Experts et utilisateurs divergent sur les pratiques de sécurité en ligne
Les experts n'ont pas la même approche que utilisateurs sur les comportements à adopter pour se protéger sur le web, ainsi que le fait apparaître une récente enquête de Google. Les premiers misent sur l'authentification à deux facteurs et les gestionnaires de mots de passe, les seconds privilégient les antivirus et les mots de passe forts à changer fréquemment.
Selon un nouveau rapport de Google, les experts en sécurité et les utilisateurs ont une approche radicalement différente de la sécurité. Au terme de l'étude, pour laquelle le géant de la recherche a interrogé 231 experts en sécurité - ayant plus de cinq années de pratique dans la sécurité informatique - et 294 utilisateurs du web, il s'avère que, pour les experts, les trois meilleures pratiques de la sécurité en ligne consistent à tenir ses logiciels à jour, choisir des mots de passe uniques et opter pour une authentification à deux facteurs. Mais les priorités des utilisateurs sont différentes : pour eux, le plus important est d'avoir un logiciel antivirus, de choisir des mots de passe forts et de les changer fréquemment. Les utilisateurs reconnaissent également qu'ils remettent souvent à plus tard la mise à jour de leurs logiciels et se disent méfiants à l'égard des gestionnaires de mot de passe. « Si nous voulons faire en sorte que les recommandations de sécurité soient mieux suivies, notre communauté doit connaître les pratiques des utilisateurs et délivrer des conseils qui peuvent avoir le meilleur impact en terme de bénéfice tout en restant réalistes sur ce que nous pouvons demander et attendre des utilisateurs », indique le rapport. « Les précautions préconisées par les experts interrogés ont été validées comme de bonnes pratiques par d'autres experts, mais les bonnes pratiques préconisées par les non-experts ont été moins bien notées ».
Voici, en quatre points, les domaines où les divergences sont les plus notables.
1 - Les utilisateurs négligent de mettre à jour leurs logiciels
Selon le rapport, la question de la mise à jour des logiciels fait apparaître une grande divergence entre experts et utilisateurs. 35 % des experts considèrent en effet que cette pratique est capitale pour la sécurité, contre seulement 2 % des non-experts. C'est la première action prise par les experts interrogés pour améliorer la sécurité sur le web, alors que cette option n'arrive même pas dans les 5 premières pratiques choisies par les utilisateurs. Le manque de vigilance de ces derniers par rapport aux mises à jour de logiciels est aussi accentué par le fait suivant : 39 % des experts, contre 29 % des utilisateurs, ont opté pour l'installation automatique des mises à jour de sécurité.
Par ailleurs, plus de la moitié des utilisateurs interrogés doute de l'efficacité des mises à jour, même si les deux tiers d'entre eux se disent prêts à suivre cette pratique. « Nos résultats suggèrent que l'une des raisons pour lesquelles les non-experts n'appliquent pas les mises à jour, c'est qu'ils pensent qu'elles ne sont pas efficaces », indique le rapport. Parmi les réponses données par les utilisateurs interrogés, certains avancent que les mises à jour peuvent être utilisées pour diffuser du contenu malveillant ou qu'elles contiennent des bugs. D'autres trouvent simplement que le processus de mise à jour des logiciels est « trop contraignant ».
2 - Les utilisateurs ont davantage confiance dans les logiciels antivirus
Si pour la majorité des utilisateurs, la priorité n'est pas de tenir à jour leurs logiciels, ils estiment par contre qu'un logiciel antivirus leur offre plus de garanties, et cette pratique arrive en haut de leur liste. 42 % ont déclaré qu'ils avaient un logiciel antivirus opérationnel sur leurs ordinateurs personnels, et 90 % estiment qu'il est efficace ou très efficace. Au contraire, seuls 7 % des experts ont cité les logiciels antivirus dans leur liste de priorité. « La très large adoption d'un logiciel antivirus parmi les non-experts et leur application à suivre ce conseil vient peut-être de la facilité d'installation des solutions proposées par les éditeurs, et le fait que l'opération est réalisée une fois pour toutes », indique le rapport.
Les pare-feu sont également très prisés des utilisateurs : 17 % d'entre eux mentionnent cette solution dans leurs trois premières actions de sécurité les plus importantes, contre 3 % des experts, souvent en conjonction avec un logiciel antivirus. Les experts mettent en garde contre les logiciels antivirus et les pare-feu. Selon eux, ce sont des solutions « simples et moins efficaces que d'installer les mises à jour » et « pas assez sophistiquées » pour assurer une bonne protection en ligne.
3 - D'accord pour des mots de passe forts, mais sans gestionnaire de mots de passe
Même si experts et utilisateurs s'entendent sur le choix de mots de passe forts pour protéger leur sécurité et placent tous deux cette pratique dans leurs priorités (experts : 18 % ; utilisateurs : 30 %), ils diffèrent sur d'autres pratiques. Par exemple, les experts accordent une plus grande valeur aux mots de passe uniques (25 % contre 15 % côté utilisateurs), alors que les utilisateurs estiment qu'il est important de changer régulièrement de mots de passe (21 % contre 2 % côté experts). Malgré l'importance donnée aux mots de passe, peu d'utilisateurs s'intéressent aux gestionnaires de mots de passe, comme le relève le rapport. Quatre fois plus d'experts estiment que les gestionnaires de mots de passe sont très importants et ils les utilisent pour protéger leur navigation en ligne. « Un grand nombre d'experts y ont recours pour stocker leurs identifiants, alors que la majorité des non-experts écrivent leurs mots de passe dans un document, les mémorisent ou réutilisent les mêmes », indique encore le rapport. « Le faible taux d'adoption des gestionnaires de mots de passe parmi les non-experts est peut-être lié à un manque de compréhension des bénéfices qu'ils peuvent apporter en matière de sécurité ».
Le décalage entre les deux groupes à propos des gestionnaires de mots de passe est même encore plus marqué : interrogés sur l'efficacité de ces outils, 32 % des utilisateurs ont déclaré qu'ils les considéraient comme très efficaces ou efficaces, mais 40 % seulement d'entre eux sont prêts à les utiliser. La plupart trouvent qu'ils sont « compliqués pour des non-experts ». Par contre, si ces outils ne figurent pas parmi leurs priorités, la plupart d'entre eux accordent beaucoup plus de crédit à l'authentification à deux facteurs, aussi bien en termes d'efficacité (83 %) que d'intérêt à suivre une telle pratique (74 %). De leur côté, les experts se disent préoccupés par le fait que l'authentification à deux facteurs reste encore trop compliquée à mettre en oeuvre pour tout un chacun et qu'elle n'est pas assez répandue.
4 - Les utilisateurs ne visitent que des sites web connus
Selon le rapport de Google, la plupart des utilisateurs se soucient plus de la notoriété et de la réputation d'un site web que les experts, même s'ils ne se respectent pas toujours strictement cette pratique. Dans leurs priorités, ils classent la visite des sites web connus après l'usage des logiciels antivirus, les mots de passe forts et le changement régulier de mots de passe. La pratique est citée par 21 % des utilisateurs interrogés par Google, contre seulement 4 % des experts. Ces derniers se disent réservés sur la modalité : « Se limiter à la navigation sur des sites web connus est sans doute une bonne chose, mais c'est très contraignant », a répondu l'un d'eux.
Selon un autre expert, « aller sur des sites web dont on a entendu parler ne fait guère de différence dans le web moderne, remplis de publicités et de requêtes cross-sites ». Cette pratique, très prisée par la majorité des utilisateurs, n'a pas la faveur des experts : seuls 7 % d'entre eux disent qu'ils ne visitent que des sites connus, alors que 19 % le font rarement. Ces résultats laissent penser que « la navigation limitée à des sites web connus n'est pas forcément très pratique », indique encore le rapport.