Discouraging abusive behavior in privacy-preserving decentralized online social networks / Décourager les comportements abusifs dans les réseaux sociaux en ligne

García Recuero, Álvaro

19 May 2017

Le principal objectif de cette thèse est d'évaluer les protocoles qui prennent en considération la protection de la vie privée et qui nécessitent seulement des métadonnées locales pour détecter les comportements malveillants sur les réseaux sociaux décentralisés. En appliquant des techniques d'analyse de réseaux sociaux qui réduisent la quantité de métadonnées sensibles, nous obtenons des résultats acceptables comparé aux techniques qui ne préservent pas la vie privée. De plus, nous prévoyons d'élaborer une série de recommandations pour construire de futurs réseaux sociaux décentralisés qui découragent cette type des comportements abusifs. / The main goal of this thesis is to evaluate privacy-preserving protocols to detect abuse in future decentralised online social platforms or microblogging services, where often limited amount of metadata is available to perform data analytics. Taking into account such data minimization, we obtain acceptable results compared to techniques of machine learning that use all metadata available. We draw a series of conclusion and recommendations that will aid in the design and development of a privacy-preserving decentralised social network that discourages abusive behavior.

Analyse des réseaux sociaux

Protection de la vie privé

Social Network Analysis

Machine Learning

Privacy-Preservation

Sécurité et vie privée dans les applications web / Web applications security and privacy

Somé, Dolière Francis

29 October 2018

Dans cette thèse, nous nous sommes intéressés aux problématiques de sécurité et de confidentialité liées à l'utilisation d'applications web et à l'installation d'extensions de navigateurs. Parmi les attaques dont sont victimes les applications web, il y a celles très connues de type XSS (ou Cross-Site Scripting). Les extensions sont des logiciels tiers que les utilisateurs peuvent installer afin de booster les fonctionnalités des navigateurs et améliorer leur expérience utilisateur. Content Security Policy (CSP) est une politique de sécurité qui a été proposée pour contrer les attaques de type XSS. La Same Origin Policy (SOP) est une politique de sécurité fondamentale des navigateurs, régissant les interactions entre applications web. Par exemple, elle ne permet pas qu'une application accède aux données d'une autre application. Cependant, le mécanisme de Cross-Origin Resource Sharing (CORS) peut être implémenté par des applications désirant échanger des données entre elles. Tout d'abord, nous avons étudié l'intégration de CSP avec la Same Origin Policy (SOP) et démontré que SOP peut rendre CSP inefficace, surtout quand une application web ne protège pas toutes ses pages avec CSP, et qu'une page avec CSP imbrique ou est imbriquée dans une autre page sans ou avec un CSP différent et inefficace. Nous avons aussi élucidé la sémantique de CSP, en particulier les différences entre ses 3 versions, et leurs implémentations dans les navigateurs. Nous avons ainsi introduit le concept de CSP sans dépendances qui assure à une application la même protection contre les attaques, quelque soit le navigateur dans lequel elle s'exécute. Finalement, nous avons proposé et démontré comment étendre CSP dans son état actuel, afin de pallier à nombre de ses limitations qui ont été révélées dans d'autres études. Les contenus tiers dans les applications web permettent aux propriétaires de ces contenus de pister les utilisateurs quand ils naviguent sur le web. Pour éviter cela, nous avons introduit une nouvelle architecture web qui une fois déployée, supprime le pistage des utilisateurs. Dans un dernier temps, nous nous sommes intéressés aux extensions de navigateurs. Nous avons d'abord démontré que les extensions qu'un utilisateur installe et/ou les applications web auxquelles il se connecte, peuvent le distinguer d'autres utilisateurs. Nous avons aussi étudié les interactions entre extensions et applications web. Ainsi avons-nous trouvé plusieurs extensions dont les privilèges peuvent être exploités par des sites web afin d'accéder à des données sensibles de l'utilisateur. Par exemple, certaines extensions permettent à des applications web d'accéder aux contenus d'autres applications, bien que cela soit normalement interdit par la Same Origin Policy. Finalement, nous avons aussi trouvé qu'un grand nombre d'extensions a la possibilité de désactiver la Same Origin Policy dans le navigateur, en manipulant les entêtes CORS. Cela permet à un attaquant d'accéder aux données de l'utilisateur dans n'importe qu'elle autre application, comme par exemple ses mails, son profile sur les réseaux sociaux, et bien plus. Pour lutter contre ces problèmes, nous préconisons aux navigateurs un système de permissions plus fin et une analyse d'extensions plus poussée, afin d'alerter les utilisateurs des dangers réels liés aux extensions. / In this thesis, we studied security and privacy threats in web applications and browser extensions. There are many attacks targeting the web of which XSS (Cross-Site Scripting) is one of the most notorious. Third party tracking is the ability of an attacker to benefit from its presence in many web applications in order to track the user has she browses the web, and build her browsing profile. Extensions are third party software that users install to extend their browser functionality and improve their browsing experience. Malicious or poorly programmed extensions can be exploited by attackers in web applications, in order to benefit from extensions privileged capabilities and access sensitive user information. Content Security Policy (CSP) is a security mechanism for mitigating the impact of content injection attacks in general and in particular XSS. The Same Origin Policy (SOP) is a security mechanism implemented by browsers to isolate web applications of different origins from one another. In a first work on CSP, we analyzed the interplay of CSP with SOP and demonstrated that the latter allows the former to be bypassed. Then we scrutinized the three CSP versions and found that a CSP is differently interpreted depending on the browser, the version of CSP it implements, and how compliant the implementation is with respect to the specification. To help developers deploy effective policies that encompass all these differences in CSP versions and browsers implementations, we proposed the deployment of dependency-free policies that effectively protect against attacks in all browsers. Finally, previous studies have identified many limitations of CSP. We reviewed the different solutions proposed in the wild, and showed that they do not fully mitigate the identified shortcomings of CSP. Therefore, we proposed to extend the CSP specification, and showed the feasibility of our proposals with an example of implementation. Regarding third party tracking, we introduced and implemented a tracking preserving architecture, that can be deployed by web developers willing to include third party content in their applications while preventing tracking. Intuitively, third party requests are automatically routed to a trusted middle party server which removes tracking information from the requests. Finally considering browser extensions, we first showed that the extensions that users install and the websites they are logged into, can serve to uniquely identify and track them. We then studied the communications between browser extensions and web applications and demonstrate that malicious or poorly programmed extensions can be exploited by web applications to benefit from extensions privileged capabilities. Also, we demonstrated that extensions can disable the Same Origin Policy by tampering with CORS headers. All this enables web applications to read sensitive user information. To mitigate these threats, we proposed countermeasures and a more fine-grained permissions system and review process for browser extensions. We believe that this can help browser vendors identify malicious extensions and warn users about the threats posed by extensions they install.

Web

Navigateurs

Applications web

Sécurité

Extensions de navigateurs

Communication inter-iframes

Confidentialité

Vie privé

Pistage

Empreinte de navigateurs

Web

Browser

Web applications

Security

Same origin policy

Content origin policy

Cross-origin resource sharing

Browser extensions

Privacy

Cross-iframe communication

Third party web tracking

Browser fingerprinting

Les valeurs de la culture paysanne dans le monde agricole contemporain : une enquête sociologique en Carcassonnais et en Roussillon / The values of the farming culture in the contemporary agricultural world : a sociological investigation in Carcassonne and Roussillon Region

Ligneres, Ingrid

27 November 2015

Le groupe socioprofessionnel des agriculteurs a connu depuis la Seconde Guerre mondiale un changement socio-économique important. Le point de départ de cette thèse – à l’articulation des démarches hypothético-déductive et empirico-inductive – est de se demander s’il ne reste pas des traces, plus ou moins nettes, de la culture paysanne dans la configuration des valeurs du monde agricole contemporain. Peut-on parler de la fin de la culture paysanne comme certains chercheurs parlent de la fin de la classe ouvrière ? L’enquête de terrain se fonde sur l’approche qualitative de données recueillies par entretiens semi-directifs et libres ainsi que par des observations directes et participantes et des films sociologiques. Leur analyse a reposé sur l’élaboration, au préalable, d’un référent culturel commun construit à partir d’un syncrétisme des valeurs anciennes et nouvelles, permettant de construire le référent culturel « agripaysan » et confirmant ainsi l’hypothèse d’un syncrétisme des valeurs. A l’intérieur du référent culturel commun au corpus étudié, les valeurs ont été caractérisées en trois groupes : les « valeurs identitaires et distinctives », les « valeurs nécessaires » et les « valeurs extraprofessionnelles ». L’analyse des données a également mis en évidence une appropriation différenciée du référent culturel « agripaysan » qui est explicitée à l’aide d’une typologie en trois idéaux-types : paysan-agriculteur, chef d’entreprise-paysan et agri-manager. Plus largement, cette thèse interroge la culture en tant que mode de vie d’un groupe et s’inscrit, à la fois, dans la sociologie des modes de vie et dans la sociologie du travail, sans oublier la sociologie rurale. / The Farmers socioprofessional group has gone through a significant socio-economical change since the Second World War. The starting point of this thesis – in the hinge of an hypothetical-deductive and empirical-inductive approach – is to wonder whether or not some more or less distinct traces of the peasant culture romain in the layout of the contemporary agricultural world values. Shall we declare the end of the peasant culture just like some researchers do about the end of the warking class ? The field survey is based on a qualitative approach of the data gathered via partially guided and free interviews as well as direct and participating observations along with sociological films. Their analysis was beforehand based on the drafting of a common, cultural referent created from the syncretism (merge) of the old and new values, allowing to build the cultural referend « farmo-peasant » and therefore confirming the theory of a syncretism of the values. The values within this cultural referent similar to the studied corpus have been characterized into three groups : the « distinctive and identity values », the « necessary values » and the « extraprofessional values ». The analysis of the data also highlighted a differentiated appropriation of the cultural referent « farmo-peasant » clarified thanks to its classification into three ideal models : peasant-cultivator, company manager-peasant and farmer-owner. Widely, this thesis examines the culture as a way of life for a group which at the same time falls in with the sociology of the ways of life, the work sociology and without forgetting the rural sociology.

Culture paysanne

Agripaysan

Syncrétisme des valeurs

Travail à-côté

Valeurs identitaires et distinctives

Valeurs nécessaires

Valeurs extraprofessionnelles

Films sociologiques

Farming culture

Agricofarmer

Cultural referent

Syncretism of the values

Overlaping working life-private life

Extra income work

Identity and distinctive values

Sociological film

307.72