Discussion :

[Stéphane le calme]

Les utilisateurs de Google Chrome ignorent les recommandations de sécurité,
la première raison de l'infection des ordinateurs ?

Lors de la conférence sur la sécurité informatique CanSecWest à Vancouver, Google Chrome a été le navigateur le plus résistant aux tentatives de contournement de la sécurité informatique par les hackers lors du concours Pwn2Own. Malgré cette étiquette de « navigateur le mieux sécurisé », le nombre d'utilisateurs victimes d'un piratage de données ne cesse d'augmenter d'une manière fulgurante.

Face à ce constat inquiétant, l'étude comparative « Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness » (littéralement Alice aux pays des Avertissements : une étude à grande échelle sur l’efficience des avertissements de sécurité des navigateurs) a été menée. Un drôle de constat a été établi sur plus de 25 millions d'avertissements de sécurité dispatchés sur Google Chrome et Mozilla Firefox sur la période mai-juin ; nombreux sont ceux qui ignorent les recommandations.

En répartissant les avertissements en fonction des systèmes d'exploitation, sur Windows, les utilisateurs Chrome s'avèrent les plus récalcitrants avec 23,5 % qui ignorent les avertissements de sécurité relatifs aux malwares contre 7,1 % chez les utilisateurs Firefox. La différence est encore plus flagrante quant aux avertissements liés aux protocoles de sécurisation des échanges sur internet SSL. Plus de 70 % des utilisateurs de Chrome ne tiennent pas compte des avertissements contre plus de 30 % en moyenne chez les utilisateurs Mozilla Firefox. Est-ce à dire que les utilisateurs Chrome seraient plus téméraires que ceux de Mozilla Firefox ?

Source : étude entière (au format PDF)

Et vous ?

Qu'en pensez-vous ?

[transgohan]

Il y a pourtant d'autres axes à explorer quant à une explication.
Je vois par exemple la longévité des failles avant correction ou leur taux d'exploitation.

Une faille peu exploitée mais qui n'est pas corrigée fait pencher les pourcentages.

De même une faille qui reste durant 5ans mais qui n'est exploité que par 0.00001% des malintentionnés n'est pas comparable à une faille corrigée en 6mois mais qui est exploitée par 99.999% des malintentionnés. Et cela joue aussi sur les résultats annoncés.

[CHbox]

Je vais avancer 2 hypothèses, avis perso n'hésitez pas à me contredire ma vision se limite à mes propres connaissances et spéculations. Je dirais d'abord que les utilisateurs Chrome sont plus "jeunes" et donc effectivement plus téméraires, moins conscient des risques, Chrome étant devenu le navigateur à la mode et plébiscité par la majorité d'entre eux, alors que Firefox semble étrangement avoir prit un coup de vieux sur sa population (c'est l'impression que j'ai). Deuxième explication, cette fois concernant plus le Phishing, en théorie ce genre de pratique attrape plus souvent les personnes peu expérimentées et mal renseignées sur le sujet, typiquement les parents à qui on a installé Chrome par défaut car "IE c'est naze" (je ne suis plus d'accord avec ce jugement, IE fut une catastrophe mais a su rattraper ses erreurs, à défaut d'être parfait il est devenu assez standard), alors qu'il y a quelques années c'était plutôt Firefox qu'on leur installait.

Sinon en étant plus terre à terre, si Chrome a une tendance plus élevé à signaler des risques, il sera ignoré à force, à contrario si Firefox n'en signale pas assez, le moindre avertissement est prit sérieusement, mais là je ne saurais dire sans données.

[lochnar]

Hello,

Personnellement, je trouve que les alertes de Chrome ne sont pas vraiment flagrantes...

J'entend par là qu'on te previent d'un danger de la même manière que l'on te demande si tu veux que la page soit traduite...

Après, je suis d'accord sur le fait que Chrome devient plus grand public que Firefox. Je ne pourrais me passer de Firefox et ses plugins pour développer, mais lorsque je dois conseiller un navigateur pour une utilisation familiale : je conseil Chrome.

[Mr_Exal]

Hello,

Personnellement, je trouve que les alertes de Chrome ne sont pas vraiment flagrantes...

J'entend par là qu'on te previent d'un danger de la même manière que l'on te demande si tu veux que la page soit traduite...

Après, je suis d'accord sur le fait que Chrome devient plus grand public que Firefox. Je ne pourrais me passer de Firefox et ses plugins pour développer, mais lorsque je dois conseiller un navigateur pour une utilisation familiale : je conseil Chrome.

Pas pour les absences de certificat. La page est entièrement rouge donc il faut vraiment être aveugle pour ne pas la voir ...

[noelblanc]

Mais tous ces messages, c'est incompréhensibles pour une personne normalement constituée. Pour acheter un truc sur un site digne de confiance faut déjà valider mille ( ou presque ) avertissements ssl ou autre. Et celui qui dit qu'il ne se fera jamais prendre et qu'il vérifie tous les messages et tous les machins, et bien, c'est comme avec la voiture, il a pas assez vécu pour avoir un accident, ou alors il a grillé le feu rouge sans même l'avoir vu et donc sans en être conscient ( la chance, la roue de la fortune, pas celle de la télé du maçon, celle des anciens).
L'informatique balbutie depuis 1981. L'autogestion, la liberté, même chez les lapins, ca ne marche pas. L'éducation? et c'est la religion qui revient au galop. C'est même pas possible de se débarrasser de la publicité puisque c'est elle qui fait vivre internet. Je délire....certes.
Une VM dans les nuages avec un déport d'affichage, et encore....car à trifouillis-en-chardonnais y a pas un gros débit, à part au comptoir.

[SurferIX]

Moi je n'y vois qu'une seule chose : Chrome est en passe de devenir navigateur numéro un en Europe. Il est déjà numéro un en France. Microsoft veut simplement, par tous les moyens possibles, essayer de décrédibiliser un navigateur qui est mieux en tous points. Quand on n'arrive pas à gagner en face à face, alors on essaie le coup de couteau dans le dos. Easy.

[Stéphane le calme]

Administrateurs web, instruisez les utilisateurs Chrome,
ils ne tiennent pas souvent compte des avertissements de sécurité selon une étude

Mise à jour du 13/08/2013

La semaine prochaine sera présentée, à l'UENIX Security Symposium à Washington DC, l'étude comparative « Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness » qui a mis sur la balance d'un côté les utilisateurs de Google Chrome et de l'autre ceux de Mozilla Firefox.

« Les utilisateurs de Google Chrome sont 2,1 fois plus susceptibles de passer outre les avertissements SSL que ceux de Mozilla Firefox », expliquent Adrienne Porter Felt, chercheur pour le compte de Google, et Devdatta Akhawe, diplômé de Berkeley. Pour mener à bien leur étude, les chercheurs ont analysé plus de 25 millions d'avertissements de sécurité dispatchés sur Google Chrome et Mozilla Firefox sur la période mai-juin.

Pour eux, l'une des explications à ce phénomène observé pourrait être la combinaison de plusieurs facteurs, notamment l'esthétique, le stockage des exemptions SSL définies par l'utilisateur, et différentes données démographiques des utilisateurs de différents systèmes d'exploitation.

Du côté du navigateur de Mozilla, le rapport note que l'utilisation d'une police particulière avec l'utilisation de l'expression « non fiable » dans le titre doit certainement avoir un effet sur les utilisateurs. De plus, pour contourner l'avertissement, les utilisateurs de Firefox doivent effectuer trois clics contre un pour ceux de Chrome.

Suite à cette étude, Google prévoit de tester une fonctionnalité qui permettra au navigateur de retenir les exceptions, pour éviter aux utilisateurs le désagrément des avertissements perpétuels et surtout pour les rendre plus prudents lorsqu'ils sont confrontés aux avertissements.

Les chercheurs en diront plus sur les résultats de leurs recherches et sur leurs recommandations la semaine prochaine.

Source : étude (au format PDF)

Et vous ?

Qu'en pensez-vous ? Chrome devrait-il plus s'inspirer de Firefox ou l'utilisateur devrait-il être mieux renseigné ?