Browser Fingerprinting : Exploring Device Diversity to Augment Authentification and Build Client-Side Countermeasures

par Pierre Laperdrix

Thèse de doctorat en Informatique

Sous la direction de Benoit Baudry.

Soutenue le 03-10-2017

à Rennes, INSA , dans le cadre de École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) , en partenariat avec Université Bretagne Loire (Comue) , Inria Rennes – Bretagne Atlantique (laboratoire) et de Diversity-centric Software Engineering (laboratoire) .

Le président du jury était Ludovic Mé.

Le jury était composé de Benoit Baudry, Ludovic Mé, Franck Piessens, Claude Castelluccia, Nataliia Bielova, Gildas Avoine.

Les rapporteurs étaient Franck Piessens, Claude Castelluccia.

  • Titre traduit

    Empreinte digitale d'appareil : exploration de la diversité des terminaux modernes pour renforcer l'authentification en ligne et construire des contremesures côté client


  • Résumé

    L'arrivée de l'Internet a révolutionné notre société à l'aube du 21e siècle. Nos habitudes se sont métamorphosées pour prendre en compte cette nouvelle manière de communiquer el de partager avec le monde. Grâce aux technologies qui en constituent ses fondations, le web est une plateforme universelle Que vous utilisiez un PC de bureau sous Windows, un PC portable sous MacOS, un serveur sous Linux ou une tablette sous Android, chacun a les moyens de se connecter à ce réseau de réseaux pour partager avec le monde. La technique dite de Browser fingerprinting est née de celle diversité logicielle et matérielle qui compose nos appareils du quotidien. En exécutant un script dans le navigateur web d'un utilisateur, un serveur peut récupér une très grande quantité d'informations. Il a été démontré qu'il est possible d'identifier de façon unique un appareil en récoltant suffisamment d'informations. L'impact d'une telle approche sur la vie privée des internautes est alors conséquente, car le browser fingerprinting est totalement indépendant des systèmes de traçage connu comme les cookies. Dans celle thèse, nous apportons les contributions suivantes : une analyse de 118 934 empreintes, deux contre-mesures appelées Blink et FPRandom et un protocole d'authentification basé sur le canvas fingerprinting. Le browser fingerprinting est un domaine fascinant qui en est encore à ses balbutiements. Avec cette thèse, nous contribuons à l'écriture des premières pages de son histoire en fournissant une vue d'ensemble du domaine, de ses fondations jusqu'à l'impact des nouvelles technologies du web sur cette technique. Nous nous tournons aussi vers le futur via l'exploration d'une nouvelle facette du domaine afin d'améliorer la sécurité des comptes sur Internet.


  • Résumé

    Users are presented with an ever-increasing number of choices to connect to the Internet. From desktops, laptops, tablets and smartphones, anyone can find the perfect device that suits his or her needs while factoring mobility, size or processing power. Browser fingerprinting became a reality thanks to the software and hardware diversity that compose every single one of our modem devices. By collecting device-specific information with a simple script running in the browser, a server can fully or partially identify a device on the web and follow it wherever it goes. This technique presents strong privacy implications as it does not require the use of stateful identifiers like cookies that can be removed or managed by the user. In this thesis, we provide the following contributions: an analysis of 118,934 genuine fingerprints to understand the current state of browser fingerprinting, two countermeasures called Blink and FPRandom and a complete protocol based on canvas fingerprinting to augment authentication on the web. Browser fingerprinting is still in its early days. As the web is in constant evolution and as browser vendors keep pushing the limits of what we can do online, the contours of this technique are continually changing. With this dissertation, we shine a light into its inner-workings and its challenges along with a new perspective on how it can reinforce account security.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Institut National des Sciences Appliquées. Bibliothèque.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.