IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une étude montre que les gens ignorent les alertes de sécurité dans 90 % des cas


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 701
    Points : 51 791
    Points
    51 791
    Par défaut Une étude montre que les gens ignorent les alertes de sécurité dans 90 % des cas
    Une étude montre que les gens ignorent les alertes de sécurité dans 90 % des cas
    Du fait que les développeurs les affichent de façon aléatoire

    Une nouvelle étude réalisée par des chercheurs de la Brigham Young University (BYU) a trouvé que 90 % des utilisateurs ignorent les messages de sécurité qui s’affichent de manière incohérente. L’équipe de recherche en collaboration avec des ingénieurs de Google Chrome, a prouvé que les gens qui sont en train de taper quelque chose, regarder une vidéo ou transférer des fichiers sont moins aptes à faire attention aux alertes de société, que ça soit sur ordinateur ou sur mobile.

    Les chercheurs ont trouvé que le timing joue un rôle important. Les moments où les utilisateurs sont occupés sont les moins optimaux pour les alertes de sécurité, cela peut être expliqué par ce que les chercheurs appellent « l’interférence double tâche », une limitation neuronale qui fait que les utilisateurs sont moins enclins à réagir et réaliser de simples tâches simultanément sans perdre de la performance. Autrement dit, les humains ont du mal à faire du multitâche.

    « Nous avons trouvé que le cerveau est incapable de bien gérer plusieurs tâches en même temps, » a dit le coauteur de l’étude, le professeur Anthony Vance. « Les développeurs de logiciels présentent catégoriquement ces messages [de sécurité] sans prendre en compte ce que l’utilisateur est en train de faire. Ils nous interrompent constamment et notre étude montre qu’il y a une grande pénalité qui survient suite à la présentation de ces messages à des moments aléatoires ».

    L’étude a trouvé que 74 % des utilisateurs ignorent les messages de sécurité qui s’affichent au moment de fermeture d’une fenêtre de page web. 79 % des gens ignorent les messages s’ils sont en train de regarder une vidéo. Et pas moins de 87 % ignorent ces messages quand ils sont en train de transférer une information, dans ce cas, un code de confirmation. « Mais vous pouvez résoudre ce problème en optimisant le timing des alertes, » a dit Jeff Jenkins, auteur de l’étude qui a été publiée dans le journal Information Systems Research. « Attendre le moment quand les utilisateurs ne sont pas occupés pour afficher les alertes augmente considérablement leur comportement de sécurité. »

    Les chercheurs ont trouvé que les gens sont plus enclins à faire attention aux messages de sécurité qui s’affichent, quand ils sont en train de réaliser des tâches qui ne demandent pas un niveau de concentration important, comme le fait d’attendre le chargement d’une page ou le moment qui suit la visualisation d’une vidéo. Les auteurs réalisent que le fait de choisir le bon timing pour que l’utilisateur ait plus de chances de réagir semble évident, mais c’est une pratique qui n’est pas courante dans l’industrie de développement de logiciels. Cette étude est la première du genre qui a permis de démontrer empiriquement les effets de l’interférence de tâches avec les alertes de sécurité. Les chercheurs ont non seulement démontré comment le multitâche affecte le comportement des utilisateurs, mais ils ont aussi trouvé comment elle affecte le cerveau.

    Nom : peopleignore.png
Affichages : 3580
Taille : 184,1 Ko
    Exemple d'un message de sécurité de Chrome Cleanup Tool

    Durant l’étude, les chercheurs ont demandé à des participants d’accomplir des tâches sur PC pendant qu’un scanner cérébral fonctionnel fMRI a mesuré l’activité du cerveau. L’expérimentation a montré que l’activité neuronale a été considérablement réduite quand un message de sécurité a interrompu une tâche, comparé au moment où l’utilisateur a répondu au message. Les chercheurs ont exploité des données fonctionnelles de l’IRM en collaboration avec une équipe d’ingénieurs de sécurité de Google Chrome pour identifier les meilleurs moments pour afficher des messages de sécurité durant la navigation.

    Les développeurs de Chrome Cleanup Tool, un outil de sécurité incorporé dans Chrome pour Windows, ont été impressionnés par les résultats de la recherche. Ils comptent désormais améliorer le timing des messages de sécurité de Chrome durant les prochaines itérations.



    Source : BYU

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 341
    Points
    9 341
    Par défaut
    « Mais vous pouvez résoudre ce problème en optimisant le timing des alertes, » a dit Jeff Jenkins, auteur de l’étude qui a été publiée dans le journal Information Systems Research. « Attendre le moment quand les utilisateurs ne sont pas occupés pour afficher les alertes augmente considérablement leur comportement de sécurité. »
    C'est pour ça qu'ils font de la recherche au lieu de faire du développement ?
    Pas besoin d'une étude pour sortir ce genre de conclusion, mais l'application en est beaucoup plus complexe.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  3. #3
    Membre régulier
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2013
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2013
    Messages : 22
    Points : 95
    Points
    95
    Par défaut
    D'un côté ça ne me surprend pas tellement, ça fait quand même un certain temps que l'on sait (en tant que dev) que de simples alertes ou messages d'informations ne sont pas lus dans la plupart des cas.
    Si l'utilisateur n'y est pas contraint, comme l'annonce cette étude 90% des alertes sont ignorés.

    Mais la contrainte (selon l'application et le sensibilité du risque) n'est pas non plus la meilleure solution,
    par exemple dans les entreprises il où faut changer son MDP tous les 1, 2 ou 3 mois, et le mot de passe fini par être écrit sur un post-it devant le PC...

  4. #4
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 388
    Points
    2 388
    Par défaut
    Citation Envoyé par XanatosAO Voir le message
    D'un côté ça ne me surprend pas tellement, ça fait quand même un certain temps que l'on sait (en tant que dev) que de simples alertes ou messages d'informations ne sont pas lus dans la plupart des cas.
    Si l'utilisateur n'y est pas contraint, comme l'annonce cette étude 90% des alertes sont ignorés.

    Mais la contrainte (selon l'application et le sensibilité du risque) n'est pas non plus la meilleure solution,
    par exemple dans les entreprises il où faut changer son MDP tous les 1, 2 ou 3 mois, et le mot de passe fini par être écrit sur un post-it devant le PC...
    Et par se simplifier fortement. Dans ma boite, je dois changer de mdp périodiquement, et bien le mot de passe, ce n'est pas 26?GiEdRé*é#DFt%Te6$57 mais un truc plus simple à retenir...

  5. #5
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 829
    Points
    7 829
    Par défaut
    les alertes ne sont pas affichées aléatoirement mais de manière impromptue, ce qui est très différent.

    Personnellement, j'affiche l'erreur lorsqu'elle survient, surtout si elle est bloquante pour l'exécution.
    Il en est de même pour les alertes de sécurité car bien souvent, elles bloquent l'exécution d'un script et/ou l'affichage d'une page.
    Du coup, tant que l'utilisateur ne la valide pas, l'action est en attente.

  6. #6
    Membre habitué
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2015
    Messages
    125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : janvier 2015
    Messages : 125
    Points : 168
    Points
    168
    Par défaut
    Pas étonnant. Chacun n'est pas féru d'informatique et de développement ce qui est tout à fait normal ! Après sur Firefox par exemple (mon navigateur de prédilection), quand il y a des messages d'alertes très contraignantes disant par exemple que Firefox a planté. Là vous êtes obligé de fermer et je pense que tout personne lambda le comprend. Donc je trouve cette étude un poil tiré par les cheveux...

  7. #7
    Membre habitué
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2015
    Messages
    125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : janvier 2015
    Messages : 125
    Points : 168
    Points
    168
    Par défaut
    Pas étonnant. Chacun n'est pas féru d'informatique et de développement ce qui est tout à fait normal ! Ou alors est-ce par pure flemme de comprend et d'analyser la chose ? Possible ? Après sur Firefox par exemple (mon navigateur de prédilection), quand il y a des messages d'alertes très contraignantes disant par exemple que Firefox a planté. Là vous êtes obligé de fermer et je pense que tout personne lambda le comprend. Donc je trouve cette étude un poil tiré par les cheveux...

  8. #8
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2013
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 39
    Points : 130
    Points
    130
    Par défaut
    C'est sur que les messages d'erreur dans le genre, l'utilisateur ne devrait pas avoir à y être confronté, donc forcement il a vite tendance à ignorer.
    Si le timing est important c'est peut-être aussi que de nombreuses publicité utilisant l'alerte de sécurité pour faire cliquer ("/!\ votre pc à été infecté par un virus, téléchargez myMalware.exe pour le nettoyer /!\") pullulent.
    L'utilisateur peu averti qui a déjà du aller voir quelqu'un pour se débarrasser de myMalware.exe, et lâcher 50€, à du mal a faire la différence entre une vraie et une fausse alerte.

  9. #9
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 062
    Points
    1 062
    Billets dans le blog
    9
    Par défaut
    je trouve ces messages inutile, car dans 90% ils résulte (dans mon cas en tous cas) d'une action que j'ai volontairement fais.
    exemple: je lance un .exe avec droit d'admin, oui merci l'uac je le sais très bien.
    Je download un programme et mon navigateur/antivirus m'informe que les .exe peuvent endommagé mon ordinateur, oui je le sais très bien
    Et pour finir ceux que je trouve nuisible, les messages qui t'avertisse que le logiciel machin.exe à planté, sans blague je l'avais pas remarqué ! et la suite "voulez vous envoyer un rapport d'erreur" non, foutez moi la paix et relance plutôt le soft au lieu de me harceler.

    Un peu comme quand tu joue à un jeu vidéo et on t'explique que pour avancée faut appuyer sur tel touche et que courir consiste à marcher plus rapidement.

    Le plus drôle c'est que j'ai rarement de message d'alerte quand ces les programmes qui eux même font des trucs que je trouve dangereux, exemple l'envoie de donner "anonyme" sur un serveur tier, recherche d'une maj il le fait tous seul sans me demander mon accord...

  10. #10
    Invité
    Invité(e)
    Par défaut
    En environnement Microsoft les alertes de sécurité ou d’information ont au moins le mérite d’étoffer nos logs...

    Un exemple concret et inoffensif parmi tant d’autres: Cet aprèm j’ai reçu l’appel d’un utilisateur rentré de congés, à la recherche d’un fichier distant édité avant son départ.

    Deux minutes de dépilage dans l’observateur d’événements et le fichier était localisé grâce à l’avertissement d’Excel «*Voulez vous enregistrer les modifs…sur toto.xlsx».

    On ne pourra jamais lutter contre nos clickers fous ou les nuisances externes… Alors autant les avoir à l’œil.

  11. #11
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    déjà le principe "d'alertes de sécurité non obligatoires" est fumeux
    Rien, je n'ai plus rien de pertinent à ajouter

  12. #12
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2011
    Messages
    72
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2011
    Messages : 72
    Points : 107
    Points
    107
    Par défaut
    Je pense qu'il y a quelques incomprehension dans certains des commentaires ici (ou alors c'est moi).
    L'article et la recherche ne parle pas des alertes de sécurité lorsqu'un programme plante, mais des alertes de mise à jour disponible et ça change tout.
    Dans le premier cas, oui, l'alerte s'affiche directement et on est généralement obligé de la prendre en compte mais ce n'est n'est pas forcement les cas pour les alertes de mise à jour. Du coup l'étude devient bien plus interessante.

  13. #13
    Membre habitué
    Homme Profil pro
    Chef de projet
    Inscrit en
    juin 2014
    Messages
    69
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Chef de projet

    Informations forums :
    Inscription : juin 2014
    Messages : 69
    Points : 160
    Points
    160
    Par défaut
    Vue la réaction des équipes, on va se retrouver avec des messages d'alerte qui vont mettre un certain temps avant de s'éclipser !!!
    Voir même que que la pratique peut être étendue aux pubs

    Ils auraient du enchaîner sur l'analyse du comportement provoqué par la petite boîte qui masquera volontairement l'écran utile le temps suffisant pour commuter d'une tâche à l'autre en toute quiétude.


    Mais là ça se complique. Ça fait une troisième tâche.

  14. #14
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Citation Envoyé par sazearte Voir le message
    je lance un .exe avec droit d'admin, oui merci l'uac je le sais très bien.
    De mon point de vue, exécuter une boite noire avec des droits d'administration justifie pleinement l'apparition de messages de sécurité. Mais si cela ne te convient pas, l'UAC se désactive. Mais tu ne verras pas les virus s'exécuter automatiquement avec les droits d'administration lorsque tu brancheras une clé USB infecté (par exemple).

  15. #15
    Membre habitué
    Homme Profil pro
    Chef de projet
    Inscrit en
    juin 2014
    Messages
    69
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Chef de projet

    Informations forums :
    Inscription : juin 2014
    Messages : 69
    Points : 160
    Points
    160
    Par défaut
    Le genre de boîte que je déteste.

  16. #16
    Membre régulier Avatar de l'art souille
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    janvier 2015
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : Conseil

    Informations forums :
    Inscription : janvier 2015
    Messages : 34
    Points : 89
    Points
    89
    Par défaut
    Quelle confiance avoir dans les pompiers pyromanes ?

    "Comportements étranges" ? Non, sans rire ! Venant de Google ... c'est du pur Novlang.

    Par exemple, Google et Yahoo s'échinent à me dissuader (par harcèlements mailesques ou autres) de me protéger contre leurs agissements intrusifs. Ils ont une sainte horreur pour les VPN ou autres brouillages IP... D'après eux, je me mets en danger.

    Voui ... et je vous emm...de !
    Plus tu pédales moins vite, moins tu vas plus vite.

  17. #17
    Membre régulier Avatar de l'art souille
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    janvier 2015
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : Conseil

    Informations forums :
    Inscription : janvier 2015
    Messages : 34
    Points : 89
    Points
    89
    Par défaut
    Citation Envoyé par Squisqui Voir le message
    De mon point de vue, exécuter une boite noire avec des droits d'administration justifie pleinement l'apparition de messages de sécurité. Mais si cela ne te convient pas, l'UAC se désactive. Mais tu ne verras pas les virus s'exécuter automatiquement avec les droits d'administration lorsque tu brancheras une clé USB infecté (par exemple).
    Pas faux !
    Mais l'utilisateur lambda d'un système "personnel" a un goût très modéré (disons cela) à changer de profils suivant la nature de la tache accomplie.
    Et puis, est-ce pertinent ou suffisant de suspecter (d'être un virus) tout programme susceptible de me permettre de faire une connerie ?

    Imagine deux secondes que Google applique l'UAC à Android ... l'enfer !! La mort du smartphone.

    Le ver est dans le fruit depuis l'origine du monde (informatique) : "Confirmez la suppression", "oh, fais chier !" ... "eh merde...".
    Plus tu pédales moins vite, moins tu vas plus vite.

Discussions similaires

  1. Réponses: 2
    Dernier message: 29/01/2010, 16h59
  2. Réponses: 14
    Dernier message: 30/07/2009, 18h31
  3. Réponses: 0
    Dernier message: 30/07/2009, 10h42
  4. Réponses: 4
    Dernier message: 07/07/2009, 22h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo