SECURITE
17/04/2007
Les utilisateurs de la banque en ligne toujours négligents
22 participants avaient été sollicités dans l'étude précédente à qui 20 sites avaient été présentés, avec pour mission de distinguer les 7 sites légitimes. Bilan : en moyenne, 40% des testeurs avaient commis des erreurs au cours du test et un site frauduleux était même parvenu à tromper 90% d'entre eux. L'étude s'est cette fois intéressée exclusivement à la banque en ligne. Ce ciblage n'a rien de surprenant puisque les sites financiers sont les plus attaqués par les auteurs de phishing. Les chercheurs ont ainsi demandé à 67 clients d'une même banque de réaliser des opérations en ligne sur le site. Ils ont introduit différents éléments visuels de nature à alerter les internautes sur la légitimité du site, comme l'absence du cadenas indiquant une page sécurisée HTTPS ou d'une image d'authentification et l'affichage d'un pop-up alertant sur la non certification du site.
Durant le second test, les chercheurs ont ôté les images présélectionnées par le client, censées l'informer sur la légitimité du site de banque américain. L'absence combinée d'image et du protocole sécurisé n'a alerté que 3% des participants. Enfin, les universitaires ont affiché un pop-up d'avertissement sur la validité d'un certificat de sécurité. En dépit de cette flagrante mise en garde, 53% n'en ont pas tenu compte et ont saisi leurs identifiants de connexion. Toutefois, des chercheurs de l'université américaine de Pittsburgh, à la demande de la National Science Foundation et de l'U.S. Army Research Office, avaient réalisé un comparatif de 10 solutions antiphishing. Le benchmark estimait les taux de faux positifs de nature à tromper les utilisateurs. Selon eux, ces identifications erronées de sites légitimes pourraient en effet inciter les internautes à ignorer les avertissements de l'antiphishing.
Les travaux du MIT et de Harvad mettent en tout cas en évidence l'ampleur du travail restant à faire en matière de sensibilisation des internautes. Ils prouvent également aux pirates que l'accroissement de la sophistication des sites leurres n'est pas incontournable. L'efficacité repose probablement plus pour eux sur la rapidité à concevoir de nouveaux leurres.
|