Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques

Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques
Selon une étude menée par le Carnegie Mellon University, la plupart des internautes ne sont pas conscients des messages d’avertissement relatifs à la sécurité du site qu’ils sont en train de visiter. Plus surprenant encore : le pourcentage d’internautes qui décident d’ignorer les messages de sécurité affichés varient d’un navigateur à l’autre. Sur certains navigateurs, environ deux internautes sur dix décident de passer outre. Pour d’autres navigateurs, ce taux peut atteindre 100%. Explications !

Mauvaises attitudes des internautes.
Les études ont été menées d’abord en ligne sur un échantillon de 400 internautes pour connaître leurs attitudes vis-à-vis des certificats des sites sécurisés. Puis, les chercheurs du Carnegie Mellon University ont sélectionnés 100 internautes pour une étude plus approfondie en laboratoire. Tous les internautes ayant participé à l’étude reconnaissent l’existence d’un problème de sécurité à l’apparition des messages d’avertissement. Malgré l’avertissement, la majorité des participants continuent leurs visites s’ils se trouvent sur des sites qu’ils considèrent comme étant fiables. Cette méconnaissance des règles de sécurité peut s’avérer dangereuse. En effet, en validant le message de sécurité, l’internaute est censé être sur le site qu’il croit visiter. Mais la réalité peut être tout autre ! Si le site web d’une banque affiche un message rapportant l’invalidité du certificat de sécurité, l’internaute peut être victime d’une attaque cybercriminelle appelée « Man-in-the-middle attack ». Dans ce type d’attaque, le cybercriminel s’interpose entre l’internaute et le site « original » et tente d’amasser le maximum d’informations concernant l’utilisateur.

Des failles observées au niveau des navigateurs.
« Les experts en sécurité savent depuis longtemps l’inefficacité des messages de sécurité affichés par les navigateurs lorsqu’un site rencontre un problème de certificat de sécurité », avoue Jeremiah Grossman, directeur de la technologie au sein de White Hat Security, une société spécialisée en sécurité web. Les utilisateurs ne sont pas pleinement conscients de l’importance de ces certificats de sécurité lorsqu’ils surfent sur Internet. Cette mauvaise attitude des utilisateurs est souvent renforcée par les failles observées au niveau des navigateurs disponibles sur le marché. Presque tous les navigateurs se contentent d’émettre des simples avertissements. Peu de navigateurs tentent de mettent en œuvre un véritable processus pouvant mettre en évidence aux yeux des internautes le véritable danger auquel ils s’exposent. Seul Firefox 3 de Mozilla essaie d’utiliser un langage simple et un meilleur avertissement pour protéger les utilisateurs d’un certificat invalide. D’ailleurs, lors de l’étude, les personnes utilisant ce navigateur ont été les plus promptes à abandonner la visite d’un site ayant affiché un certificat de sécurité invalide.

Des nouvelles formes de messages d’avertissement en cours d’expérimentation.
Les chercheurs ont aussi expérimenté plusieurs formats de messages d’avertissement qui se sont avérés plus efficaces.

Selon Joshua Sunshine, ces découvertes militent en faveur d’une nouvelle forme de messages mais aussi d’un système capable d’analyser les messages d’erreurs affichés et de bloquer totalement l’accès de l’utilisateur au site incriminé. Les étudiants de Carnegie Mellon University vont diffuser les conclusions de leur recherche le 14 août à Montréal lors de l’Usenix Security Symposium. Qu'en pensez vous?