SECURITE
 
17/04/2007

Les utilisateurs de la banque en ligne toujours négligents

Le phishing a encore de beaux jours devant lui. En dépit de messages d'alerte, en l'absence d'icône HTTPS ou d'une image d'authentification, les internautes, en majorité, saisissent leurs identifiants.
  Envoyer Imprimer  

 
En savoir plus
 
 
 
Des universitaires américains ont renouvelé leur enquête sur le phishing, et plus particulièrement sur le comportement des internautes face à des sites frauduleux. Dans l'édition précédente, l'objectif de l'étude était de déterminer les astuces et procédés des pirates pour leurrer les utilisateurs. Rachna Dhamija de l'Université de Harvard, c'est cette fois entouré d'un collaborateur et de deux chercheurs du MIT.

22 participants avaient été sollicités dans l'étude précédente à qui 20 sites avaient été présentés, avec pour mission de distinguer les 7 sites légitimes. Bilan : en moyenne, 40% des testeurs avaient commis des erreurs au cours du test et un site frauduleux était même parvenu à tromper 90% d'entre eux. L'étude s'est cette fois intéressée exclusivement à la banque en ligne.

Ce ciblage n'a rien de surprenant puisque les sites financiers sont les plus attaqués par les auteurs de phishing. Les chercheurs ont ainsi demandé à 67 clients d'une même banque de réaliser des opérations en ligne sur le site. Ils ont introduit différents éléments visuels de nature à alerter les internautes sur la légitimité du site, comme l'absence du cadenas indiquant une page sécurisée HTTPS ou d'une image d'authentification et l'affichage d'un pop-up alertant sur la non certification du site.

Dans le premier test, au cours duquel l'authentification se faisait sur une page classique HTTP, et non HTTPS comme c'est en principe le cas, 100% des internautes se sont néanmoins connecté à leurs comptes. L'absence de sécurisation signalée par un icône représentant un cadenas en bas de page n'a donc en rien freiné les utilisateurs.

53% des internautes ne tiennent pas compte d'une page d'alerte

Durant le second test, les chercheurs ont ôté les images présélectionnées par le client, censées l'informer sur la légitimité du site de banque américain. L'absence combinée d'image et du protocole sécurisé n'a alerté que 3% des participants. Enfin, les universitaires ont affiché un pop-up d'avertissement sur la validité d'un certificat de sécurité. En dépit de cette flagrante mise en garde, 53% n'en ont pas tenu compte et ont saisi leurs identifiants de connexion.

Première conclusion de l'enquête tirée par les chercheurs, les internautes ignorent les indicateurs apportés par HTTPS. Quant à l'utilisation d'une image par les banques pour protéger l'accès à l'application de banque en ligne, elle apparaît comme inefficace. L'apport des outils antiphishing des navigateurs Web comme ceux de Firefox et IE7 n'a pu en revanche être évalué dans ces tests, ces derniers ayant été conduits sur IE6.

Toutefois, des chercheurs de l'université américaine de Pittsburgh, à la demande de la National Science Foundation et de l'U.S. Army Research Office, avaient réalisé un comparatif de 10 solutions antiphishing. Le benchmark estimait les taux de faux positifs de nature à tromper les utilisateurs. Selon eux, ces identifications erronées de sites légitimes pourraient en effet inciter les internautes à ignorer les avertissements de l'antiphishing.

 
En savoir plus
 
 
 

Les travaux du MIT et de Harvad mettent en tout cas en évidence l'ampleur du travail restant à faire en matière de sensibilisation des internautes. Ils prouvent également aux pirates que l'accroissement de la sophistication des sites leurres n'est pas incontournable. L'efficacité repose probablement plus pour eux sur la rapidité à concevoir de nouveaux leurres.



JDN Solutions Envoyer Imprimer Haut de page

Sondage

Recourir à un service cloud comme unique solution de stockage de fichiers, vous y croyez ?

Tous les sondages