CE39 - Sécurité Globale, Cybersécurité

FP-Locker : Renforcer l'authentification web grâce aux empreintes de navigateur – FP-Locker

Résumé de soumission

Les empreintes de navigateurs sont utilisées pour identifier et traquer des appareils sur internet. Celles-ci sont collectées depuis les navigateurs et exploitent la diversité des configurations, des protocoles et des APIs afin d'identifier un appareil. Contrairement aux cookies utilisés à des fins de suivi commerciales qui peuvent être effacés par l’utilisateur car stockés dans le navigateur, les empreintes de navigateurs sont stockées sur des serveurs distants sur lesquels l’utilisateur n’a pas le contrôle.

Malgré les utilisations négatives des empreintes de navigateurs, celles-ci peuvent également être utilisées pour améliorer la sécurité sur le Web. Nous proposons donc d’explorer l’utilisation d’empreintes de navigateurs avancées en tant que mécanisme d’authentification. Nous pensons que l’utilisation de ce type de mécanisme a le potentiel d'être utilisé en tant qu’unique mécanisme d’autorisation lorsqu’il est utilisé sur un site de basse sécurité; il peut être utilisé pour bloquer l’accès d’un site public aux bots et aux utilisateurs frauduleux. Il a également le potentiel d'être utilisé en tant que second facteur d’authentification ou en tant que facteur additionnel dans un système d’authentification à plusieurs facteurs. Outre sa capacité à renforcer la session lors de l’authentification initiale, il peut également être utilisé de manière continue pendant une session afin de protéger contre les vols de session. Dans différents contextes, les empreintes de navigateurs sont totalement transparentes pour les utilisateurs, ce qui signifie que contrairement à d'autres processus basés sur des vérifications externes telles que des cartes à puce ou des codes de vérification à usage unique, ce type de système ne requiert pas d'action particulière de l'utilisateur pour améliorer la sécurité de son compte. Dans d'autres contextes plus restrictifs, les administrateurs peuvent définir différentes politiques de sécurité, par exemple en décidant d’autoriser seulement les appareils connectés au réseau interne à enregistrer l’empreinte lors de la première connexion avec un nouvel appareil. Ainsi, nous prévoyons de concevoir et d’implémenter une architecture capable d'intégrer un processus d’authentification par empreintes de navigateurs à un système existant.

Différents problèmes surviennent lors de l’utilisation de ce type de mécanisme d’authentification. Des attaquants peuvent mentir sur leur empreinte afin de contourner les mécanismes de détection. Pour contrer cette attaque, nous prévoyons de développer de nouveaux attributs qui identifient les différents composants matériel de la machine, tout en étant difficiles à forger par un attaquant. Nous prévoyons de combiner ces attributs avec d’autres reflétant la nature du navigateur utilisé tels que l'existence ou l'absence de certaines APIs. Nous analyserons également l’utilisation de tests dynamiques de la forme challenge-réponse afin de limiter les risques d’attaque par rejeu.

Nous avons identifié deux plateformes, Central Authentication Service (CAS) et Wordpress, pour implémenter notre approche, ainsi que pour étudier son administration en pratique. Nous pensons qu’il est également crucial d’étudier l’impact sociétal de ce type de système en pratique, à la fois en terme de facilité d’utilisation et de risque pour la vie privée. Nous soutenons le fait qu’obtenir le consentement de l’utilisateur avant de collecter son empreinte permettrait de réduire grandement son utilisation à des fins de suivi commercial, tout en améliorant le niveau de sécurité car cela permettrait au site d’accéder à des APIs nécessitant l’autorisation de l’utilisateur.

L’objectif principal de FP-Locker est d’améliorer l’authentification à plusieurs facteurs grâce à l’utilisation des empreintes de navigateurs. Nous pensons que leur utilisation dans un contexte d’authentification permet de réduire les risques de vols de comptes, tout en étant transparent et respectueux de la vie privée des utilisateurs.

Coordinateur du projet

Monsieur Walter Rudametkin (Centre de Recherche en Informatique, Signal et Automatique de Lille)

L'auteur de ce résumé est le coordinateur du projet, qui est responsable du contenu de ce résumé. L'ANR décline par conséquent toute responsabilité quant à son contenu.

Partenaire

CRIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille

Aide de l'ANR 163 296 euros
Début et durée du projet scientifique : décembre 2019 - 42 Mois

Liens utiles