Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Avec des internautes aussi mauvais, qui a besoin de la NSA ?

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

cancre

Alors que le tout Internet hurle, trépigne et s’offusque des pratiques de la NSA, Microsoft publie les résultats d’une étude qui montre que les internautes, en dépit de toutes leurs vertueuses protestations, ne doivent finalement pas attacher beaucoup d’importance à la sécurité de leurs données.

Dans son étude « Computer Safety Index » , l’éditeur attribue un score d’efficacité aux internautes en fonction des moyens qu’ils se donnent pour sécuriser leur navigation en ligne. Et celui-ci est « globalement négatif » , comme aurait pu dire l’autre. La moyenne des cinq pays étudiés est de 34/100, ce qui n’est déjà pas brillant (moins de 7/20, ce n’est pas très loin du cancre)

Mais accrochez-vous : cette année la France arrive bonne dernière avec un piteux 27/100, soit à peine plus de 5/20. On y est, question cancre !

L’éditeur tente de justifier cette contre-performance nationale par le fait que les français ne semblent pas très inquiets face aux risques sur Internet. Il est cependant difficile d’expliquer une telle naïveté, sinon – en partie du moins – en se rappelant la protection dont bénéficient les internautes français lors de leurs achats en ligne : en cas d’escroquerie la banque est tenue de rembourser. Et l’on sait combien, de tout temps, l’Homme a été très détendu avec l’argent des autres…

L’étude confirme d’ailleurs que 47% des internautes français estiment « que les entreprises en ligne devraient être les premières responsables de la sécurité et de la protection de la vie privée des consommateurs en ligne » . C’est décidément culturel : en France on aime être baby-sitté par l’Etat ou l’entreprise (mais cela n’empêche pas pour autant le français de considérer que ses données lui appartiennent, joyeux paradoxe national…)

Bref, l’internaute français semble donc très heureux d’être sur-protégé mais très critique vis-à-vis de ceux à qui il a délégué le soin de veiller sur lui sans que ça ne lui coûte quoi que ce soit. Paradoxe toujours…

Toutefois ces résultats méritent d’être observés de plus près. Microsoft a classé les pratiques de cyber-sécurité personnelle en trois parties : les fondations (des réflexes de base tels que conserver son système d’exploitation et son antivirus à jour ou activer le pare-feu), les mesures un peu plus avancées (comprendre les réglages de sécurité de Facebook, savoir que son navigateur dispose d’un mode de navigation privée, avoir conscience des informations que l’on partage en ligne et savoir les modifier / les retirer) et le comportement (choix des mots de passe, utilisation de SSL dès que possible, sensibilisation au vol d’identité, etc…).

Les internautes français semblent être plutôt à l’aise avec les bases (12 points contre 13 pour la moyenne mondiale). Ils commencent à se faire distancer avec les mesures un peu plus techniques (7 points contre 9 pour la moyenne mondiale), et perdent enfin complètement pied avec les mesures comportementales (8 points contre 12).

Il y a donc finalement de l’espoir dans ces résultats : on y découvre que les messages de sensibilisation concernant les bases de l’hygiène informatique semblent enfin passés et que dans l’ensemble les bons réflexes sont là. Il reste à travailler, sans surprise, les mesures les plus complexes.

Ce qui pose alors une nouvelle question : est-ce vraiment à l’utilisateur de faire cela ? Est-ce vraiment le rôle de l’internaute particulier (lui qui n’a signé aucune charte d’usage Internet, qui n’a suivi aucun programme de sensibilisation dans son entreprise et qui ne peux compter sur aucun RSSI pour l’aider) d’apprendre à repérer un mail de phishing, un document Excel piégé ou savoir éviter un drive-by download ?

L’on entend de plus en plus régulièrement les commentateurs avisés de la chose cyber se demander si, finalement, la sécurité informatique ne fait pas fausse route avec le grand public. S’il ne serait pas plus simple de retirer un maximum de choix à l’internaute et de développer à la place des outils capables d’automatiser l’essentiel de ses décisions. Voeu pieux, certainement. Mais puisqu’il est toujours facile de rêver, livrons-nous donc à un exercice : reprenons chaque point cité par Microsoft dans la catégorie « Comportementale » (celle où les français semblent avoir le plus de mal) et essayons d’imaginer pour chacun ce que pourrait être un système qui éviterait à l’utilisateur d’avoir à faire des choix pour lesquels il n’est pas formé.

  • Choix des mots passe. La solution existe déjà : de l’authentification forte locale adossée à un SSO, afin que les mots de passe utilisés sur les sites individuels soient excessivement forts et cachés à l’utilisateur.
  • Ne surfer que sur des sites de bonne réputation. Là aussi, la solution existe déjà : l’intégration aux navigateurs web d’un module de réputation en temps réel via un service dans le Cloud (par exemple WOT pour Firefox)
  • Utiliser SSL dès que possible. La solution existe déjà : des add-on pour Firefox et Chrome, notamment, permettent de forcer le navigateur à utiliser SSL dès que le site visité le propose.
  • Se sensibiliser au vol d’identité. Il s’agit ici d’une démarche personnelle que l’on peut difficilement automatiser…
  • Prendre en compte sa web-réputation. Là aussi, c’est une démarche personnelle. Mais il existe tout de même des services qui promettent de veiller à sa réputation en ligne (que nous n’avons pas testés)

En définitive, des solutions existent pour la quasi-totalité des points mentionnés. Elles ne sont toutefois ni standardisées, ni activées par défaut, mais c’est un début…

Bien entendu, les puristes auront tout le loisir de critiquer les pistes évoquées ci-dessus (après tout un module de réputation en mode Cloud a accès à l’ensemble de la navigation de l’internaute, et un SSO ou un porte-clés Cloud est susceptible de connaître tous ses mots de passe). Mais nous leur rappellerons que si tout le monde était puriste nous ne serions pas entrain d’avoir cette discussion… Le problème, justement, c’est que pour beaucoup d’entre eux les internautes ne deviendront jamais des puristes…

Une réserve au sujet de cette étude, tout de même : puisque elle est commanditée par Microsoft elle ne prend pas en compte les utilisateurs d’autres systèmes d’exploitation en dehors de Windows. Les résultats doivent donc être interprétés comme reflétant en fait le comportement des utilisateurs grand public sous Windows. L’étude cite d’ailleurs comme point de sécurité le fait d’avoir installé une version légitime de Windows. Sur le fond, c’est exact mais on ne peut s’empêcher d’y voir malgré tout la patte du sponsoring.

Toutefois ne gâchons pas notre plaisir : les tendances livrées sont intéressantes, elle reflètent plutôt bien ce que l’on observe au quotidien et elles seront certainement utiles comme support de discussion dans le cadre d’un programme de sensibilisation, par exemple.

Plus d’information : 


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Avec des internautes aussi mauvais, qui a besoin de la NSA ?

  1. stephane de lyon dit :

    Et voilà encore du french-bashing ! Cet article aurait pu être très s’il ne dérivait pas en une critique gratuite du français stupide et assisté. C’est la rangaine classique d’une certaine classe qui ce sent bien plus éduquée et donc plus intelligente que les autres. Un peu comme l’ancienne majorités (UMP en tête) qui nous certifie savoir mieux que tout le monde comment redresser le pays alors que jusqu’à présent elle n’a fait que l’enfoncer…

  2. jonas dit :

    Bonjour,
    Le conseil de Microsoft est d’avoir un système authentique et à jour…
    Dont acte.
    On peut donc avoir plusieurs systèmes GNU/Linux vraiment authentiques et très à jour… Que dire de plus.
    Que par là, Microsoft tente encore une fois de faire son autopromotion…
    Pourtant ils semblent dire dans le même message que leur système doit être à jour parce qu’il contient des failles de sécurité béantes.
    Mais qui comprend ce message…
    Dans l’étude de Microsoft il y a forcément un petit coup de pub puisqu’on fait parler d’eux et finalement, cette pub relayée est gratuite…(Ils pourraient au moins vous remercier).
    Ils ont donc bien joué, comme d’habitude.

    Dans le commentaire précédent, Stéphane a bien senti une orientation dans l’article.

    Je l’ai senti aussi et Je ne peux m’empêcher d’y lire entre les lignes que les Français sont des veaux, qu’ils sont incapable de faire preuve de sens critique et qu’il faut leur donner la main en permanence.
    Bref, qu’ils sont mauvais…
    Il est clair que si on s’arrête à la progression des votes
    d’extrême droite et d’extrême gauche, et au fait que l’ancien premier ministre ne peut s’empêcher de dire des horreurs (pour ne pas dire « des co..eries ») pour ratisser plus large, on peut avoir l’impression que l’auteur a raison, mais je crois qu’il ne faut pas en rester là.

    En France il n’y pas que des moutons de Panurge, et même Rabelais je pense ne cautionnerait pas l’idée ressentie.

    Il n’y a pas que… mais il y en a tout de même un peu… voire même parfois beaucoup. Mais probablement pas beaucoup plus qu’ailleurs.
    Cela dit, quand on en a un troupeau en face, je comprend qu’on puisse être impressionné. Il m’arrive de l’être moi-même.
    🙂

    Bien cordialement.
    Jonas.

    • Bonjour,

      Concernant la visibilité qu’un tel article pourrait offrir à Microsoft, elle est toute relative : l’étude-source est publique et le géant se débat de toute manière dans d’autres affaires largement plus complexes et lourdes en terme d’opinion publique (le départ de son dirigeant ultra-contesté, les révélations sur son mode d’évaluation des employés totalement rétrograde et contre-productif, le sentiment général d’avoir raté le virage Internet et d’avoir perdu face à Google et Apple, la réception mitigée de son dernier OS, etc…). Par ailleurs notre rôle n’est ni de faire de la publicité (d’ailleurs, hormis des résultats d’études, lisez-vous beaucoup d’articles consacrés à des éditeurs de solutions dans nos colonnes ?), ni de « basher » Microsoft spécifiquement. Cette étude, à laquelle nous associons d’ailleurs quelques réserves dans l’article, est tout ce qui nous intéresse. Inutile d’y chercher des intentions ou des messages cachés 🙂

      Quant à l’accusation de french bashing, qui aime bien châtie bien 🙂 Il est évident que si un autre pays avait été dernier nous ne nous serions jamais permis un ton aussi léger, ni moqueur. Mais il se trouve que ce n’est pas le cas, que nous sommes français et bien placés pour observer au quotidien les petits défauts de nos compatriotes (que nous partageons souvent !). Là aussi, inutile d’y chercher ce qui n’y est pas (de la politique, notamment). Alors certes, le problème avec une telle généralisation est qu’il existe toujours de bonnes âmes pour s’élever contre la généralisation. Mais là encore, ce n’est pas l’objet du papier. Sinon j’ose espérer qu’il aurait été un peu plus fin dans l’observation de nos congénères. Mais il s’agit surtout en l’état d’un trait d’humour secondaire pour chroniquer le résultat d’une étude, qui elle est le sujet du papier.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.