IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques

  1. #1
    Correspondant Actualités

    Profil pro
    Inscrit en
    Juin 2009
    Messages
    72
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2009
    Messages : 72
    Points : 240
    Points
    240
    Par défaut Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques
    Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques
    Selon une étude menée par le Carnegie Mellon University, la plupart des internautes ne sont pas conscients des messages d’avertissement relatifs à la sécurité du site qu’ils sont en train de visiter. Plus surprenant encore : le pourcentage d’internautes qui décident d’ignorer les messages de sécurité affichés varient d’un navigateur à l’autre. Sur certains navigateurs, environ deux internautes sur dix décident de passer outre. Pour d’autres navigateurs, ce taux peut atteindre 100%. Explications !

    Mauvaises attitudes des internautes.

    Les études ont été menées d’abord en ligne sur un échantillon de 400 internautes pour connaître leurs attitudes vis-à-vis des certificats des sites sécurisés. Puis, les chercheurs du Carnegie Mellon University ont sélectionnés 100 internautes pour une étude plus approfondie en laboratoire. Tous les internautes ayant participé à l’étude reconnaissent l’existence d’un problème de sécurité à l’apparition des messages d’avertissement. Malgré l’avertissement, la majorité des participants continuent leurs visites s’ils se trouvent sur des sites qu’ils considèrent comme étant fiables. Cette méconnaissance des règles de sécurité peut s’avérer dangereuse. En effet, en validant le message de sécurité, l’internaute est censé être sur le site qu’il croit visiter. Mais la réalité peut être tout autre ! Si le site web d’une banque affiche un message rapportant l’invalidité du certificat de sécurité, l’internaute peut être victime d’une attaque cybercriminelle appelée « Man-in-the-middle attack ». Dans ce type d’attaque, le cybercriminel s’interpose entre l’internaute et le site « original » et tente d’amasser le maximum d’informations concernant l’utilisateur.

    Des failles observées au niveau des navigateurs.
    « Les experts en sécurité savent depuis longtemps l’inefficacité des messages de sécurité affichés par les navigateurs lorsqu’un site rencontre un problème de certificat de sécurité », avoue Jeremiah Grossman, directeur de la technologie au sein de White Hat Security, une société spécialisée en sécurité web. Les utilisateurs ne sont pas pleinement conscients de l’importance de ces certificats de sécurité lorsqu’ils surfent sur Internet. Cette mauvaise attitude des utilisateurs est souvent renforcée par les failles observées au niveau des navigateurs disponibles sur le marché. Presque tous les navigateurs se contentent d’émettre des simples avertissements. Peu de navigateurs tentent de mettent en œuvre un véritable processus pouvant mettre en évidence aux yeux des internautes le véritable danger auquel ils s’exposent. Seul Firefox 3 de Mozilla essaie d’utiliser un langage simple et un meilleur avertissement pour protéger les utilisateurs d’un certificat invalide. D’ailleurs, lors de l’étude, les personnes utilisant ce navigateur ont été les plus promptes à abandonner la visite d’un site ayant affiché un certificat de sécurité invalide.

    Des nouvelles formes de messages d’avertissement en cours d’expérimentation
    .
    Les chercheurs ont aussi expérimenté plusieurs formats de messages d’avertissement qui se sont avérés plus efficaces.

    Selon Joshua Sunshine, ces découvertes militent en faveur d’une nouvelle forme de messages mais aussi d’un système capable d’analyser les messages d’erreurs affichés et de bloquer totalement l’accès de l’utilisateur au site incriminé. Les étudiants de Carnegie Mellon University vont diffuser les conclusions de leur recherche le 14 août à Montréal lors de l’Usenix Security Symposium. Qu'en pensez vous?

  2. #2
    Membre habitué
    Profil pro
    Inscrit en
    Février 2005
    Messages
    119
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2005
    Messages : 119
    Points : 192
    Points
    192
    Par défaut
    Pour répondre, il m'est arrivé de tomber sur de tels messages d'avertissement, mais cela correspondait soit à des sites ayant des certificats auto-signés (autrement dit des certificats qui n'en sont pas), soit des sites ayant des certificats venant d'une autorité inconnue de mon navigateur. Tout cela pour des sites « non dangereux » dans le sens où je ne faisais qu'y lire des informations, sans jamais en donner. Il me semble qu'avant d'éduquer les utilisateurs, il faudrait plutôt éduquer les administrateurs des sites (ou bien faire les deux).
    Bloquer un site parce qu'il a un certificat invalide me parait stupide, autant bloquer les sites n'ayant pas de certificat. Peut-être que je me trompe sur ce point, mes connaissances en matière de sécurité sont limitées.

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2009
    Messages : 20
    Points : 44
    Points
    44
    Par défaut
    Citation Envoyé par Annaelle32 Voir le message
    Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques

    Des failles observées au niveau des navigateurs.
    « Les experts en sécurité savent depuis longtemps l’inefficacité des messages de sécurité affichés par les navigateurs lorsqu’un site rencontre un problème de certificat de sécurité », avoue Jeremiah Grossman, Directeur de la Technologie au sein de White Hat Security, une société spécialisée en sécurité web. Les utilisateurs ne sont pas pleinement conscients de l’importance de ces certificats de sécurité lorsqu’ils surfent sur Internet. Cette mauvaise attitude des utilisateurs est souvent renforcée par les failles observées au niveau des navigateurs disponibles sur le marché. Presque tous les navigateurs se contentent d’émettre des simples avertissements. Peu de navigateurs tentent de mettent en œuvre un véritable processus pouvant mettre en évidence aux yeux des internautes le véritable danger auquel ils s’exposent. Seul Firefox 3 de Mozilla essaie d’utiliser un langage simple et un meilleur avertissement pour protéger les utilisateurs d’un certificat invalide. D’ailleurs, lors de l’étude, les personnes utilisant ce navigateur ont été les plus promptes à abandonner la visite d’un site ayant affiché un certificat de sécurité invalide.
    la propagande à des limites aussi , rien que ce passage est une abération, un certificat non signé est tout aussi sécurisé qu'un certificat signé par un organisme extérieur , car les donnés sont cryptés quand même. si la sécurité c'est juste une vérification DNS, une réponse d'un organisme tiers qui gère de millions de certificats et qui est a 200% dans l'incapacité de certifier que le site internet est fiable ....

    la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante

    ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!

  4. #4
    Membre régulier
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    99
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations forums :
    Inscription : Septembre 2008
    Messages : 99
    Points : 93
    Points
    93
    Par défaut
    Il semblerait que 70% des machines des utilisateurs "lambda" soit infesté par des malwaire en tout genre à cause de visite de sur des site pas très saint (chiffre qui sort du livre sur les systèmes d'exploitation de Andrew Tannenbaum)
    Je ne pense pas que les personne qui surf de temps à autre veulent ce prendre la tête avec les certificas, technique du man-in-the-middle ou autre, ca peut ce comprendre.

    Faut trouver d'autres solutions moins contraignante pour l'internaute, mais en utilisant d'autant plus de transparance je ne pense pas que ce soit trés formateur niveau sécurité pour l'utilisateur...

    la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante
    Pour la majorité des gens qui ne font pas de l'informatique, si on leurs dit que tout est sécurisé et tout le tralala... ils te dirons que la falsification c'est pas possible car le logiciel dit le contraire

  5. #5
    cedrix57
    Invité(e)
    Par défaut
    En étant sous linux, j'ai toujours ignoré ces avertissement, pensant que si mon pc se faisait infecter, les virus ne fonctionnerai pas sous ubuntu.
    Sinon, sous windows, j'ai simplement installé antivir, spybot, laissé le parefeu windows, et j'ai déjà eu plusieurs détections de virus, mais je n'ai jamais ressenti mon pc ralenti, ou jamais ressenti de problèmes, c'est pour ça que je néglige les avertissements.
    Le jour ou je ressentirai des problèmes, je commencerai peut être alors à faire attention.

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2009
    Messages : 20
    Points : 44
    Points
    44
    Par défaut
    Citation Envoyé par cedrix57 Voir le message
    En étant sous linux, j'ai toujours ignoré ces avertissement, pensant que si mon pc se faisait infecter, les virus ne fonctionnerai pas sous ubuntu.
    Sinon, sous windows, j'ai simplement installé antivir, spybot, laissé le parefeu windows, et j'ai déjà eu plusieurs détections de virus, mais je n'ai jamais ressenti mon pc ralenti, ou jamais ressenti de problèmes, c'est pour ça que je néglige les avertissements.
    Le jour ou je ressentirai des problèmes, je commencerai peut être alors à faire attention.
    tu peux expliquer en quoi l'utilisation de linux ou d'un antivirus/spybot et compagnie te protège d'une arnaque sur internet dans un site marchant?

    tout comme un certificat SSL ne te protège pas, un antivirus ou linux ne fait pas mieux. l'application est distante et l'arnaque se trouve dans la transaction avec un service distant .... si le service avec lequel tu fais une transaction est malveillant alors tu y peux rien !

    la sécurité de nous jours repose sur la confiance, mais comment faire confiance à un DNS et à un organisme qui certifie des certificats pour des sites malveillants ?

  7. #7
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2008
    Messages : 341
    Points : 1 515
    Points
    1 515
    Par défaut
    Il est évident qu'une meilleure information pour les utilisateurs leurs éviteraient bien des problèmes.
    J'en connais un certain nombre qui ignorent délibérément les messages d'alertes croyant qu'il s'agit d'une erreur!
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  8. #8
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2005
    Messages : 4 413
    Points : 19 608
    Points
    19 608
    Par défaut
    Citation Envoyé par nausicaä Voir le message
    la propagande à des limites aussi , rien que ce passage est une abération, un certificat non signé est tout aussi sécurisé qu'un certificat signé par un organisme extérieur , car les donnés sont cryptés quand même. si la sécurité c'est juste une vérification DNS, une réponse d'un organisme tiers qui gère de millions de certificats et qui est a 200% dans l'incapacité de certifier que le site internet est fiable ....

    la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante

    ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!
    Attention à pas aller trop loin dans les affirmations quand même. Les dernières RFC de l'IETF sur les signatures numériques concernent des signatures RSA avec SHA1 comme algo de hash et celui-là est parfaitement fiable. Donc on ne peut pas dire que cette signature numérique ne l'est pas.

    Il est évident qu'au bout de la chaine il y a toujours un certificat autosigné et qu'il faut donc accorder une certaine confiance à cette chaine. Tout est basé là dessus de même que la sécurité de tout chiffrement est forcément basée à un moment ou à un autre sur le secret d'un clef privée.

    Donc bon ... De la à dire que les signatures numériques ne valent rien ... Il y a un pas que je me garderais bien de franchir.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  9. #9
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    N'en déplaise aux fournisseurs d'anti-virus, de pare-feu et d'anti-spyware, un utilisateur bien formé est la meilleur des protections.

    La seul methode fiable qui existe pour empêcher un utilisateur de cliquer sur un lien verreux envoyé par email, d'accepter un applet java / activeX provenant d'un site louche, d'utiliser un navigateur Web qui n'a pas eu de mise à jour depuis 6 mois : c'est l'éducation.
    It's not a bug, it's a feature

  10. #10
    cedrix57
    Invité(e)
    Par défaut
    Citation Envoyé par nausicaä Voir le message
    tu peux expliquer en quoi l'utilisation de linux ou d'un antivirus/spybot et compagnie te protège d'une arnaque sur internet dans un site marchant?

    tout comme un certificat SSL ne te protège pas, un antivirus ou linux ne fait pas mieux. l'application est distante et l'arnaque se trouve dans la transaction avec un service distant .... si le service avec lequel tu fais une transaction est malveillant alors tu y peux rien !

    la sécurité de nous jours repose sur la confiance, mais comment faire confiance à un DNS et à un organisme qui certifie des certificats pour des sites malveillants ?
    Je n'ai jamais dit que j'avais juste raison. Je dit juste que comme je n'ai jamais eut de problème, je ne fait pas attention, et je pense que c'est le cas de beaucoup d'autres internautes jusqu'au jour où ils leur arrivent un problème.
    Maintenant, c'est vrai que je suis jeune, et je n'ai pas encore de carte de crédit, je ne fait jamais d'achat sur internet. Et je tombe rarement sur des sites où je reçoit un avertissement de sécurité.

  11. #11
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!
    Oui et non. Dans un monde ou on étudie l'ergonomie du bouton, qui se situe au bout de ton index de la main droite, le bouton de souris gauche, étudier et améliorer la capacité de communication d'un message d'alerte est une entreprise très louable.
    Tout autant que ..... de se gratter le *** ?


    Non pas avec cet index ^^!

  12. #12
    Candidat au Club
    Inscrit en
    Août 2009
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : Août 2009
    Messages : 1
    Points : 2
    Points
    2
    Par défaut PROTECTION = EDUCATION DES INTERNAUTES
    Citation Envoyé par Firwen Voir le message
    N'en déplaise aux fournisseurs d'anti-virus, de pare-feu et d'anti-spyware, un utilisateur bien formé est la meilleur des protections.

    La seul methode fiable qui existe pour empêcher un utilisateur de cliquer sur un lien verreux envoyé par email, d'accepter un applet java / activeX provenant d'un site louche, d'utiliser un navigateur Web qui n'a pas eu de mise à jour depuis 6 mois : c'est l'éducation.
    Merci de mettre en avant ce fait, car en effet la meilleure façon de se protéger est d'être éduqué et informé des risques encourus lors d'un clic ou suite à l'affichage d'un message.

Discussions similaires

  1. Réponses: 17
    Dernier message: 01/11/2013, 00h58
  2. Sécurité sur serveur web
    Par a_me dans le forum Sécurité
    Réponses: 6
    Dernier message: 08/09/2007, 18h19
  3. Agir à distance sur les processus des utilisateurs
    Par kuranes dans le forum Autres Logiciels
    Réponses: 1
    Dernier message: 11/10/2005, 11h18
  4. Réponses: 3
    Dernier message: 03/05/2005, 19h18
  5. [Debutant]droits des utilisateurs sur sql serveur
    Par christophebmx dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 04/01/2005, 17h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo