IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques

Le , par Annaelle32

131PARTAGES

1  0 
Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques
Selon une étude menée par le Carnegie Mellon University, la plupart des internautes ne sont pas conscients des messages d’avertissement relatifs à la sécurité du site qu’ils sont en train de visiter. Plus surprenant encore : le pourcentage d’internautes qui décident d’ignorer les messages de sécurité affichés varient d’un navigateur à l’autre. Sur certains navigateurs, environ deux internautes sur dix décident de passer outre. Pour d’autres navigateurs, ce taux peut atteindre 100%. Explications !

Mauvaises attitudes des internautes.

Les études ont été menées d’abord en ligne sur un échantillon de 400 internautes pour connaître leurs attitudes vis-à-vis des certificats des sites sécurisés. Puis, les chercheurs du Carnegie Mellon University ont sélectionnés 100 internautes pour une étude plus approfondie en laboratoire. Tous les internautes ayant participé à l’étude reconnaissent l’existence d’un problème de sécurité à l’apparition des messages d’avertissement. Malgré l’avertissement, la majorité des participants continuent leurs visites s’ils se trouvent sur des sites qu’ils considèrent comme étant fiables. Cette méconnaissance des règles de sécurité peut s’avérer dangereuse. En effet, en validant le message de sécurité, l’internaute est censé être sur le site qu’il croit visiter. Mais la réalité peut être tout autre ! Si le site web d’une banque affiche un message rapportant l’invalidité du certificat de sécurité, l’internaute peut être victime d’une attaque cybercriminelle appelée « Man-in-the-middle attack ». Dans ce type d’attaque, le cybercriminel s’interpose entre l’internaute et le site « original » et tente d’amasser le maximum d’informations concernant l’utilisateur.

Des failles observées au niveau des navigateurs.
« Les experts en sécurité savent depuis longtemps l’inefficacité des messages de sécurité affichés par les navigateurs lorsqu’un site rencontre un problème de certificat de sécurité », avoue Jeremiah Grossman, directeur de la technologie au sein de White Hat Security, une société spécialisée en sécurité web. Les utilisateurs ne sont pas pleinement conscients de l’importance de ces certificats de sécurité lorsqu’ils surfent sur Internet. Cette mauvaise attitude des utilisateurs est souvent renforcée par les failles observées au niveau des navigateurs disponibles sur le marché. Presque tous les navigateurs se contentent d’émettre des simples avertissements. Peu de navigateurs tentent de mettent en œuvre un véritable processus pouvant mettre en évidence aux yeux des internautes le véritable danger auquel ils s’exposent. Seul Firefox 3 de Mozilla essaie d’utiliser un langage simple et un meilleur avertissement pour protéger les utilisateurs d’un certificat invalide. D’ailleurs, lors de l’étude, les personnes utilisant ce navigateur ont été les plus promptes à abandonner la visite d’un site ayant affiché un certificat de sécurité invalide.

Des nouvelles formes de messages d’avertissement en cours d’expérimentation
.
Les chercheurs ont aussi expérimenté plusieurs formats de messages d’avertissement qui se sont avérés plus efficaces.

Selon Joshua Sunshine, ces découvertes militent en faveur d’une nouvelle forme de messages mais aussi d’un système capable d’analyser les messages d’erreurs affichés et de bloquer totalement l’accès de l’utilisateur au site incriminé. Les étudiants de Carnegie Mellon University vont diffuser les conclusions de leur recherche le 14 août à Montréal lors de l’Usenix Security Symposium. Qu'en pensez vous?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de gulain
Membre habitué https://www.developpez.com
Le 28/07/2009 à 9:31
Pour répondre, il m'est arrivé de tomber sur de tels messages d'avertissement, mais cela correspondait soit à des sites ayant des certificats auto-signés (autrement dit des certificats qui n'en sont pas), soit des sites ayant des certificats venant d'une autorité inconnue de mon navigateur. Tout cela pour des sites « non dangereux » dans le sens où je ne faisais qu'y lire des informations, sans jamais en donner. Il me semble qu'avant d'éduquer les utilisateurs, il faudrait plutôt éduquer les administrateurs des sites (ou bien faire les deux).
Bloquer un site parce qu'il a un certificat invalide me parait stupide, autant bloquer les sites n'ayant pas de certificat. Peut-être que je me trompe sur ce point, mes connaissances en matière de sécurité sont limitées.
1  0 
Avatar de nausicaä
Membre du Club https://www.developpez.com
Le 28/07/2009 à 9:52
Citation Envoyé par Annaelle32 Voir le message
Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques

Des failles observées au niveau des navigateurs.
« Les experts en sécurité savent depuis longtemps l’inefficacité des messages de sécurité affichés par les navigateurs lorsqu’un site rencontre un problème de certificat de sécurité », avoue Jeremiah Grossman, Directeur de la Technologie au sein de White Hat Security, une société spécialisée en sécurité web. Les utilisateurs ne sont pas pleinement conscients de l’importance de ces certificats de sécurité lorsqu’ils surfent sur Internet. Cette mauvaise attitude des utilisateurs est souvent renforcée par les failles observées au niveau des navigateurs disponibles sur le marché. Presque tous les navigateurs se contentent d’émettre des simples avertissements. Peu de navigateurs tentent de mettent en œuvre un véritable processus pouvant mettre en évidence aux yeux des internautes le véritable danger auquel ils s’exposent. Seul Firefox 3 de Mozilla essaie d’utiliser un langage simple et un meilleur avertissement pour protéger les utilisateurs d’un certificat invalide. D’ailleurs, lors de l’étude, les personnes utilisant ce navigateur ont été les plus promptes à abandonner la visite d’un site ayant affiché un certificat de sécurité invalide.
la propagande à des limites aussi , rien que ce passage est une abération, un certificat non signé est tout aussi sécurisé qu'un certificat signé par un organisme extérieur , car les donnés sont cryptés quand même. si la sécurité c'est juste une vérification DNS, une réponse d'un organisme tiers qui gère de millions de certificats et qui est a 200% dans l'incapacité de certifier que le site internet est fiable ....

la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante

ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!
1  0 
Avatar de BbT0n
Membre régulier https://www.developpez.com
Le 28/07/2009 à 10:13
Il semblerait que 70% des machines des utilisateurs "lambda" soit infesté par des malwaire en tout genre à cause de visite de sur des site pas très saint (chiffre qui sort du livre sur les systèmes d'exploitation de Andrew Tannenbaum)
Je ne pense pas que les personne qui surf de temps à autre veulent ce prendre la tête avec les certificas, technique du man-in-the-middle ou autre, ca peut ce comprendre.

Faut trouver d'autres solutions moins contraignante pour l'internaute, mais en utilisant d'autant plus de transparance je ne pense pas que ce soit trés formateur niveau sécurité pour l'utilisateur...

la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante
Pour la majorité des gens qui ne font pas de l'informatique, si on leurs dit que tout est sécurisé et tout le tralala... ils te dirons que la falsification c'est pas possible car le logiciel dit le contraire
1  0 
Avatar de
https://www.developpez.com
Le 28/07/2009 à 10:22
En étant sous linux, j'ai toujours ignoré ces avertissement, pensant que si mon pc se faisait infecter, les virus ne fonctionnerai pas sous ubuntu.
Sinon, sous windows, j'ai simplement installé antivir, spybot, laissé le parefeu windows, et j'ai déjà eu plusieurs détections de virus, mais je n'ai jamais ressenti mon pc ralenti, ou jamais ressenti de problèmes, c'est pour ça que je néglige les avertissements.
Le jour ou je ressentirai des problèmes, je commencerai peut être alors à faire attention.
1  0 
Avatar de nausicaä
Membre du Club https://www.developpez.com
Le 28/07/2009 à 10:52
Citation Envoyé par cedrix57 Voir le message
En étant sous linux, j'ai toujours ignoré ces avertissement, pensant que si mon pc se faisait infecter, les virus ne fonctionnerai pas sous ubuntu.
Sinon, sous windows, j'ai simplement installé antivir, spybot, laissé le parefeu windows, et j'ai déjà eu plusieurs détections de virus, mais je n'ai jamais ressenti mon pc ralenti, ou jamais ressenti de problèmes, c'est pour ça que je néglige les avertissements.
Le jour ou je ressentirai des problèmes, je commencerai peut être alors à faire attention.
tu peux expliquer en quoi l'utilisation de linux ou d'un antivirus/spybot et compagnie te protège d'une arnaque sur internet dans un site marchant?

tout comme un certificat SSL ne te protège pas, un antivirus ou linux ne fait pas mieux. l'application est distante et l'arnaque se trouve dans la transaction avec un service distant .... si le service avec lequel tu fais une transaction est malveillant alors tu y peux rien !

la sécurité de nous jours repose sur la confiance, mais comment faire confiance à un DNS et à un organisme qui certifie des certificats pour des sites malveillants ?
1  0 
Avatar de eldran64
Membre extrêmement actif https://www.developpez.com
Le 28/07/2009 à 11:47
Il est évident qu'une meilleure information pour les utilisateurs leurs éviteraient bien des problèmes.
J'en connais un certain nombre qui ignorent délibérément les messages d'alertes croyant qu'il s'agit d'une erreur!
1  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 28/07/2009 à 12:18
Citation Envoyé par nausicaä Voir le message
la propagande à des limites aussi , rien que ce passage est une abération, un certificat non signé est tout aussi sécurisé qu'un certificat signé par un organisme extérieur , car les donnés sont cryptés quand même. si la sécurité c'est juste une vérification DNS, une réponse d'un organisme tiers qui gère de millions de certificats et qui est a 200% dans l'incapacité de certifier que le site internet est fiable ....

la signature du certificat à peu ou pas de valeur ! rappelons la possibilité de falsifier des certificats et de les faire reconnaitre par les organisme de validation , voir la source suivante

ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!
Attention à pas aller trop loin dans les affirmations quand même. Les dernières RFC de l'IETF sur les signatures numériques concernent des signatures RSA avec SHA1 comme algo de hash et celui-là est parfaitement fiable. Donc on ne peut pas dire que cette signature numérique ne l'est pas.

Il est évident qu'au bout de la chaine il y a toujours un certificat autosigné et qu'il faut donc accorder une certaine confiance à cette chaine. Tout est basé là dessus de même que la sécurité de tout chiffrement est forcément basée à un moment ou à un autre sur le secret d'un clef privée.

Donc bon ... De la à dire que les signatures numériques ne valent rien ... Il y a un pas que je me garderais bien de franchir.
1  0 
Avatar de Firwen
Membre expérimenté https://www.developpez.com
Le 28/07/2009 à 14:41
N'en déplaise aux fournisseurs d'anti-virus, de pare-feu et d'anti-spyware, un utilisateur bien formé est la meilleur des protections.

La seul methode fiable qui existe pour empêcher un utilisateur de cliquer sur un lien verreux envoyé par email, d'accepter un applet java / activeX provenant d'un site louche, d'utiliser un navigateur Web qui n'a pas eu de mise à jour depuis 6 mois : c'est l'éducation.
1  0 
Avatar de
https://www.developpez.com
Le 28/07/2009 à 17:46
Citation Envoyé par nausicaä Voir le message
tu peux expliquer en quoi l'utilisation de linux ou d'un antivirus/spybot et compagnie te protège d'une arnaque sur internet dans un site marchant?

tout comme un certificat SSL ne te protège pas, un antivirus ou linux ne fait pas mieux. l'application est distante et l'arnaque se trouve dans la transaction avec un service distant .... si le service avec lequel tu fais une transaction est malveillant alors tu y peux rien !

la sécurité de nous jours repose sur la confiance, mais comment faire confiance à un DNS et à un organisme qui certifie des certificats pour des sites malveillants ?
Je n'ai jamais dit que j'avais juste raison. Je dit juste que comme je n'ai jamais eut de problème, je ne fait pas attention, et je pense que c'est le cas de beaucoup d'autres internautes jusqu'au jour où ils leur arrivent un problème.
Maintenant, c'est vrai que je suis jeune, et je n'ai pas encore de carte de crédit, je ne fait jamais d'achat sur internet. Et je tombe rarement sur des sites où je reçoit un avertissement de sécurité.
1  0 
Avatar de kaymak
Membre émérite https://www.developpez.com
Le 29/07/2009 à 11:13
ce genre d'étude s'apparente plus à du marketing pour les sociétés qui gèrent des CA qu'autre chose!
Oui et non. Dans un monde ou on étudie l'ergonomie du bouton, qui se situe au bout de ton index de la main droite, le bouton de souris gauche, étudier et améliorer la capacité de communication d'un message d'alerte est une entreprise très louable.
Tout autant que ..... de se gratter le *** ?

Non pas avec cet index ^^!
1  0