La sécurité informatique a-t-elle besoin de plus de psychologie ?

Peter Gutmann, informaticien de renom, a expliqué comment le cerveau humain gère réellement la sécurité informatique à l'occasion de l'université d'été de l'Union européenne. FH Campus Vienne. Il plaide pour plus de psychologie dans la sécurité informatique. Pour Gutmann, une chose est sûre : "L'esprit des personnes 'normales' fonctionne de manière totalement différente de celui des personnes qui développent des logiciels informatiques". Cette différence conduit à ce que les développeurs considèrent souvent les utilisateurs et leur approche de la sécurité comme "irrationnels" et "non logiques". Les développeurs continuent à accorder plus d'importance à la logique et à la probabilité qu'à la psychologie du cerveau humain lors du développement de logiciels. Pourtant, c'est justement cette dernière qui offre des modèles et des explications sur la manière dont les utilisateurs pensent et pourquoi ils ne peuvent pas gérer les fonctions et les indications de sécurité.

Par des geeks pour des geeks

Les applications de sécurité sont développées "par des geeks pour des geeks". "Les développeurs ne sont pas assez conscients du fait que l'utilisateur moyen ne peut pas s'en sortir avec leur logique", explique Peter Gutmann. En tant qu'informaticien, il s'intéresse depuis une dizaine d'années à l'importance de la psychologie dans le développement de logiciels de sécurité. Selon son expérience, éduquer les utilisateurs ne fonctionne pas. Les développeurs devraient plutôt apprendre l'importance d'intégrer la psychologie de la pensée et de l'action humaines dans le développement de logiciels de sécurité.

La psychologie rencontre la sécurité

A l'aide de plusieurs modèles psychologiques, Peter Gutmann a expliqué dans son exposé pourquoi les utilisateurs ne peuvent souvent pas gérer les logiciels de sécurité : Les gens ne prennent pas de décisions économiques en choisissant la meilleure option parmi une multitude de possibilités sur la base d'un raisonnement logique. Au contraire, ils développent sous pression et avec des objectifs peu clairs une solution après l'autre et prennent ensuite la première qui fonctionne (modèle d'évaluation singulier). Ils préfèrent des procédures simples pour résoudre les problèmes et n'utilisent pas de processus de prise de décision très complexes. C'est pourquoi les utilisateurs ne seraient pas en mesure de prendre des décisions "logiques" en matière de sécurité du point de vue du développeur.

Les gens réagissent aux situations soit de manière contrôlée, lente et réfléchie, soit de manière automatique, rapide, peu réfléchie et sans vraiment se rendre compte de ce qu'ils font. C'est pourquoi les utilisateurs cliqueraient automatiquement sur les avertissements sans trop y réfléchir. Les gens peuvent trouver des explications plausibles et continuer à y croire même lorsqu'ils savent depuis longtemps que leurs conclusions sont fausses. Les utilisateurs trouveraient ainsi des explications plausibles aux sites de phishing.

Les gens traitent moins bien les informations négatives que les informations positives. Et ils ne perçoivent les objets et les détails que lorsque leur attention a été attirée sur eux (cécité d'inattention). Par conséquent, les utilisateurs ont du mal à assimiler les avertissements et les consignes de sécurité formulés de manière négative et tous les types de consignes de sécurité (boîtes de dialogue, barres, boîtes à outils) sont souvent imperceptibles.

Apprendre des utilisateurs

Peter Gutmann considère son approche comme une contribution à la prise de conscience des développeurs. Il recommande d'impliquer davantage de non-geeks dans le développement de logiciels de sécurité : "Pour savoir comment les gens 'normaux' pensent et gèrent les conseils de sécurité, les développeurs devraient observer ce que font réellement les utilisateurs et comment ils utilisent les fonctions de sécurité. Ils devraient demander aux utilisateurs ce dont ils ont besoin. Ce serait un premier pas important vers une plus grande convivialité dans le domaine de la sécurité informatique".

Peter Gutmann est informaticien et fait de la recherche au département d'informatique de l'université d'Auckland en Nouvelle-Zélande. Il s'intéresse à la sécurité informatique et aux méthodes de cryptage. Ses recherches se concentrent sur la conception et l'analyse de systèmes de sécurité. Peter Gutmann a développé cryptlib, un logiciel de cryptage multi-plateforme open source, et est co-développeur du programme de cryptage PGP2.0. Il est l'auteur de nombreuses publications spécialisées dans ce domaine. Peter Gutmann est l'inventeur de la méthode Gutmann, publiée pour la première fois en 1996 et qui porte son nom, pour l'effacement complet des données sur les supports de stockage électroniques.

Peter Gutmann était récemment l'invité du centre de compétence pour la sécurité informatique de l'école supérieure Campus de Vienne et a tenu une conférence sur le thème "The Psychology of Computer Insecurity" dans le cadre de la série de manifestations "Campus Lectures".

Sécurité informatique à la FH Campus Wien

Le centre de compétence pour la sécurité informatique de la FH Campus Wien recherche et développe - en collaboration avec des entreprises - de nouvelles approches de solutions pour la transmission de données à l'abri des écoutes et des manipulations. Les points forts de la recherche sont la cryptographie sur les dispositifs à contraintes ou les systèmes embarqués, le chiffrement par recherche et la sécurité des protocoles cryptographiques.

Les résultats de la recherche du centre de compétence pour la sécurité informatique profitent directement aux programmes d'études dans le domaine des technologies de l'information et des télécommunications, en particulier au master en cours d'emploi IT-Security. Il forme les étudiants en quatre semestres en tant que spécialistes des aspects techniques de la sécurité ou du "facteur humain de sécurité". Le délai de candidature est fixé au 31 juillet 2016. En savoir plus ici