Fingerprinting ou r´eponse aux Limitations L0 et L1

3.1.2 Mise en perspective . . . . 89

3.2 Formalisation et concepts . . . . 90

3.2.1 Attributs et Profil Utilisateur . . . . 90

3.2.2 Politique d’authentification `a deux niveaux . . . . 92

3.3 D´efinition du module FAST et mod`ele de s´ecurit´e . . . . 94

3.3.1 D´efinition et discussion . . . . 94

3.3.2 Mod`ele de s´ecurit´e . . . . 96

3.4 Instanciation de FAST et r´eponse aux limitations L2 et L3 . 99

3.4.1 Une solution bas´ee sur les Fuzzy Extractors . . . . 99

3.4.2 Outils et Hypoth`eses . . . . 101

3.4.3 Description formelle . . . . 103

3.4.4 Consistance et S´ecurit´e . . . . 107

3.5 Analyse de la r´eutilisabilit´e . . . 110

3.6 Exemple de profil au stade TA2 . . . 112

3.6.1 De nouveaux attributs . . . . 113

3.6.2 Exemple de profil et temps de calcul . . . . 115

3.7 Limitations au stade TA2 . . . 118

3.7.1 Limitations L4 et L5 ou un manque de pratique . . . . 118

3.7.2 Limitation L6 ou la gestion de la diff´erence d’ensembles . . . . 119

3.7.3 Limitation L7 ou la dur´ee de vie r´eduite des attributs . . . . . 119

3.7.4 Limitation L8 ou non-ind´ependances des attributs . . . . 120

3.8 Conclusion . . . 120

En 2014, il a ´et´e d´ecid´e la cr´eation du module FAST d´edi´e `a la g´en´eration de cl´es.

Tout en continuant d’assurer les requis de la solution TA (Figure 2.8), ce module devra

permettre l’accession au stade TA2 en apportant une r´eponse aux limitations rappel´ees `a

la fin du pr´ec´edent Chapitre (Figure 2.9). Dans un premier temps, nous nous int´eresserons

au domaine dufingerprinting initi´e par le stade TA1 -dans le cas d’attributs statiques- et

l’´etendrons `a la r´esolution des limitations L0 et L1. Nous identifierons alors de nouvelles

donn´ees d’authentification (L1), permettant pour certaines de s’affranchir de l’interaction

utilisateur (L0). Ensuite nous verrons comment exploiter ces donn´ees nouvellement

identifi´ees et potentiellement variables (e.g. liste des contacts) afin de r´epondre `a la

limitation L2 en nous appuyant sur le domaine des Fuzzy Extractors [13] introduit au

chapitre 1. Cette approche, formalis´ee par FAST, permettra ´egalement de r´epondre `a la

limitation L3.

Les travaux d´ecrits dans la suite ont fait l’objet d’un d´epˆot de brevet [3] et d’une

participation `a l’Atelier pour la Protection de la Vie Priv´ee 2014 (APVP 2014) [4].

3.1 Fingerprinting ou r´eponse aux Limitations L0 et

L1

Le but de cette section n’est pas de lister de mani`ere exhaustive les techniques de

fingerprinting existantes mais de souligner l’importance prise par ce domaine au cours

des derni`eres ann´ees. La multiplication des services en ligne et des appareils connect´es

et personnalisables (e.g. Smartphone) permettent d’associer des utilisateurs avec leurs

profils num´eriques.

Une empreinte digitale d’appareil (device fingerprint en anglais) est une

information collect´ee sur un dispositif informatique distant `a des fins d’identification,

d’authentification ou de d´etection de fraude. Lorsqu’une telle empreinte est r´ecup´er´ee

via un navigateur web, on parle d’empreinte navigateur qui est donc r´ecolt´ee via du

fingerprinting de navigateur (browser fingerprinting) [110]. Ces empreintes digitales

peuvent ˆetre utilis´ees pour identifier totalement ou partiellement un internaute, un

utilisateur ou un appareil mˆeme lorsque les t´emoins (cookies) sont d´esactiv´es. Identifier

partiellement revient `a classer un utilisateur parmi un groupe aux caract´eristiques

communes.

3.1.1 Bref ´etat de l’art

Bien que les techniques de fingerprinting ont sˆurement ´et´e mises en œuvre depuis de

nombreuses ann´ees par les industriels dans le but, essentiellement, de d´etecter des fraudes

ou de proposer des publicit´es cibl´ees aux utilisateurs, ce n’est qu’en 2010 qu’une premi`ere

´etude publique a ´et´e fournie par Eckerlsey [110]. Ces travaux ont pos´e les bases du

fingerprinting de navigateur. Le site web mis `a disposition des utilisateurs [113] propose

de calculer l’entropie contenue dans leur navigateur client `a travers la collecte de diff´erentes

valeurs comme la liste des plugins navigateur, la version navigateur web ou encore

l’ensemble des polices pr´esentes. C’est l’agr´egation de toutes ces informations qui permet

de d´efinir l’empreinte de navigateur contenant une certaine entropie. L’entropie des

la notion d’identification partielle. Par la suite, de nombreux travaux [130,131,132,133]

ont permis d’augmenter l’entropie des empreintes de navigateur via l’utilisation ducanvas

fingerprinting notamment [131,133], qui `a elle seule permet un gain de 5 bits d’entropie.

D’autre part, d’autres technologies permettent de renforcer le domaine du fingerprinting

comme le concept d’”evercookies” qui consiste en des cookies capable de se re-g´en´erer apr`es

avoir ´et´e d´etruits par l’utilisateur [134, 135]. En r´eponse `a ces techniques potentiellement

intrusives, le domaine ”Web Privacy Measurement” a ´et´e introduit et investigu´e pour

r´epondre aux violations de la vie priv´ee [136,137]. Plus pr´ecis´ement, l’id´ee est de d´etecter

et r´epertorier les techniques de traque et de fingerprinting pour compenser l’asym´etrie

entre le peu de connaissances du grand public et les pratiques utilis´ees par les sites

web. Cependant, ces techniques de fingerprinting sont destin´ees `a ˆetre utilis´ees par des

ordinateurs de bureau. En effet, les navigateurs web des smartphones ne sont gu`ere

personnalisables et il est plus difficile d’en extraire des empreintes (”harder to fingerprint

than desktop browsers” [110]). De plus, les utilisateurs de smartphone privil´egient bien

souvent l’usage d’applications d´edi´ees `a la r´ealisation de leur tˆaches r´eduisant d’autant

plus l’impact du browser fingerprinting dans ce cas pr´ecis.

Par la suite, de nombreuses ´etudes se sont donc concentr´ees sur le fingerprinting

de mobiles. Ces techniques se basent notamment sur les caract´eristiques de certains

composants comme la cam´era [138, 139] ou le micro [140, 141, 142] pour en conclure

le mod`ele du smartphone concern´e. Certaines ´etudes bas´ees sur l’acc´el´erom`etre ont

´egalement ´et´e propos´ees [140, 143]. `A travers l’´etude de r´eponses caract´eristiques,

ces r´esultats permettent identifier l’appareil mis en jeu ; cependant il n’est pas

possible d’identifier (au moins partiellement) l’utilisateur comme c’est le cas pour le

fingerprinting de navigateur. Dans le but de reconnaˆıtre des utilisateurs plutˆot que leurs

appareils, des ´etudes s’appuyant sur la liste des applications install´ees ont ´et´e r´ecemment

propos´ees [144,145]. En 2016, Kurtzet al. ont propos´e une ´etude similaire `a [110] orient´ee

sur les smartphones tournant sous le syt`eme d’exploitation iOS. Les attributs consid´er´es

prennent en compte bon nombre d’indices de personnalisation parmi lesquels que le choix

de la langue, les chansons les plus ´ecout´ees, les permissions accord´ees par l’utilisateur et

permettent ainsi une identification unique. Pour permettre une identification unique, il est

important de savoir faire la distinction entre les nouveaux utilisateurs et des utilisateurs

d´ej`a connus du syst`emes pour lesquels certaines valeurs d’empreintes auraient l´eg`erement

chang´e au cours du temps. C’est la probl´ematique de r´e-identification [110, 111]. En

basant leurs observations sur une base de donn´ees de 13 000 empreintes, les travaux

pr´esent´es par Kurtz et al. sont capables de r´e-identifier les utilisateurs d´ej`a rencontr´es

avec une pr´ecision de 97%. Comme remarqu´e dans [111], le syst`eme d’exploitation iOS

bloque beaucoup plus d’acc`es que le syst`eme Android ; il est donc l´egitime de consid´erer

que de tels r´esultats sont encore plus forts sur des smartphones tournant sous Android

beaucou plus permissif.

3.1.2 Mise en perspective

Lien avec la biom´etrie classique

Les syst`emes biom´etriques, en particulier les empreintes digitales, font r´ef´erence `a des

syst`emes qui permettent de reconnaˆıtre des individus en se basant sur des caract´eristiques

physiologiques et/ou comportementales. Pour ˆetre consid´er´ees comme des traits

biom´etriques, ces donn´ees doivent respecter les principes suivants [146] :

• Unicit´e. Pour une empreinte donn´ee (e.g. empreinte digitale), chaque individu

doit pr´esenter une valeur d’empreinte unique. Cette caract´eristique peut aussi se

d´efinir par le terme de diversit´e : une empreinte donn´ee doit assurer une champ de

valeurs suffisamment diversifi´e ;

• Collectabilit´e. Une empreinte biom´etrique doit pouvoir ˆetre r´ecolt´ee ;

• Permanence. La valeur d’empreinte d’un utilisateur doit rester stable au cours du

temps.

Une des probl´ematiques de l’exploitation de la biom´etrie est la reconnaissance d’une

empreinte dans le respect de la vie priv´ee. En effet, pour utilisateur donn´e, deux signaux

d’une mˆeme empreinte seront assez proches pour l’identifier uniquement mais pr´esenteront

toujours d’inh´erentes variations. De ce fait, l’usage de techniques cryptographiques

classiques (chiffrement, hachage , preuve de connaissance, . . . ) ne pourra s’y appliquer.

Parall`ele avec la solution TA

La notion de collectabilit´e se retrouve dans nos travaux `a travers le requis R1 (Figure 2.8)

puisque les donn´ees que nous consid´erons doivent ˆetre accessibles par l’application App

sans d´eploiement de mat´eriel d´edi´e. Aussi, ces trois notions peuvent ˆetre ´etendues aux

empreintes d’appareils. En reprenant la terminologie propre au projet TA, le terme

empreinte ou ”fingerprint” pr´esent dans la litt´erature est d´esormais remplac´e par le terme

”attribut”:

• (Non-)unicit´e. Deux utilisateurs ou deux devices peuvent avoir des valeurs

d’attributs ´egales. Par exemple, une version de syst`eme d’exploitation sera commune

`a un grand nombre d’utilisateurs. Pour distinguer de mani`ere univoque les

utilisateurs, on consid´erera alors l’entropie totale contenue dans un profil ;

• Permanence. Certaines valeurs d’attributs sont amen´ees `a varier et ont donc des

dur´ees de vie plus courtes que des empreintes biom´etriques classiques. Par exemple,

il est raisonnable d’estimer que la version du syst`eme d’exploitation `a une dur´ee

de vie de plusieurs mois au moins. A contrario, une liste de cookies peut varier

rapidement en fonction de la navigation de l’utilisateur.

De plus en plus d’appels `a projets re¸cus par equensWorldline stipulent de proc´eder

`a du fingerprinting pour authentifier un utilisateur tout comme certains papiers blancs

(whitepapers) d’acteurs industriels majeurs [126]. Anticipant cette ´emergence, les travaux

TA ont ´et´e lanc´es en 2008 dans le cadre d’attributs statiques. Au cours de cette th`ese,

cette d´emarche s’est poursuivie par l’exploitation d’empreintes d’appareils variables telles

que les listes d’applications install´ees, de contacts, ou de chansons en s’appuyant sur

le fait qu’un utilisateur va n´ecessairement personnaliser ses appareils. Cette entreprise

est confirm´ee par les r´ecents travaux de l’´etat de l’art qui soulignent les potentialit´es

du fingerprinting qui permet dans certains cas d’identifier uniquement un utilisateur.

Cependant lesdites ´etudes [144, 145, 111] exhibent les potentielles menaces au regard

du respect de la vie priv´ee sans en tirer les potentiels b´en´efices que pourrait en tirer

l’utilisateur. Dans le contexte TA, l’utilisateur et ses appareilsT seront prot´eg´es du monde

ext´erieur par les modules IDE et whiteboxes (Figure 2.6) tandis que FAST va permettra

des cl´es `a partir de empreintes d’appareil identifiantes. Ce faisant, nous apportons un

d´ebut de r´eponse aux limitations L0 et L1.

Dans la prochaine section, nous proposons un travail de formalisation pr´ealable `a la

d´efinition du module FAST.

Dans le document Protocoles cryptographiques pour l’authentification numérique et le respect de la vie privée (Page 91-95)