Les internautes ignorent en grande partie les signaux d’avertissement émis par les navigateurs qui leur permettent de vérifier l’authenticité et la fiabilité des sites web qu’ils visitent, selon les chercheurs.
Dans le cadre d’une étude effectuée par les universités de Berkeley et d’Harvard, un groupe de testeurs n’a pas réussi à identifier 40 pour cent des sites web comme étant frauduleux. Et 91 pour cent des testeurs ont considéré à tort un site web d’une banque en ligne comme légitime.Le rapport portait sur un groupe de 22 participants et de 20 sites web. Il était demandé aux premiers de déterminer quels sites étaient frauduleux. Les certificats de sécurité provenant d’une Certificate Authority agréée représentent aujourd’hui la seule méthode permettant de vérifier l’authenticité d’un site web. Le certificat indique que le trafic internet est crypté et affiche l’URL du site web au bas d’une fenêtre, ce qui permet aux utilisateurs de contrôler qu’ils se trouvent bien sur le site web qu’ils veulent visiter.Dans le navigateur Firefox et le prochain Internet Explorer 7, la barre d’adresse changera en outre de couleur selon le niveau de sécurité de l’URL. Les développeurs de navigateurs sont actuellement en train de mettre au point un standard ‘cross-browser’.Les sujets testés dans l’étude ignorent largement les fonctions de verrouillage et de la barre d’adresse, et peu sont au courant du rôle des Certificate Authorities. Par contre, ils utilisent le contenu des pages web comme une solution initiale pour juger de l’authenticité des sites et se font ainsi berner par des sites web de phishing (hameçonnage) bien construits.Les chercheurs attribuent ces piètres résultats à un manque de connaissance informatique générale et/ou à une ignorance de la sécurité et des indicateurs de sécurité et recommandent que les concepteurs de logiciels accordent une plus grande attention à l’utilisateur plutôt que de se focaliser sur la technologie de la sécurité: “Notre étude suggère qu’une approche différente soit utilisée dans le design des systèmes de sécurité. […] Un design exploitable doit tenir compte de ce que les gens font bien et de ce qu’ils ne font pas bien.”