Les messages d’avertissement sont-ils inutiles ?

Un tel comportement rend les appareils des utilisateurs vulnérables aux mauvaises configurations et fait d’eux des proies faciles pour les cyber-criminels. Leurs attaques nécessitent en effet   l’intervention des utilisateurs pour permettre le téléchargement de contenus malveillants et ouvrir la voie à toutes sortes de techniques d’ingénierie sociale.

Début avril, Ars Technica a évoqué une nouvelle étude scientifique qui démontre que ce ne sont finalement pas les utilisateurs qui sont fautifs : c’est tout simplement le système mis en place par les éditeurs  et les fabricants qui pousserait notre cerveau à ignorer ces avertissements après les avoir vus plus d’une fois. Les chercheurs montrent qu’ignorer des messages d’avertissement, en cliquant répétitivement sur ‘suivant’ ou ‘OK’ ou ‘j’accepte les conditions’ sans les avoir lues, par exemple, est plus une fonction biologique qu’une volonté délibérée.

Les expériences se sont concentrées sur la prédisposition des personnes à répéter une réponse connue, qu’on appelle l’habituation, qui correspond à une sorte d’engourdissement des neurones face à un stimulus identique. Et de la même manière qu’une personne habitant près d’un aéroport finit par ne plus entendre les avions qui passent au dessus de sa tête, une exposition répétée à des éléments tels que des messages d’avertissement, par exemple pour  avertir d’une connexion non sécurisée,provoque une réaction similaire dans le cerveau : on ne les remarque plus. Les équipes de sécurité étaient jusqu’alors assez conscientes de l’existence de ce phénomène, mais de façon seulement théorique ; il y a dorénavant des preuves scientifiques pour appuyer et expliquer cette thèse.

Dans l’article "How Polymorphic Warnings Reduce Habituation in the Brain—Insights from an fMRI Study", des scientifiques ont analysé des images obtenues à l’aide de l’imagerie par résonance magnétique fonctionnelle (IRMF) sur des utilisateurs pendant qu’ils étaient exposés à des messages d’avertissement.

« Nos résultats montrent une chute considérable de l’utilisation de centres du cerveau qui régissent le processus visuel lors de la seconde exposition à un message d’avertissement, et une diminution encore plus importante après les expositions suivantes ».

Ils sont ainsi convaincus que ce problème pourrait être résolu en partie en changeant l’apparence des messages afin de réduire l’habituation générée par les messages d’avertissement conventionnels. Ces changements concernent la taille et la couleur du texte, la taille de la boîte de dialogue, sa couleur de fond et la bordure entourant la boîte de dialogue contenant l’avertissement. Les scientifiques ont cependant souligné que leur recherche ne concernait pas l’éventuel changement de taux de clic des utilisateurs, mais se concentrait plutôt sur l’habituation.

Cela pose d’intéressantes questions pour la conception des futures interfaces utilisateurs, même si les  développeurs/ergonomes devront peut être avoir à gérer une conséquence inattendue de la création de messages d’alerte polymorphes. Dans l’état actuel des choses, les pirates informatiques tirent profit du système d’alerte en employant des faux messages d’alerte qui convainquent les utilisateurs de télécharger par exemple des produits de faux logiciels de sécurité.

En étant attentif l’utilisateur pouvait le plus souvent détecter un format inhabituel et donc ne pas tomber dans le piège. Si les messages d’avertissement deviennent tous toujours différents, il sera peut être encore plus dur de discerner les vrais messages des faux sur le long terme et les utilisateurs infectés pourraient être plus nombreux !

En attendant des changements dans ce domaine, il est donc vivement recommandé de prendre conscience de ce phénomène, de manière à se détacher de l’habituation et de lire (enfin) les messages d’alerte.

Bien souvent, une seconde de réflexion peut empêcher une intrusion réseau… ou l’inverse.