Les avertissements du certificat de sécurité ne fonctionnent pas, les chercheurs disent

Chaque internaute les a vus. Ces avertissements de "certificat non valide" vous sont parfois transmis lorsque vous essayez de visiter un site Web sécurisé.

Ils disent des choses comme "Il y a un problème avec le certificat de sécurité de ce site Web." Si vous êtes comme la plupart des gens, vous pouvez vous sentir vaguement mal à l'aise, et - selon un nouvel article de chercheurs de l'Université Carnegie Mellon - il y a de fortes chances que vous ignoriez l'avertissement et cliquiez malgré tout.

En laboratoire, les chercheurs ont découvert qu'entre 55% et 100% des participants ignoraient les avertissements de sécurité des certificats, selon le navigateur utilisé (différents navigateurs utilisent un langage différent pour avertir leurs utilisateurs). votre PC Windows]

"Tout le monde savait qu'il y avait un problème avec ces avertissements", a déclaré Joshua Sunshine, un étudiant diplômé de Carnegie Mellon et l'un des co-auteurs du journal. "Notre étude a montré de façon dramatique quelle était la taille du problème."

Ce n'est pas une bonne nouvelle. Souvent, les avertissements apparaissent en raison d'un problème technique sur le site Web, mais ils peuvent également signifier que l'internaute est redirigé en quelque sorte vers un faux site Web. Les URL des sites Web sécurisés commencent par «https».

Les chercheurs ont d'abord mené un sondage en ligne auprès de plus de 400 internautes, afin de savoir ce qu'ils pensaient des avertissements de certificat. Ils ont ensuite amené 100 personnes dans un laboratoire et étudié comment ils naviguent sur le Web.

Ils ont constaté que les gens avaient souvent une compréhension mélangée des avertissements de certificat. Par exemple, beaucoup pensaient pouvoir ignorer les messages lorsqu'ils visitent un site en qui ils ont confiance, mais qu'ils devraient se méfier des sites moins fiables.

«C'est en quelque sorte une compréhension rétrospective de ce que ces messages signifient», a déclaré Sunshine. "Le message confirme que vous visitez le site que vous pensez visiter, et non que le site est digne de confiance."

Si un site Web bancaire affiche un message indiquant que son certificat de sécurité est invalide, c'est un très mauvais signe, disent les experts en sécurité. Cela pourrait signifier que l'internaute est soumis à une attaque dite de l'homme du milieu. Dans ce type d'attaque, le criminel s'insère entre l'internaute et le site qu'il visite, dans l'espoir de voler des informations.

Les experts en sécurité savent depuis longtemps que ces avertissements de sécurité sont inefficaces, a déclaré Jeremiah Grossman, directeur Conseil en sécurité Web White Hat Security. C'est parce que les utilisateurs «ne savent vraiment pas ce que les risques de sécurité signifient», a-t-il déclaré via un message instantané. "Alors ils prennent le pari."

Dans le navigateur Firefox 3, Mozilla a essayé d'utiliser un langage plus simple et de meilleurs avertissements pour les mauvais certificats. Et le navigateur rend plus difficile l'ignorance d'un avertissement de certificat incorrect. Dans le laboratoire Carnegie Mellon, les utilisateurs de Firefox 3 étaient les moins susceptibles de cliquer après avoir reçu un avertissement.

Les chercheurs ont expérimenté plusieurs avertissements de sécurité redessinés qu'ils avaient eux-mêmes rédigés, ce qui semblait encore plus efficace. Ils prévoient faire part de leurs découvertes le 14 août au Symposium Usenix sur la sécurité à Montréal.

Néanmoins, Sunshine croit que de meilleurs avertissements ne seront que très utiles. Au lieu des avertissements, les navigateurs doivent utiliser des systèmes capables d'analyser les messages d'erreur. "Si ces systèmes décident que cela risque d'être une attaque, ils devraient tout simplement bloquer l'utilisateur", at-il dit.

Même en visitant des sites Web importants comme les banques, "les gens ignorent encore dramatiquement les avertissements".