan ALLARD Maître de conférences, Université de Rennes 1 Invité(s) : Dir. de thèse : Benoît BAUDRY Professeur, KTH Royal Institute of Technology Co-enc. de thèse : Gaëtan LE GUELVOUIT Responsable de laboratoire, IRT b<>com Acknowledgements Many people have contributed in one way or another to my PhD studies. I take this section to thank them. First and foremost, I would like to thank my thesis supervisors, Tristan Allard and Gaëtan Le Guelvouit, for the three enjoyable years spent learning and working alongside them. I would also like to thank my thesis directors, Benoît Baudry and David Gross-Amblard, for trusting me to carry out this thesis work. Second, I would like to thank the members of my thesis jury : Gildas Avoine for chairing the jury ; Arnaud Legout and Luc Bouganim for reviewing the ma- nuscript ; Clémentine Maurice, Pierre Laperdrix, and Sonia Ben Mokhtar for their participation in the jury ; all the members of the jury for their interest in my works. I spent these three years of PhD studies between the Institute of Research and Technology b<>com and the IRISA laboratory, in both of which I was surrounded by warm people. I would like to thank the members of the Trust and Security team of the IRT b<>com for the good atmosphere that reigned. I enjoyed the discussions over a cup of coffee with Arnault Besnard and David Liouville, the lunchtime board game sessions with Valérie Denis, and Alexandre Garel for introducing me to the domain of machine learning. I would also like to thank the members of the DRUID team of the IRISA laboratory, notably Joris Duguéperoux, Louis Béziaud, Antonin Voyez, and Javier Rojas Balderrama for the interesting discussions during the lunchtime coffees and their reviews of our works. Next, I would like to thank my friends for their support throughout my thesis studies. In particular, Malo and Christophe with whom I shared this three years adventure, and Evan for the warm exchanges over a sandwich, a tea, or a beer. Finally, I would like to thank my family, near or far away, for their encouragement and their confidence in my ability to succeed this thesis. iii Résumé en français Contexte Depuis la genèse du World Wide Web à la fin des années quatre-vingt, les tech- nologies qui l’entourent n’ont cessé de se développer. Il est aujourd’hui possible d’écouter de la musique, de jouer à des jeux-vidéos, de regarder des vidéos en di- rect ou en différé, et tout ceci au travers d’un simple navigateur web. En parallèle du développement des technologies web, les services qui s’y reposent se sont aussi développés. Il est désormais possible de réaliser des démarches administratives en ligne, mais aussi des transactions bancaires ou des visioconférences. Malgré le fait que les sites web soient accessibles publiquement, certains services ne devraient êtres accessibles que par des utilisateurs désignés. Par exemple, seul le propriétaire d’un compte bancaire devrait être autorisé à y effectuer des opérations en ligne. Se pose alors le problème de l’authentification, qui consiste à ce que le gestionnaire du site web, aussi appelé le vérifieur, vérifie qu’un utilisateur soit bien le détenteur d’un compte. Pour ce faire, le vérifieur demande des éléments que seul le détenteur du compte devrait être capable de fournir, éléments que nous appelons des fac- teurs d’authentification. Le facteur d’authentification couramment utilisé par les sites web est le mot de passe, grâce à sa facilité d’utilisation et de déploiement. Cependant, les mots de passe souffrent de multiples faiblesses. Par exemple, les utilisateurs ont tendance à utiliser les mêmes mots de passe, facilitant alors la tâche aux pirates qui réalisent des attaques par dictionnaires. Ces attaques consistent à déduire quels sont les mots de passe les plus courants, et à les présenter pour es- sayer d’accéder de manière frauduleuse à un compte. Cette déduction peut se faire à travers les mots de passe qui ont fuités ou été volés lors d’attaques informatiques. v vi RÉSUMÉ EN FRANÇAIS À cause des faiblesses des mots de passe, les vérifieurs intègrent désormais de l’authentification multi-facteur. Cela consiste à utiliser plusieurs facteurs d’authen- tification, de sorte que chaque facteur ajoute une barrière de sécurité supplémen- taire. Cependant, le gain en sécurité des facteurs additionnels vient au prix d’une perte de facilité d’utilisation ou de déploiement. Les utilisateurs doivent se sou- venir d’une information supplémentaire, avoir un objet sur eux, ou effectuer une action. Les vérifieurs doivent déployer des logiciels ou du matériel supplémentaires, les maintenir, et apprendre aux utilisateurs à s’en servir. Selon des estimations réa- lisées en 2015 et en 2018, moins de dix pour cent des utilisateurs s’authentifient auprès des sites web à l’aide de plusieurs facteurs d’authentification. Le développement des technologies web a aussi mené à une diversité des confi- gurations de navigateurs web et à une grande quantité d’information communiquée par ceux-ci. Effectivement, les utilisateurs ont aujourd’hui le choix entre différents systèmes d’exploitation et modèles de navigateur. Ces logiciels étant mis à jour ré- gulièrement, ils existent alors sous différentes versions. Les navigateurs fournissent un accès à des informations concernant l’appareil, le système d’exploitation, le modèle de navigateur, et leurs versions respectives. En 2010, Peter Eckersley a lancé une expérimentation via le site Panopticlick afin de vérifier si, à partir des informations communiquées par les navigateurs, ceux-ci ne seraient pas reconnais- sables. Parmi les 470, 161 navigateurs qui font partie de l’expérimentation, 83.6% étaient reconnaissables de manière unique à partir des 8 attributs collectés. La technique utilisée est alors appelée browser fingerprinting, ou prise d’empreinte de navigateur en français, et consiste à collecter des attributs auprès d’un navigateur afin de constituer une empreinte de celui-ci. Les empreintes de navigateur ont été utilisées à des fins de pistage web. En suivant un utilisateur au fil de sa navigation via l’empreinte de son navigateur, les agences publicitaires peuvent lui proposer des publicités ciblées. Mais cette empreinte peut aussi servir de facteur d’authenti- fication supplémentaire à bas coût : l’utilisateur n’a rien à retenir, rien à installer, et aucune action supplémentaire à effectuer. Il suffit de vérifier que l’empreinte de son navigateur soit suffisamment ressemblante à l’empreinte enregistrée pour le compte demandé, ce qui peut être fait de manière transparente. vii Adéquation des Empreintes de Navigateur pour l’Authentification Web La plupart des études sur l’utilisation des empreintes de navigateur à des fins d’au- thentification se concentrent sur la conception du mécanisme d’authentification. De plus, les études empiriques sur les empreintes de navigateur se concentrent sur son utilisation pour du pistage web, ignorant alors des propriétés primordiales pour l’authentification comme leur efficacité à reconnaître un navigateur. Enfin, la capacité des empreintes à distinguer les navigateurs sur une grande population et en utilisant un grand nombre d’attributs est, à notre connaissance, encore mécon- nue. Les études empiriques portent soit sur une population large mais en utilisant moins de trente attributs, sous-estimant alors la distinguabilité des empreintes, soit sur une faible population en utilisant une centaine d’attributs. Au travers de cette thèse, nous proposons la première étude empirique à large- échelle des propriétés des empreintes de navigateur utilisées à des fins d’authen-