Thesis of Antoine Vastel

Tracking Versus Security : Investigating the two Facets of Browser Fingerprinting

De nos jours, une grande diversité d'appareils tels que des smartphones, des ordinateurs ou des télévisions connectées peuvent naviguer sur le web. Afin d'adapter leur expérience de navigation, les utilisateurs modifient également diverses options telles que l'affichage de la barre des favoris ou leurs langues préférées. Cette diversité d'appareils et de configurations sont à l'origine du suivi par empreintes de navigateurs. En effet, pour gérer cette diversité, les sites web peuvent accéder à des informations relatives à la configuration de l'appareil grâce aux interfaces du langage JavaScript, sans obtenir l'accord préalable de l'utilisateur. La combinaison de ces informations est appelée empreinte de navigateur, et est bien souvent unique, pouvant donc servir à des fins de suivi marketing. Néanmoins, le fait que les empreintes ne soient pas stockées sur la machine rend cette technique également intéressante pour des applications relatives à la sécurité sur le web. A travers cette thèse, je propose 3 contributions relatives aux domaines des empreintes de navigateurs : 1. Je collecte 122,000 empreintes de 2,346 navigateurs et analysons leur stabilité pendant plus de 2 ans. Je montre qu'en dépit de changements fréquents dans leur empreinte, une part significative des navigateurs peut être suivie pendant de longues périodes; 2. Je conçois une suite de tests afin d'évaluer la résistance des outils de protection contre le suivi par empreinte de navigateurs. Je l'applique à 7 outils de protection, et montre que tous peuvent être détectés, ce qui peut rendre leur utilisateurs plus facilement identifiables, et donc vulnérables au suivi; 3. Enfin, j'explore l'utilisation des empreintes de navigateurs pour la détection de crawlers. Après avoir mesuré l'usage de cette technique sur le web, je présente les différents attributs et tests permettant la détection. Comme les empreintes de navigateurs sont collectées côté client, j'évalue également la résilience de cette forme de détection contre un adversaire développant des crawlers dont les empreintes ont été modifiées.

Jury

M. Romain ROUVOY Université de Lille Directeur de thèse M. Christophe ROSENBERGER Normandie Université / Ensicaen Rapporteur M. Daniel LE METAYER INRIA Rapporteur Mme Clémentine MAURICE CNRS / IRISA Examinateur Mme Nataliia BIELOVA Inria Sophia Antipolis Examinateur M. Walter RUDAMETKIN Université de Lille Co-directeur de thèse M. Gilles GRIMAUD Université de Lille Examinateur

Thesis of the team Spirals defended on 24/10/2019