Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques

Le , par Annaelle32, Correspondant Actualités
Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques
Selon une étude menée par le Carnegie Mellon University, la plupart des internautes ne sont pas conscients des messages d’avertissement relatifs à la sécurité du site qu’ils sont en train de visiter. Plus surprenant encore : le pourcentage d’internautes qui décident d’ignorer les messages de sécurité affichés varient d’un navigateur à l’autre. Sur certains navigateurs, environ deux internautes sur dix décident de passer outre. Pour d’autres navigateurs, ce taux peut atteindre 100%. Explications !

Mauvaises attitudes des internautes.

Les études ont été menées d’abord en ligne sur un échantillon de 400 internautes pour connaître leurs attitudes vis-à-vis des certificats des sites sécurisés. Puis, les chercheurs du Carnegie Mellon University ont sélectionnés 100 internautes pour une étude plus approfondie en laboratoire. Tous les internautes ayant participé à l’étude reconnaissent l’existence d’un problème de sécurité à l’apparition des messages d’avertissement. Malgré l’avertissement, la majorité des participants continuent leurs visites s’ils se trouvent sur des sites qu’ils considèrent comme étant fiables. Cette méconnaissance des règles de sécurité peut s’avérer dangereuse. En effet, en validant le message de sécurité, l’internaute est censé être sur le site qu’il croit visiter. Mais la réalité peut être tout autre ! Si le site web d’une banque affiche un message rapportant l’invalidité du certificat de sécurité, l’internaute peut être victime d’une attaque cybercriminelle appelée « Man-in-the-middle attack ». Dans ce type d’attaque, le cybercriminel s’interpose entre l’internaute et le site « original » et tente d’amasser le maximum d’informations concernant l’utilisateur.

Des failles observées au niveau des navigateurs.
« Les experts en sécurité savent depuis longtemps l’inefficacité des messages de sécurité affichés par les navigateurs lorsqu’un site rencontre un problème de certificat de sécurité », avoue Jeremiah Grossman, directeur de la technologie au sein de White Hat Security, une société spécialisée en sécurité web. Les utilisateurs ne sont pas pleinement conscients de l’importance de ces certificats de sécurité lorsqu’ils surfent sur Internet. Cette mauvaise attitude des utilisateurs est souvent renforcée par les failles observées au niveau des navigateurs disponibles sur le marché. Presque tous les navigateurs se contentent d’émettre des simples avertissements. Peu de navigateurs tentent de mettent en œuvre un véritable processus pouvant mettre en évidence aux yeux des internautes le véritable danger auquel ils s’exposent. Seul Firefox 3 de Mozilla essaie d’utiliser un langage simple et un meilleur avertissement pour protéger les utilisateurs d’un certificat invalide. D’ailleurs, lors de l’étude, les personnes utilisant ce navigateur ont été les plus promptes à abandonner la visite d’un site ayant affiché un certificat de sécurité invalide.

Des nouvelles formes de messages d’avertissement en cours d’expérimentation
.
Les chercheurs ont aussi expérimenté plusieurs formats de messages d’avertissement qui se sont avérés plus efficaces.

Selon Joshua Sunshine, ces découvertes militent en faveur d’une nouvelle forme de messages mais aussi d’un système capable d’analyser les messages d’erreurs affichés et de bloquer totalement l’accès de l’utilisateur au site incriminé. Les étudiants de Carnegie Mellon University vont diffuser les conclusions de leur recherche le 14 août à Montréal lors de l’Usenix Security Symposium. Qu'en pensez vous?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gulain gulain - Membre habitué http://www.developpez.com
le 28/07/2009 à 9:31
Pour répondre, il m'est arrivé de tomber sur de tels messages d'avertissement, mais cela correspondait soit à des sites ayant des certificats auto-signés (autrement dit des certificats qui n'en sont pas), soit des sites ayant des certificats venant d'une autorité inconnue de mon navigateur. Tout cela pour des sites « non dangereux » dans le sens où je ne faisais qu'y lire des informations, sans jamais en donner. Il me semble qu'avant d'éduquer les utilisateurs, il faudrait plutôt éduquer les administrateurs des sites (ou bien faire les deux).
Bloquer un site parce qu'il a un certificat invalide me parait stupide, autant bloquer les sites n'ayant pas de certificat. Peut-être que je me trompe sur ce point, mes connaissances en matière de sécurité sont limitées.
Avatar de nausicaä nausicaä - Nouveau membre du Club http://www.developpez.com
le 28/07/2009 à 9:52
Citation Envoyé par Annaelle32  Voir le message
Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques

Des failles observées au niveau des navigateurs.
« Les experts en sécurité savent depuis longtemps l’inefficacité des messages de sécurité affichés par les navigateurs lorsqu’un site rencontre un problème de certificat de sécurité », avoue Jeremiah Grossman, Directeur de la Technologie au sein de White Hat Security, une société spécialisée en sécurité web. Les utilisateurs ne sont pas pleinement conscients de l’importance de ces certificats de sécurité lorsqu’ils surfent sur Internet. Cette mauvaise attitude des utilisateurs est souvent renforcée par les failles observées au niveau des navigateurs disponibles sur le marché. Presque tous les navigateurs se contentent d’émettre des simples avertissements. Peu de navigateurs tentent de mettent en œuvre un véritable processus pouvant mettre en évidence aux yeux des internautes le véritable danger auquel ils s’exposent. Seul Firefox 3 de Mozilla essaie d’utiliser un langage simple et un meilleur avertissement pour protéger les utilisateurs d’un certificat invalide. D’ailleurs, lors de l’étude, les personnes utilisant ce navigateur ont été les plus promptes à abandonner la visite d’un site ayant affiché un certificat de sécurité invalide.

la propagande à des limites aussi , rien que ce passage est une abération, un certificat non signé est tout aussi sécurisé qu'un certificat signé par un organisme extérieur , car les donnés sont cryptés quand même. si la sécurité c'est juste une vérification DNS, une réponse d'un organisme tiers qui gère de millions de certificats et qui est a 200% dans l'incapacité de certifier que le site internet est fiable ....

la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante

ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!
Avatar de BbT0n BbT0n - Membre régulier http://www.developpez.com
le 28/07/2009 à 10:13
Il semblerait que 70% des machines des utilisateurs "lambda" soit infesté par des malwaire en tout genre à cause de visite de sur des site pas très saint (chiffre qui sort du livre sur les systèmes d'exploitation de Andrew Tannenbaum)
Je ne pense pas que les personne qui surf de temps à autre veulent ce prendre la tête avec les certificas, technique du man-in-the-middle ou autre, ca peut ce comprendre.

Faut trouver d'autres solutions moins contraignante pour l'internaute, mais en utilisant d'autant plus de transparance je ne pense pas que ce soit trés formateur niveau sécurité pour l'utilisateur...

la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante

Pour la majorité des gens qui ne font pas de l'informatique, si on leurs dit que tout est sécurisé et tout le tralala... ils te dirons que la falsification c'est pas possible car le logiciel dit le contraire
Avatar de - http://www.developpez.com
le 28/07/2009 à 10:22
En étant sous linux, j'ai toujours ignoré ces avertissement, pensant que si mon pc se faisait infecter, les virus ne fonctionnerai pas sous ubuntu.
Sinon, sous windows, j'ai simplement installé antivir, spybot, laissé le parefeu windows, et j'ai déjà eu plusieurs détections de virus, mais je n'ai jamais ressenti mon pc ralenti, ou jamais ressenti de problèmes, c'est pour ça que je néglige les avertissements.
Le jour ou je ressentirai des problèmes, je commencerai peut être alors à faire attention.
Avatar de nausicaä nausicaä - Nouveau membre du Club http://www.developpez.com
le 28/07/2009 à 10:52
Citation Envoyé par cedrix57  Voir le message
En étant sous linux, j'ai toujours ignoré ces avertissement, pensant que si mon pc se faisait infecter, les virus ne fonctionnerai pas sous ubuntu.
Sinon, sous windows, j'ai simplement installé antivir, spybot, laissé le parefeu windows, et j'ai déjà eu plusieurs détections de virus, mais je n'ai jamais ressenti mon pc ralenti, ou jamais ressenti de problèmes, c'est pour ça que je néglige les avertissements.
Le jour ou je ressentirai des problèmes, je commencerai peut être alors à faire attention.

tu peux expliquer en quoi l'utilisation de linux ou d'un antivirus/spybot et compagnie te protège d'une arnaque sur internet dans un site marchant?

tout comme un certificat SSL ne te protège pas, un antivirus ou linux ne fait pas mieux. l'application est distante et l'arnaque se trouve dans la transaction avec un service distant .... si le service avec lequel tu fais une transaction est malveillant alors tu y peux rien !

la sécurité de nous jours repose sur la confiance, mais comment faire confiance à un DNS et à un organisme qui certifie des certificats pour des sites malveillants ?
Avatar de eldran64 eldran64 - Membre actif http://www.developpez.com
le 28/07/2009 à 11:47
Il est évident qu'une meilleure information pour les utilisateurs leurs éviteraient bien des problèmes.
J'en connais un certain nombre qui ignorent délibérément les messages d'alertes croyant qu'il s'agit d'une erreur!
Avatar de Marco46 Marco46 - Expert éminent http://www.developpez.com
le 28/07/2009 à 12:18
Citation Envoyé par nausicaä  Voir le message
la propagande à des limites aussi , rien que ce passage est une abération, un certificat non signé est tout aussi sécurisé qu'un certificat signé par un organisme extérieur , car les donnés sont cryptés quand même. si la sécurité c'est juste une vérification DNS, une réponse d'un organisme tiers qui gère de millions de certificats et qui est a 200% dans l'incapacité de certifier que le site internet est fiable ....

la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante

ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!

Attention à pas aller trop loin dans les affirmations quand même. Les dernières RFC de l'IETF sur les signatures numériques concernent des signatures RSA avec SHA1 comme algo de hash et celui-là est parfaitement fiable. Donc on ne peut pas dire que cette signature numérique ne l'est pas.

Il est évident qu'au bout de la chaine il y a toujours un certificat autosigné et qu'il faut donc accorder une certaine confiance à cette chaine. Tout est basé là dessus de même que la sécurité de tout chiffrement est forcément basée à un moment ou à un autre sur le secret d'un clef privée.

Donc bon ... De la à dire que les signatures numériques ne valent rien ... Il y a un pas que je me garderais bien de franchir.
Avatar de Firwen Firwen - Membre expérimenté http://www.developpez.com
le 28/07/2009 à 14:41
N'en déplaise aux fournisseurs d'anti-virus, de pare-feu et d'anti-spyware, un utilisateur bien formé est la meilleur des protections.

La seul methode fiable qui existe pour empêcher un utilisateur de cliquer sur un lien verreux envoyé par email, d'accepter un applet java / activeX provenant d'un site louche, d'utiliser un navigateur Web qui n'a pas eu de mise à jour depuis 6 mois : c'est l'éducation.
Avatar de - http://www.developpez.com
le 28/07/2009 à 17:46
Citation Envoyé par nausicaä  Voir le message
tu peux expliquer en quoi l'utilisation de linux ou d'un antivirus/spybot et compagnie te protège d'une arnaque sur internet dans un site marchant?

tout comme un certificat SSL ne te protège pas, un antivirus ou linux ne fait pas mieux. l'application est distante et l'arnaque se trouve dans la transaction avec un service distant .... si le service avec lequel tu fais une transaction est malveillant alors tu y peux rien !

la sécurité de nous jours repose sur la confiance, mais comment faire confiance à un DNS et à un organisme qui certifie des certificats pour des sites malveillants ?

Je n'ai jamais dit que j'avais juste raison. Je dit juste que comme je n'ai jamais eut de problème, je ne fait pas attention, et je pense que c'est le cas de beaucoup d'autres internautes jusqu'au jour où ils leur arrivent un problème.
Maintenant, c'est vrai que je suis jeune, et je n'ai pas encore de carte de crédit, je ne fait jamais d'achat sur internet. Et je tombe rarement sur des sites où je reçoit un avertissement de sécurité.
Avatar de kaymak kaymak - Membre chevronné http://www.developpez.com
le 29/07/2009 à 11:13
ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!

Oui et non. Dans un monde ou on étudie l'ergonomie du bouton, qui se situe au bout de ton index de la main droite, le bouton de souris gauche, étudier et améliorer la capacité de communication d'un message d'alerte est une entreprise très louable.
Tout autant que ..... de se gratter le *** ?

Non pas avec cet index ^^!
Offres d'emploi IT
Développeur Web php5 H/F
Pickture - Ile de France - Paris (75003)
Developpeur Stagiaire - Start-up Web
Work4 Labs - Ile de France - Paris
Développeur web
Comunica Concept - Rhône Alpes - Saint-Just-Saint-Rambert

Voir plus d'offres Voir la carte des offres IT
Responsable bénévole de la rubrique Développement Web : Xavier Lecomte -