Chapitre 3 : Stade TA2 - Module FAST
3.1 Fingerprinting ou r´eponse aux Limitations L0 et L1
3.1.2 Mise en perspective . . . . 89
3.2 Formalisation et concepts . . . . 90
3.2.1 Attributs et Profil Utilisateur . . . . 90
3.2.2 Politique d’authentification `a deux niveaux . . . . 92
3.3 D´efinition du module FAST et mod`ele de s´ecurit´e . . . . 94
3.3.1 D´efinition et discussion . . . . 94
3.3.2 Mod`ele de s´ecurit´e . . . . 96
3.4 Instanciation de FAST et r´eponse aux limitations L2 et L3 . 99
3.4.1 Une solution bas´ee sur les Fuzzy Extractors . . . . 99
3.4.2 Outils et Hypoth`eses . . . . 101
3.4.3 Description formelle . . . . 103
3.4.4 Consistance et S´ecurit´e . . . . 107
3.5 Analyse de la r´eutilisabilit´e . . . 110
3.6 Exemple de profil au stade TA2 . . . 112
3.6.1 De nouveaux attributs . . . . 113
3.6.2 Exemple de profil et temps de calcul . . . . 115
3.7 Limitations au stade TA2 . . . 118
3.7.1 Limitations L4 et L5 ou un manque de pratique . . . . 118
3.7.2 Limitation L6 ou la gestion de la diff´erence d’ensembles . . . . 119
3.7.3 Limitation L7 ou la dur´ee de vie r´eduite des attributs . . . . . 119
3.7.4 Limitation L8 ou non-ind´ependances des attributs . . . . 120
3.8 Conclusion . . . 120
En 2014, il a ´et´e d´ecid´e la cr´eation du module FAST d´edi´e `a la g´en´eration de cl´es.
Tout en continuant d’assurer les requis de la solution TA (Figure 2.8), ce module devra
permettre l’accession au stade TA2 en apportant une r´eponse aux limitations rappel´ees `a
la fin du pr´ec´edent Chapitre (Figure 2.9). Dans un premier temps, nous nous int´eresserons
au domaine dufingerprinting initi´e par le stade TA1 -dans le cas d’attributs statiques- et
l’´etendrons `a la r´esolution des limitations L0 et L1. Nous identifierons alors de nouvelles
donn´ees d’authentification (L1), permettant pour certaines de s’affranchir de l’interaction
utilisateur (L0). Ensuite nous verrons comment exploiter ces donn´ees nouvellement
identifi´ees et potentiellement variables (e.g. liste des contacts) afin de r´epondre `a la
limitation L2 en nous appuyant sur le domaine des Fuzzy Extractors [13] introduit au
chapitre 1. Cette approche, formalis´ee par FAST, permettra ´egalement de r´epondre `a la
limitation L3.
Les travaux d´ecrits dans la suite ont fait l’objet d’un d´epˆot de brevet [3] et d’une
participation `a l’Atelier pour la Protection de la Vie Priv´ee 2014 (APVP 2014) [4].
3.1 Fingerprinting ou r´eponse aux Limitations L0 et
L1
Le but de cette section n’est pas de lister de mani`ere exhaustive les techniques de
fingerprinting existantes mais de souligner l’importance prise par ce domaine au cours
des derni`eres ann´ees. La multiplication des services en ligne et des appareils connect´es
et personnalisables (e.g. Smartphone) permettent d’associer des utilisateurs avec leurs
profils num´eriques.
Une empreinte digitale d’appareil (device fingerprint en anglais) est une
information collect´ee sur un dispositif informatique distant `a des fins d’identification,
d’authentification ou de d´etection de fraude. Lorsqu’une telle empreinte est r´ecup´er´ee
via un navigateur web, on parle d’empreinte navigateur qui est donc r´ecolt´ee via du
fingerprinting de navigateur (browser fingerprinting) [110]. Ces empreintes digitales
peuvent ˆetre utilis´ees pour identifier totalement ou partiellement un internaute, un
utilisateur ou un appareil mˆeme lorsque les t´emoins (cookies) sont d´esactiv´es. Identifier
partiellement revient `a classer un utilisateur parmi un groupe aux caract´eristiques
communes.
3.1.1 Bref ´etat de l’art
Bien que les techniques de fingerprinting ont sˆurement ´et´e mises en œuvre depuis de
nombreuses ann´ees par les industriels dans le but, essentiellement, de d´etecter des fraudes
ou de proposer des publicit´es cibl´ees aux utilisateurs, ce n’est qu’en 2010 qu’une premi`ere
´etude publique a ´et´e fournie par Eckerlsey [110]. Ces travaux ont pos´e les bases du
fingerprinting de navigateur. Le site web mis `a disposition des utilisateurs [113] propose
de calculer l’entropie contenue dans leur navigateur client `a travers la collecte de diff´erentes
valeurs comme la liste des plugins navigateur, la version navigateur web ou encore
l’ensemble des polices pr´esentes. C’est l’agr´egation de toutes ces informations qui permet
de d´efinir l’empreinte de navigateur contenant une certaine entropie. L’entropie des
la notion d’identification partielle. Par la suite, de nombreux travaux [130,131,132,133]
ont permis d’augmenter l’entropie des empreintes de navigateur via l’utilisation ducanvas
fingerprinting notamment [131,133], qui `a elle seule permet un gain de 5 bits d’entropie.
D’autre part, d’autres technologies permettent de renforcer le domaine du fingerprinting
comme le concept d’”evercookies” qui consiste en des cookies capable de se re-g´en´erer apr`es
avoir ´et´e d´etruits par l’utilisateur [134, 135]. En r´eponse `a ces techniques potentiellement
intrusives, le domaine ”Web Privacy Measurement” a ´et´e introduit et investigu´e pour
r´epondre aux violations de la vie priv´ee [136,137]. Plus pr´ecis´ement, l’id´ee est de d´etecter
et r´epertorier les techniques de traque et de fingerprinting pour compenser l’asym´etrie
entre le peu de connaissances du grand public et les pratiques utilis´ees par les sites
web. Cependant, ces techniques de fingerprinting sont destin´ees `a ˆetre utilis´ees par des
ordinateurs de bureau. En effet, les navigateurs web des smartphones ne sont gu`ere
personnalisables et il est plus difficile d’en extraire des empreintes (”harder to fingerprint
than desktop browsers” [110]). De plus, les utilisateurs de smartphone privil´egient bien
souvent l’usage d’applications d´edi´ees `a la r´ealisation de leur tˆaches r´eduisant d’autant
plus l’impact du browser fingerprinting dans ce cas pr´ecis.
Par la suite, de nombreuses ´etudes se sont donc concentr´ees sur le fingerprinting
de mobiles. Ces techniques se basent notamment sur les caract´eristiques de certains
composants comme la cam´era [138, 139] ou le micro [140, 141, 142] pour en conclure
le mod`ele du smartphone concern´e. Certaines ´etudes bas´ees sur l’acc´el´erom`etre ont
´egalement ´et´e propos´ees [140, 143]. `A travers l’´etude de r´eponses caract´eristiques,
ces r´esultats permettent identifier l’appareil mis en jeu ; cependant il n’est pas
possible d’identifier (au moins partiellement) l’utilisateur comme c’est le cas pour le
fingerprinting de navigateur. Dans le but de reconnaˆıtre des utilisateurs plutˆot que leurs
appareils, des ´etudes s’appuyant sur la liste des applications install´ees ont ´et´e r´ecemment
propos´ees [144,145]. En 2016, Kurtzet al. ont propos´e une ´etude similaire `a [110] orient´ee
sur les smartphones tournant sous le syt`eme d’exploitation iOS. Les attributs consid´er´es
prennent en compte bon nombre d’indices de personnalisation parmi lesquels que le choix
de la langue, les chansons les plus ´ecout´ees, les permissions accord´ees par l’utilisateur et
permettent ainsi une identification unique. Pour permettre une identification unique, il est
important de savoir faire la distinction entre les nouveaux utilisateurs et des utilisateurs
d´ej`a connus du syst`emes pour lesquels certaines valeurs d’empreintes auraient l´eg`erement
chang´e au cours du temps. C’est la probl´ematique de r´e-identification [110, 111]. En
basant leurs observations sur une base de donn´ees de 13 000 empreintes, les travaux
pr´esent´es par Kurtz et al. sont capables de r´e-identifier les utilisateurs d´ej`a rencontr´es
avec une pr´ecision de 97%. Comme remarqu´e dans [111], le syst`eme d’exploitation iOS
bloque beaucoup plus d’acc`es que le syst`eme Android ; il est donc l´egitime de consid´erer
que de tels r´esultats sont encore plus forts sur des smartphones tournant sous Android
beaucou plus permissif.
3.1.2 Mise en perspective
Lien avec la biom´etrie classique
Les syst`emes biom´etriques, en particulier les empreintes digitales, font r´ef´erence `a des
syst`emes qui permettent de reconnaˆıtre des individus en se basant sur des caract´eristiques
physiologiques et/ou comportementales. Pour ˆetre consid´er´ees comme des traits
biom´etriques, ces donn´ees doivent respecter les principes suivants [146] :
• Unicit´e. Pour une empreinte donn´ee (e.g. empreinte digitale), chaque individu
doit pr´esenter une valeur d’empreinte unique. Cette caract´eristique peut aussi se
d´efinir par le terme de diversit´e : une empreinte donn´ee doit assurer une champ de
valeurs suffisamment diversifi´e ;
• Collectabilit´e. Une empreinte biom´etrique doit pouvoir ˆetre r´ecolt´ee ;
• Permanence. La valeur d’empreinte d’un utilisateur doit rester stable au cours du
temps.
Une des probl´ematiques de l’exploitation de la biom´etrie est la reconnaissance d’une
empreinte dans le respect de la vie priv´ee. En effet, pour utilisateur donn´e, deux signaux
d’une mˆeme empreinte seront assez proches pour l’identifier uniquement mais pr´esenteront
toujours d’inh´erentes variations. De ce fait, l’usage de techniques cryptographiques
classiques (chiffrement, hachage , preuve de connaissance, . . . ) ne pourra s’y appliquer.
Parall`ele avec la solution TA
La notion de collectabilit´e se retrouve dans nos travaux `a travers le requis R1 (Figure 2.8)
puisque les donn´ees que nous consid´erons doivent ˆetre accessibles par l’application App
sans d´eploiement de mat´eriel d´edi´e. Aussi, ces trois notions peuvent ˆetre ´etendues aux
empreintes d’appareils. En reprenant la terminologie propre au projet TA, le terme
empreinte ou ”fingerprint” pr´esent dans la litt´erature est d´esormais remplac´e par le terme
”attribut”:
• (Non-)unicit´e. Deux utilisateurs ou deux devices peuvent avoir des valeurs
d’attributs ´egales. Par exemple, une version de syst`eme d’exploitation sera commune
`a un grand nombre d’utilisateurs. Pour distinguer de mani`ere univoque les
utilisateurs, on consid´erera alors l’entropie totale contenue dans un profil ;
• Permanence. Certaines valeurs d’attributs sont amen´ees `a varier et ont donc des
dur´ees de vie plus courtes que des empreintes biom´etriques classiques. Par exemple,
il est raisonnable d’estimer que la version du syst`eme d’exploitation `a une dur´ee
de vie de plusieurs mois au moins. A contrario, une liste de cookies peut varier
rapidement en fonction de la navigation de l’utilisateur.
De plus en plus d’appels `a projets re¸cus par equensWorldline stipulent de proc´eder
`a du fingerprinting pour authentifier un utilisateur tout comme certains papiers blancs
(whitepapers) d’acteurs industriels majeurs [126]. Anticipant cette ´emergence, les travaux
TA ont ´et´e lanc´es en 2008 dans le cadre d’attributs statiques. Au cours de cette th`ese,
cette d´emarche s’est poursuivie par l’exploitation d’empreintes d’appareils variables telles
que les listes d’applications install´ees, de contacts, ou de chansons en s’appuyant sur
le fait qu’un utilisateur va n´ecessairement personnaliser ses appareils. Cette entreprise
est confirm´ee par les r´ecents travaux de l’´etat de l’art qui soulignent les potentialit´es
du fingerprinting qui permet dans certains cas d’identifier uniquement un utilisateur.
Cependant lesdites ´etudes [144, 145, 111] exhibent les potentielles menaces au regard
du respect de la vie priv´ee sans en tirer les potentiels b´en´efices que pourrait en tirer
l’utilisateur. Dans le contexte TA, l’utilisateur et ses appareilsT seront prot´eg´es du monde
ext´erieur par les modules IDE et whiteboxes (Figure 2.6) tandis que FAST va permettra
des cl´es `a partir de empreintes d’appareil identifiantes. Ce faisant, nous apportons un
d´ebut de r´eponse aux limitations L0 et L1.
Dans la prochaine section, nous proposons un travail de formalisation pr´ealable `a la
d´efinition du module FAST.
Dans le document
Protocoles cryptographiques pour l’authentification numérique et le respect de la vie privée
(Page 91-95)