Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Avec des internautes aussi mauvais, qui a besoin de la NSA ?

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Alors que le tout Internet hurle, trépigne et s’offusque des pratiques de la NSA, Microsoft publie les résultats d’une étude qui montre que les internautes, en dépit de toutes leurs vertueuses protestations, ne doivent finalement pas attacher beaucoup d’importance à la sécurité de leurs données.

Dans son étude « Computer Safety Index » , l’éditeur attribue un score d’efficacité aux internautes en fonction des moyens qu’ils se donnent pour sécuriser leur navigation en ligne. Et celui-ci est « globalement négatif » , comme aurait pu dire l’autre. La moyenne des cinq pays étudiés est de 34/100, ce qui n’est déjà pas brillant (moins de 7/20, ce n’est pas très loin du cancre)

Mais accrochez-vous : cette année la France arrive bonne dernière avec un piteux 27/100, soit à peine plus de 5/20. On y est, question cancre !

L’éditeur tente de justifier cette contre-performance nationale par le fait que les français ne semblent pas très inquiets face aux risques sur Internet. Il est cependant difficile d’expliquer une telle naïveté, sinon – en partie du moins – en se rappelant la protection dont bénéficient les internautes français lors de leurs achats en ligne : en cas d’escroquerie la banque est tenue de rembourser. Et l’on sait combien, de tout temps, l’Homme a été très détendu avec l’argent des autres…

L’étude confirme d’ailleurs que 47% des internautes français estiment « que les entreprises en ligne devraient être les premières responsables de la sécurité et de la protection de la vie privée des consommateurs en ligne » . C’est décidément culturel : en France on aime être baby-sitté par l’Etat ou l’entreprise (mais cela n’empêche pas pour autant le français de considérer que ses données lui appartiennent, joyeux paradoxe national…)

Bref, l’internaute français semble donc très heureux d’être sur-protégé mais très critique vis-à-vis de ceux à qui il a délégué le soin de veiller sur lui sans que ça ne lui coûte quoi que ce soit. Paradoxe toujours…

Toutefois ces résultats méritent d’être observés de plus près. Microsoft a classé les pratiques de cyber-sécurité personnelle en trois parties : les fondations (des réflexes de base tels que conserver son système d’exploitation et son antivirus à jour ou activer le pare-feu), les mesures un peu plus avancées (comprendre les réglages de sécurité de Facebook, savoir que son navigateur dispose d’un mode de navigation privée, avoir conscience des informations que l’on partage en ligne et savoir les modifier / les retirer) et le comportement (choix des mots de passe, utilisation de SSL dès que possible, sensibilisation au vol d’identité, etc…).

Les internautes français semblent être plutôt à l’aise avec les bases (12 points contre 13 pour la moyenne mondiale). Ils commencent à se faire distancer avec les mesures un peu plus techniques (7 points contre 9 pour la moyenne mondiale), et perdent enfin complètement pied avec les mesures comportementales (8 points contre 12).

Il y a donc finalement de l’espoir dans ces résultats : on y découvre que les messages de sensibilisation concernant les bases de l’hygiène informatique semblent enfin passés et que dans l’ensemble les bons réflexes sont là. Il reste à travailler, sans surprise, les mesures les plus complexes.

Ce qui pose alors une nouvelle question : est-ce vraiment à l’utilisateur de faire cela ? Est-ce vraiment le rôle de l’internaute particulier (lui qui n’a signé aucune charte d’usage Internet, qui n’a suivi aucun programme de sensibilisation dans son entreprise et qui ne peux compter sur aucun RSSI pour l’aider) d’apprendre à repérer un mail de phishing, un document Excel piégé ou savoir éviter un drive-by download ?

L’on entend de plus en plus régulièrement les commentateurs avisés de la chose cyber se demander si, finalement, la sécurité informatique ne fait pas fausse route avec le grand public. S’il ne serait pas plus simple de retirer un maximum de choix à l’internaute et de développer à la place des outils capables d’automatiser l’essentiel de ses décisions. Voeu pieux, certainement. Mais puisqu’il est toujours facile de rêver, livrons-nous donc à un exercice : reprenons chaque point cité par Microsoft dans la catégorie « Comportementale » (celle où les français semblent avoir le plus de mal) et essayons d’imaginer pour chacun ce que pourrait être un système qui éviterait à l’utilisateur d’avoir à faire des choix pour lesquels il n’est pas formé.

  • Choix des mots passe. La solution existe déjà : de l’authentification forte locale adossée à un SSO, afin que les mots de passe utilisés sur les sites individuels soient excessivement forts et cachés à l’utilisateur.
  • Ne surfer que sur des sites de bonne réputation. Là aussi, la solution existe déjà : l’intégration aux navigateurs web d’un module de réputation en temps réel via un service dans le Cloud (par exemple WOT pour Firefox)
  • Utiliser SSL dès que possible. La solution existe déjà : des add-on pour Firefox et Chrome, notamment, permettent de forcer le navigateur à utiliser SSL dès que le site visité le propose.
  • Se sensibiliser au vol d’identité. Il s’agit ici d’une démarche personnelle que l’on peut difficilement automatiser…
  • Prendre en compte sa web-réputation. Là aussi, c’est une démarche personnelle. Mais il existe tout de même des services qui promettent de veiller à sa réputation en ligne (que nous n’avons pas testés)

En définitive, des solutions existent pour la quasi-totalité des points mentionnés. Elles ne sont toutefois ni standardisées, ni activées par défaut, mais c’est un début…

Bien entendu, les puristes auront tout le loisir de critiquer les pistes évoquées ci-dessus (après tout un module de réputation en mode Cloud a accès à l’ensemble de la navigation de l’internaute, et un SSO ou un porte-clés Cloud est susceptible de connaître tous ses mots de passe). Mais nous leur rappellerons que si tout le monde était puriste nous ne serions pas entrain d’avoir cette discussion… Le problème, justement, c’est que pour beaucoup d’entre eux les internautes ne deviendront jamais des puristes…

Une réserve au sujet de cette étude, tout de même : puisque elle est commanditée par Microsoft elle ne prend pas en compte les utilisateurs d’autres systèmes d’exploitation en dehors de Windows. Les résultats doivent donc être interprétés comme reflétant en fait le comportement des utilisateurs grand public sous Windows. L’étude cite d’ailleurs comme point de sécurité le fait d’avoir installé une version légitime de Windows. Sur le fond, c’est exact mais on ne peut s’empêcher d’y voir malgré tout la patte du sponsoring.

Toutefois ne gâchons pas notre plaisir : les tendances livrées sont intéressantes, elle reflètent plutôt bien ce que l’on observe au quotidien et elles seront certainement utiles comme support de discussion dans le cadre d’un programme de sensibilisation, par exemple.

Plus d’information : 


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Avec des internautes aussi mauvais, qui a besoin de la NSA ?

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.