Une étude montre que les gens ignorent les alertes de sécurité dans 90 % des cas
Du fait que les développeurs les affichent de façon aléatoire
Le 2016-08-18 14:43:31, par Coriolan, Expert éminent sénior
Une nouvelle étude réalisée par des chercheurs de la Brigham Young University (BYU) a trouvé que 90 % des utilisateurs ignorent les messages de sécurité qui s’affichent de manière incohérente. L’équipe de recherche en collaboration avec des ingénieurs de Google Chrome, a prouvé que les gens qui sont en train de taper quelque chose, regarder une vidéo ou transférer des fichiers sont moins aptes à faire attention aux alertes de société, que ça soit sur ordinateur ou sur mobile.
Les chercheurs ont trouvé que le timing joue un rôle important. Les moments où les utilisateurs sont occupés sont les moins optimaux pour les alertes de sécurité, cela peut être expliqué par ce que les chercheurs appellent « l’interférence double tâche », une limitation neuronale qui fait que les utilisateurs sont moins enclins à réagir et réaliser de simples tâches simultanément sans perdre de la performance. Autrement dit, les humains ont du mal à faire du multitâche.
« Nous avons trouvé que le cerveau est incapable de bien gérer plusieurs tâches en même temps, » a dit le coauteur de l’étude, le professeur Anthony Vance. « Les développeurs de logiciels présentent catégoriquement ces messages [de sécurité] sans prendre en compte ce que l’utilisateur est en train de faire. Ils nous interrompent constamment et notre étude montre qu’il y a une grande pénalité qui survient suite à la présentation de ces messages à des moments aléatoires ».
L’étude a trouvé que 74 % des utilisateurs ignorent les messages de sécurité qui s’affichent au moment de fermeture d’une fenêtre de page web. 79 % des gens ignorent les messages s’ils sont en train de regarder une vidéo. Et pas moins de 87 % ignorent ces messages quand ils sont en train de transférer une information, dans ce cas, un code de confirmation. « Mais vous pouvez résoudre ce problème en optimisant le timing des alertes, » a dit Jeff Jenkins, auteur de l’étude qui a été publiée dans le journal Information Systems Research. « Attendre le moment quand les utilisateurs ne sont pas occupés pour afficher les alertes augmente considérablement leur comportement de sécurité. »
Les chercheurs ont trouvé que les gens sont plus enclins à faire attention aux messages de sécurité qui s’affichent, quand ils sont en train de réaliser des tâches qui ne demandent pas un niveau de concentration important, comme le fait d’attendre le chargement d’une page ou le moment qui suit la visualisation d’une vidéo. Les auteurs réalisent que le fait de choisir le bon timing pour que l’utilisateur ait plus de chances de réagir semble évident, mais c’est une pratique qui n’est pas courante dans l’industrie de développement de logiciels. Cette étude est la première du genre qui a permis de démontrer empiriquement les effets de l’interférence de tâches avec les alertes de sécurité. Les chercheurs ont non seulement démontré comment le multitâche affecte le comportement des utilisateurs, mais ils ont aussi trouvé comment elle affecte le cerveau.
Exemple d'un message de sécurité de Chrome Cleanup Tool
Durant l’étude, les chercheurs ont demandé à des participants d’accomplir des tâches sur PC pendant qu’un scanner cérébral fonctionnel fMRI a mesuré l’activité du cerveau. L’expérimentation a montré que l’activité neuronale a été considérablement réduite quand un message de sécurité a interrompu une tâche, comparé au moment où l’utilisateur a répondu au message. Les chercheurs ont exploité des données fonctionnelles de l’IRM en collaboration avec une équipe d’ingénieurs de sécurité de Google Chrome pour identifier les meilleurs moments pour afficher des messages de sécurité durant la navigation.
Les développeurs de Chrome Cleanup Tool, un outil de sécurité incorporé dans Chrome pour Windows, ont été impressionnés par les résultats de la recherche. Ils comptent désormais améliorer le timing des messages de sécurité de Chrome durant les prochaines itérations.
Source : BYU
Et vous ?
Voir aussi :
Les chercheurs ont trouvé que le timing joue un rôle important. Les moments où les utilisateurs sont occupés sont les moins optimaux pour les alertes de sécurité, cela peut être expliqué par ce que les chercheurs appellent « l’interférence double tâche », une limitation neuronale qui fait que les utilisateurs sont moins enclins à réagir et réaliser de simples tâches simultanément sans perdre de la performance. Autrement dit, les humains ont du mal à faire du multitâche.
« Nous avons trouvé que le cerveau est incapable de bien gérer plusieurs tâches en même temps, » a dit le coauteur de l’étude, le professeur Anthony Vance. « Les développeurs de logiciels présentent catégoriquement ces messages [de sécurité] sans prendre en compte ce que l’utilisateur est en train de faire. Ils nous interrompent constamment et notre étude montre qu’il y a une grande pénalité qui survient suite à la présentation de ces messages à des moments aléatoires ».
L’étude a trouvé que 74 % des utilisateurs ignorent les messages de sécurité qui s’affichent au moment de fermeture d’une fenêtre de page web. 79 % des gens ignorent les messages s’ils sont en train de regarder une vidéo. Et pas moins de 87 % ignorent ces messages quand ils sont en train de transférer une information, dans ce cas, un code de confirmation. « Mais vous pouvez résoudre ce problème en optimisant le timing des alertes, » a dit Jeff Jenkins, auteur de l’étude qui a été publiée dans le journal Information Systems Research. « Attendre le moment quand les utilisateurs ne sont pas occupés pour afficher les alertes augmente considérablement leur comportement de sécurité. »
Les chercheurs ont trouvé que les gens sont plus enclins à faire attention aux messages de sécurité qui s’affichent, quand ils sont en train de réaliser des tâches qui ne demandent pas un niveau de concentration important, comme le fait d’attendre le chargement d’une page ou le moment qui suit la visualisation d’une vidéo. Les auteurs réalisent que le fait de choisir le bon timing pour que l’utilisateur ait plus de chances de réagir semble évident, mais c’est une pratique qui n’est pas courante dans l’industrie de développement de logiciels. Cette étude est la première du genre qui a permis de démontrer empiriquement les effets de l’interférence de tâches avec les alertes de sécurité. Les chercheurs ont non seulement démontré comment le multitâche affecte le comportement des utilisateurs, mais ils ont aussi trouvé comment elle affecte le cerveau.
Exemple d'un message de sécurité de Chrome Cleanup Tool
Durant l’étude, les chercheurs ont demandé à des participants d’accomplir des tâches sur PC pendant qu’un scanner cérébral fonctionnel fMRI a mesuré l’activité du cerveau. L’expérimentation a montré que l’activité neuronale a été considérablement réduite quand un message de sécurité a interrompu une tâche, comparé au moment où l’utilisateur a répondu au message. Les chercheurs ont exploité des données fonctionnelles de l’IRM en collaboration avec une équipe d’ingénieurs de sécurité de Google Chrome pour identifier les meilleurs moments pour afficher des messages de sécurité durant la navigation.
Les développeurs de Chrome Cleanup Tool, un outil de sécurité incorporé dans Chrome pour Windows, ont été impressionnés par les résultats de la recherche. Ils comptent désormais améliorer le timing des messages de sécurité de Chrome durant les prochaines itérations.
Source : BYU
Et vous ?
Voir aussi :
-
XanatosAOMembre régulierD'un côté ça ne me surprend pas tellement, ça fait quand même un certain temps que l'on sait (en tant que dev) que de simples alertes ou messages d'informations ne sont pas lus dans la plupart des cas.
Si l'utilisateur n'y est pas contraint, comme l'annonce cette étude 90% des alertes sont ignorés.
Mais la contrainte (selon l'application et le sensibilité du risque) n'est pas non plus la meilleure solution,
par exemple dans les entreprises il où faut changer son MDP tous les 1, 2 ou 3 mois, et le mot de passe fini par être écrit sur un post-it devant le PC...le 18/08/2016 à 15:09 -
SaverokExpert éminentles alertes ne sont pas affichées aléatoirement mais de manière impromptue, ce qui est très différent.
Personnellement, j'affiche l'erreur lorsqu'elle survient, surtout si elle est bloquante pour l'exécution.
Il en est de même pour les alertes de sécurité car bien souvent, elles bloquent l'exécution d'un script et/ou l'affichage d'une page.
Du coup, tant que l'utilisateur ne la valide pas, l'action est en attente.le 18/08/2016 à 16:40 -
Traroth2Membre émériteEt par se simplifier fortement. Dans ma boite, je dois changer de mdp périodiquement, et bien le mot de passe, ce n'est pas 26?GiEdRé*é#DFt%Te6$57 mais un truc plus simple à retenir...le 18/08/2016 à 16:05
-
OrionosMembre habituéC'est sur que les messages d'erreur dans le genre, l'utilisateur ne devrait pas avoir à y être confronté, donc forcement il a vite tendance à ignorer.
Si le timing est important c'est peut-être aussi que de nombreuses publicité utilisant l'alerte de sécurité pour faire cliquer ("/!\ votre pc à été infecté par un virus, téléchargez myMalware.exe pour le nettoyer /!\"pullulent.
L'utilisateur peu averti qui a déjà du aller voir quelqu'un pour se débarrasser de myMalware.exe, et lâcher 50€, à du mal a faire la différence entre une vraie et une fausse alerte.le 18/08/2016 à 17:52 -
NoPr0nMembre régulierJe pense qu'il y a quelques incomprehension dans certains des commentaires ici (ou alors c'est moi).
L'article et la recherche ne parle pas des alertes de sécurité lorsqu'un programme plante, mais des alertes de mise à jour disponible et ça change tout.
Dans le premier cas, oui, l'alerte s'affiche directement et on est généralement obligé de la prendre en compte mais ce n'est n'est pas forcement les cas pour les alertes de mise à jour. Du coup l'étude devient bien plus interessante.le 19/08/2016 à 9:33 -
l'art souilleMembre régulierQuelle confiance avoir dans les pompiers pyromanes ?
"Comportements étranges" ? Non, sans rire ! Venant de Google ... c'est du pur Novlang.
Par exemple, Google et Yahoo s'échinent à me dissuader (par harcèlements mailesques ou autres) de me protéger contre leurs agissements intrusifs. Ils ont une sainte horreur pour les VPN ou autres brouillages IP... D'après eux, je me mets en danger.
Voui ... et je vous emm...de !le 26/08/2016 à 12:03 -
RyzenOCInactifje trouve ces messages inutile, car dans 90% ils résulte (dans mon cas en tous cas) d'une action que j'ai volontairement fais.
exemple: je lance un .exe avec droit d'admin, oui merci l'uac je le sais très bien.
Je download un programme et mon navigateur/antivirus m'informe que les .exe peuvent endommagé mon ordinateur, oui je le sais très bien
Et pour finir ceux que je trouve nuisible, les messages qui t'avertisse que le logiciel machin.exe à planté, sans blague je l'avais pas remarqué ! et la suite "voulez vous envoyer un rapport d'erreur" non, foutez moi la paix et relance plutôt le soft au lieu de me harceler.
Un peu comme quand tu joue à un jeu vidéo et on t'explique que pour avancée faut appuyer sur tel touche et que courir consiste à marcher plus rapidement.
Le plus drôle c'est que j'ai rarement de message d'alerte quand ces les programmes qui eux même font des trucs que je trouve dangereux, exemple l'envoie de donner "anonyme" sur un serveur tier, recherche d'une maj il le fait tous seul sans me demander mon accord...le 18/08/2016 à 18:37 -
En environnement Microsoft les alertes de sécurité ou d’information ont au moins le mérite d’étoffer nos logs...
Un exemple concret et inoffensif parmi tant d’autres: Cet aprèm j’ai reçu l’appel d’un utilisateur rentré de congés, à la recherche d’un fichier distant édité avant son départ.
Deux minutes de dépilage dans l’observateur d’événements et le fichier était localisé grâce à l’avertissement d’Excel «*Voulez vous enregistrer les modifs…sur toto.xlsx».
On ne pourra jamais lutter contre nos clickers fous ou les nuisances externes… Alors autant les avoir à l’œil.le 18/08/2016 à 22:04 -
TiranusKBXExpert confirmédéjà le principe "d'alertes de sécurité non obligatoires" est fumeuxle 19/08/2016 à 7:23
-
SquisquiEn attente de confirmation mailDe mon point de vue, exécuter une boite noire avec des droits d'administration justifie pleinement l'apparition de messages de sécurité. Mais si cela ne te convient pas, l'UAC se désactive. Mais tu ne verras pas les virus s'exécuter automatiquement avec les droits d'administration lorsque tu brancheras une clé USB infecté (par exemple).le 20/08/2016 à 20:52