Première étude clinique en sécurité informatique réalisée à Polytechnique Montréal
Évaluer la susceptibilité d'un utilisateur à se faire infecter en
fonction de ses caractéristiques, des mesures de protection qu'il adopte et de son comportement usager. Tel est le défi que
s'est donnée l'équipe du Pr José M. Fernandez en réalisant la première étude clinique appliquée à la
sécurité informatique, une première à l'échelle mondiale.
Installer un logiciel de sécurité informatique, mettre à jour régulièrement ses applications ou ne pas ouvrir les courriels provenant d'expéditeurs inconnus ne sont que quelques exemples de comportements qui contribuent à réduire les risques d'infection par les logiciels malveillants. Toutefois, même les utilisateurs les plus avertis sont vulnérables aux attaques utilisant des failles inconnues. Qui plus est, les meilleures contre-mesures de sécurité peuvent être contrecarrées à la suite de mauvaises décisions des utilisateurs.
« La réalité est que le succès des attaques par des logiciels malveillants dépend à la fois des facteurs technologiques et des facteurs humains. Bien qu'il existe une quantité significative de travaux portant sur les aspects techniques, très peu portent sur le comportement usager et comment ce dernier affecte les logiciels malveillants et les mesures de défense. Par conséquent, nul n'est actuellement en mesure de quantifier l'importance relative de ces facteurs. Par exemple, est-ce que les usagers plus âgés et moins connaisseurs en informatique sont plus susceptibles de se faire infecter? », explique le Pr José Fernandez. Il devient nécessaire d'évaluer adéquatement non seulement l'impact des facteurs à caractère technologique mais aussi celui des facteurs humains dans la réussite ou l'échec des mécanismes de protection.
L'équipe du Pr Fernandez s'est s'inspirée de la méthode des essais cliniques afin de réaliser une première étude appliquée à la sécurité informatique permettant de répondre à ce type de question. À l'instar des études médicales qui évaluent l'efficacité d'un traitement, l'expérience réalisée visait à évaluer les performances d'un logiciel antivirus ainsi que la susceptibilité des participants à se faire infecter par des logiciels malveillants. L'expérience d'une durée de quatre mois a impliqué le recrutement de 50 sujets. Ces derniers ont accepté d'utiliser des ordinateurs portables préalablement instrumentés afin de suivre l'état de santé de l'ordinateur et d'obtenir des données sur le comportement usager. « L'analyse de ces données nous a permis non seulement d'identifier les usagers les plus à risque en fonction de leurs caractéristiques et de leur comportement, mais aussi de quantifier l'efficacité réelle de différentes mesures de protection », souligne Fanny Lalonde Lévesque, étudiante à Polytechnique, qui a consacré son mémoire de maîtrise à ce projet.
Cette étude pilote a permis d'obtenir des résultats fort intéressants sur l'efficacité des défenses ainsi
que sur les facteurs de risque d'infection. Par exemple,
38 % des usagers ont été exposés aux logiciels malveillants et 20 % ont été infectés malgré le fait qu'ils étaient tous
protégés par le même produit antivirus, mis à jour régulièrement. En ce qui concerne les usagers, il ne semblerait pas y avoir
de différence significative entre le taux d'exposition chez les hommes et les femmes. De plus, les usagers plus à l'aise
avec les technologies de l'information se sont avérés être le groupe plus à risque... Ce résultat peut sembler
contre-intuitif, car il va à l'encontre de l'avis de certains experts en informatique qui avancent qu'il serait utile d'imposer
un « permis Internet » aux usagers qui y naviguent. « En effet, les résultats de cette étude nous amènent à des réflexions
intrigantes. Est-ce que ces usagers "experts" sont plus à risque à cause d'un faux sentiment de sécurité, ou plutôt parce
qu'ils sont naturellement curieux et donc plus tolérants au risque? D'autres travaux de recherche sont nécessaires pour
bien comprendre les causes de ce phénomène, dans le but de mieux éduquer et de sensibiliser les usagers », mentionne le
Pr Fernandez. Ce type d'étude pourra dans le futur contribuer à fournir des données scientifiques appuyant la
prise de décision sur la gestion de la sécurité, l'éducation, la réglementation et même les assurances en sécurité
informatique. Une seconde phase, qui implique des centaines d'utilisateurs sur plusieurs mois, est déjà en cours de
préparation.
Les premiers résultats de cette expérience ont étés présentés lors la conférence ACM Computer and Communications Security (CCS) qui a eu lieu en novembre 2013 à Berlin, en Allemagne.
Ces travaux de recherche ont été réalisés grâce à l'appui financier de ISSNet, le réseau stratégique du Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) sur la sécurité des systèmes en réseau, de Trend Micro et de MITACS.
À propos de Polytechnique Montréal
Fondée en 1873, Polytechnique Montréal est l'un des plus importants
établissements d'enseignement et de recherche en génie au Canada. Polytechnique occupe le premier rang au Québec pour le nombre
de ses étudiants aux cycles supérieurs et l'ampleur de ses activités de recherche. Avec plus de 41 400 diplômés, Polytechnique
Montréal a formé près du quart des membres actuels de l'Ordre des ingénieurs du Québec. L'institution donne son enseignement
dans 15 disciplines du génie. Polytechnique compte 248 professeurs et plus de 7500 étudiants. Son budget annuel de
fonctionnement s'élève à plus de 200 millions de dollars, dont un budget de recherche de 82 millions de dollars.
-30-
Source et renseignements :
Annie Touchette
Conseillère principale en communications
Polytechnique Montréal
T. 514 340-4415
C. 514 231-8133
annie.touchette@polymtl.ca
