image: This is Polytechnique student Fanny Lalonde Lévesque, who is writing her master's thesis on this project, and professor José Fernandez. view more
Credit: Polytechnique Montréal
Ce communiqué est disponible en anglais.
Montréal, le 16 décembre 2013 - Installer un logiciel de sécurité informatique, mettre à jour régulièrement ses applications ou ne pas ouvrir les courriels provenant d'expéditeurs inconnus ne sont que quelques exemples de comportements qui contribuent à réduire les risques d'infection par les logiciels malveillants. Toutefois, même les utilisateurs les plus avertis sont vulnérables aux attaques utilisant des failles inconnues. Qui plus est, les meilleures contre-mesures de sécurité peuvent être contrecarrées à la suite de mauvaises décisions des utilisateurs.
« La réalité est que le succès des attaques par des logiciels malveillants dépend à la fois des facteurs technologiques et des facteurs humains. Bien qu'il existe une quantité significative de travaux portant sur les aspects techniques, très peu portent sur le comportement usager et comment ce dernier affecte les logiciels malveillants et les mesures de défense. Par conséquent, nul n'est actuellement en mesure de quantifier l'importance relative de ces facteurs. Par exemple, est-ce que les usagers plus âgés et moins connaisseurs en informatique sont plus susceptibles de se faire infecter? », explique le Pr José Fernandez. Il devient nécessaire d'évaluer adéquatement non seulement l'impact des facteurs à caractère technologique mais aussi celui des facteurs humains dans la réussite ou l'échec des mécanismes de protection.
L'équipe du Pr Fernandez s'est s'inspirée de la méthode des essais cliniques afin de réaliser une première étude appliquée à la sécurité informatique permettant de répondre à ce type de question. À l'instar des études médicales qui évaluent l'efficacité d'un traitement, l'expérience réalisée visait à évaluer les performances d'un logiciel antivirus ainsi que la susceptibilité des participants à se faire infecter par des logiciels malveillants. L'expérience d'une durée de quatre mois a impliqué le recrutement de 50 sujets. Ces derniers ont accepté d'utiliser des ordinateurs portables préalablement instrumentés afin de suivre l'état de santé de l'ordinateur et d'obtenir des données sur le comportement usager. « L'analyse de ces données nous a permis non seulement d'identifier les usagers les plus à risque en fonction de leurs caractéristiques et de leur comportement, mais aussi de quantifier l'efficacité réelle de différentes mesures de protection », souligne Fanny Lalonde Lévesque, étudiante à Polytechnique, qui a consacré son mémoire de maîtrise à ce projet.
Cette étude pilote a permis d'obtenir des résultats fort intéressants sur l'efficacité des défenses ainsi que sur les facteurs de risque d'infection. Par exemple,38 % des usagers ont été exposés aux logiciels malveillants et 20 % ont été infectés malgré le fait qu'ils étaient tous protégés par le même produit antivirus, mis à jour régulièrement. En ce qui concerne les usagers, il ne semblerait pas y avoir de différence significative entre le taux d'exposition chez les hommes et les femmes. De plus, les usagers plus à l'aise avec les technologies de l'information se sont avérés être le groupe plus à risque... Ce résultat peut sembler contre-intuitif, car il va à l'encontre de l'avis de certains experts en informatique qui avancent qu'il serait utile d'imposer un « permis Internet » aux usagers qui y naviguent. « En effet, les résultats de cette étude nous amènent à des réflexions intrigantes. Est-ce que ces usagers "experts" sont plus à risque à cause d'un faux sentiment de sécurité, ou plutôt parce qu'ils sont naturellement curieux et donc plus tolérants au risque? D'autres travaux de recherche sont nécessaires pour bien comprendre les causes de ce phénomène, dans le but de mieux éduquer et de sensibiliser les usagers », mentionne le Pr Fernandez. Ce type d'étude pourra dans le futur contribuer à fournir des données scientifiques appuyant la prise de décision sur la gestion de la sécurité, l'éducation, la réglementation et même les assurances en sécurité informatique. Une seconde phase, qui implique des centaines d'utilisateurs sur plusieurs mois, est déjà en cours de préparation.
Les premiers résultats de cette expérience ont étés présentés lors la conférence ACM Computer and Communications Security (CCS) qui a eu lieu en novembre 2013 à Berlin, en Allemagne.
Ces travaux de recherche ont été réalisés grâce à l'appui financier de ISSNet, le réseau stratégique du Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) sur la sécurité des systèmes en réseau, de Trend Micro et de MITACS.
À propos de Polytechnique Montréal
Fondée en 1873, Polytechnique Montréal est l'un des plus importants établissements d'enseignement et de recherche en génie au Canada. Polytechnique occupe le premier rang au Québec pour le nombre de ses étudiants aux cycles supérieurs et l'ampleur de ses activités de recherche. Avec plus de 41 400 diplômés, Polytechnique Montréal a formé près du quart des membres actuels de l'Ordre des ingénieurs du Québec. L'institution donne son enseignement dans 15 disciplines du génie. Polytechnique compte 248 professeurs et plus de 7500 étudiants. Son budget annuel de fonctionnement s'élève à plus de 200 millions de dollars, dont un budget de recherche de 82 millions de dollars.
Source et renseignements :
Annie Touchette
Conseillère principale en communications
Polytechnique Montréal
T. 514 340-4415
C. 514 231-8133
annie.touchette@polymtl.ca