Des risques d’infections accrus

Les pirates et les firmes de sécurité informatique se livrent à une véritable  course aux armements. Les premiers adaptent leurs techniques afin d'exploiter de nouvelles vulnérabilités, prendre avantage des nouvelles technologies et éviter la détection des logiciels antivirus. Les secondes développent des solutions de protection plus complexes contre ces nouvelles menaces, en combinant plusieurs couches de protection, voire en intégrant des pare-feu ou des systèmes de prévention d'intrusion. Cependant, il existe un facteur que ni les uns ni les autres ne peuvent contrôler, soit le comportement de l’usager lui-même.

L’impact des facteurs comportementaux

« Les utilisateurs sont plus vulnérables que jamais, non tant à cause de l’augmentation des menaces qu’en raison de leurs propres actions, telles que l'ouverture d'une pièce jointe infectée ou la visite d'un site Internet malveillant, ou encore le fait de ne pas tenir à jour leurs applications », déclare le Pr José M. Fernandez, expert en sécurité informatique au Département de génie informatique et de génie logiciel.

Comment alors évaluer l’efficacité des antivirus ? « Les méthodes traditionnelles d'évaluation se basent essentiellement sur des tests automatisés réalisés en laboratoire dans des environnements contrôlés », mentionne le Pr Fernandez. « Ces tests font abstraction de plusieurs facteurs tels que l'interaction de l’utilisateur, l'évolution des menaces et la configuration de l’ordinateur et de l'environnement. Ils ne permettent donc pas une évaluation des performances des produits dans un contexte réel d'utilisation.»

Une méthodologie empruntée aux sciences médicales

Le Pr Fernandez et son équipe ont voulu étudier l'impact du comportement de l’utilisateur, ainsi que sa perception des menaces et son expérience en informatique sur la réussite ou l'échec des méthodes de protection. Ils ont développé et mis en pratique une méthodologie de test inspirée des études cliniques sur sujets humains. Cette approche, une première dans le domaine de la sécurité informatique, a consisté à confier des ordinateurs à un groupe de participants, en les invitant à les utiliser dans leur contexte habituel. Un antivirus était installé sur les ordinateurs et ceux-ci étaient configurés de façon à collecter des données sur le comportement des utilisateurs et à déterminer l’efficacité de l'antivirus.

Des premiers résultats probants

50 participants, présentant des profils divers, ont été suivis durant quatre mois. « Cette première étude nous a permis d’identifier plusieurs facteurs de risque concernant le comportement de l’utilisateur, comme le nombre d'applications installées, le temps de connexion, le nombre d'hôtes contactés et de sites Web visités », explique Fanny Lalonde Lévesque, associée de recherche à Polytechnique, qui a consacré son mémoire de maîtrise à ce projet. « Cette étude a confirmé que plusieurs catégories de sites Web légitimes présentent des risques plus élevés pour l'utilisateur, tels que les sites de jeux vidéo/MP3 ou les sites de téléchargement logiciels, entre autres. L’identification de certains comportements et caractéristiques d’utilisateurs associés à un risque d'infection plus élevé a pu contredire certaines idées préconçues. Par exemple, les utilisateurs ayant un niveau d'expertise élevé en informatique seraient davantage exposés au risque, alors que l'âge, le genre, le statut et le domaine d'activité n'auraient pas d'impact significatif. Un geek serait donc potentiellement plus à risque que votre grand-mère ! »

Les prochaines étapes envisagées par l’équipe du Pr Fernandez impliqueront entre autres d’élargir le nombre de participants ainsi que la durée de l’expérience. À l’avenir, ce type d’étude pourrait fournir des données scientifiques qui permettront d’appuyer la prise de décision sur la gestion de la sécurité, l’éducation, la réglementation et même les assurances en sécurité informatique.