‘Nous en avons assez des mesures de sécurité’

© iStock
Els Bellens

Etre constamment aux abois et inventer/retenir des mots de passe toujours plus complexes, c’est trop fatigant. Voilà ce qui ressort d’une étude de l’US National Institute of Standards & Technology (NIST).

Un mot de passe de huit caractères contenant au minimum une capitale, un chiffre et un signe de ponctuation. Un autre mot de passe de 10 caractères avec des capitales, des chiffres et des signes de ponctuation, mais pas de ? ou de ! Cela, plus tout un éventail d’avertissements en matière de cyber-sécurité génèrent une ‘security fatigue’ (lassitude sécuritaire). Au bout d’un certain temps, nous n’avons plus envie d’encore nous protéger, selon le NIST dans une nouvelle étude.

Quiconque se souvient encore des excessivement zélées alertes de sécurité de feu Windows Vista, ne le sait que trop bien: trop, c’est trop. Souvent, cela a même un effet inverse. Le NIST a observé que nombre de personnes suivies ignoraient les avertissements lors d’une surabondance d’infos de sécurité. “Nous n’étions même pas en train de rechercher des traces de fatigue dans nos interviews, mais nous avons quand même ressenti une énorme sensation d’épuisement au fil du temps”, explique la spécialiste en IT Mary Theofanos, l’un des experts qui coordonna l’étude.

En plus des mises en garde, les personnes testées indiquaient qu’elles étaient lasses en raison des nombreux mots de passe qu’elles devaient retenir. “Il n’y a guère, il ne fallait se souvenir que d’un seul mot de passe, alors qu’à présent, il y en a 25 ou 30”, ajoute Theofanos. Et de déclarer que beaucoup de personnes se sentaient aussi frustrées par les obstacles de sécurité par-dessus lesquels elles devaient sauter pour accéder à ‘leur but’ sur les services bancaires en ligne et d’autres sites web par exemple. “Nous n’avons jamais vraiment réfléchi à l’impact de toute cette sécurité galopante sur les personnes mêmes”, dit encore Theofanos.

Monsieur Tout-le-Monde

Pour son étude, le NIST a interviewé un large groupe d’Américains de 20 à 60 ans exerçant des fonctions bien et moins bien rémunérées. Il en est ressorti un affolant fatalisme vis-à-vis de la cyber-sécurité. Quelques personnes interviewées ne croyaient pas pouvoir faire quelque chose pour échapper à une attaque, et baissaient donc les bras. D’autres se demandaient pourquoi un pirate s’en prendrait à elles, étant donné qu’elles ne travaillaient pas dans les pouvoirs publics ou dans des entreprises financières. Rares étaient celles qui connaissaient des utilisateurs qui avaient fait face à une attaque de piratage.

L’actualité des grandes entreprises, comme les concessions faites récemment par Yahoo, exerce également un impact. Comment des personnes ordinaires peuvent-elles se protéger, alors que de grandes firmes disposant d’un gigantesque budget sécuritaire n’y parviennent elles-mêmes pas? Telle était la question qu’elles se posaient.

Selon les chercheurs, tout cela engendre des réactions comme la non-prise de décisions, où les gens choisissent des options faciles et impulsives et ne suivent pas les règles de sécurité. L’étude invite par conséquent les sites web et les services en ligne à revoir la manière dont ils considèrent la sécurité et à réduire ainsi la pression exercée sur les utilisateurs. Elle conseille ainsi de limiter le nombre de décisions sécuritaires qu’un utilisateur doit prendre, de lui simplifier la vie en choisissant l’option voulue, et de garrder consistantes les décisions là où c’est possible. “Si des gens ne peuvent utiliser la sécurité, elles ne vont certainement pas le faire”, conclut le co-auteur de l’étude Brian Stanton.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire