Trouver le bon équilibre
Stephan Somogyi travaille dans la gestion des produits de sécurité et de confidentialité chez Google. Pour lui, ce sont nos comportements en ligne qui doivent être remis en question.
Stephan Somogyi, ici, en Allemagne, nous attachons toujours notre ceinture de sécurité, nous souscrivons à toutes sortes de polices d'assurance et nous cachons le clavier du distributeur automatique avec une main. Pourquoi sommes-nous donc si négligents sur Internet ?
Ce phénomène ne se limite pas à l'Allemagne. C'est un problème mondial. La raison à cela est la psyché humaine, qui est conditionnée à faire face aux dangers visibles, concrets. Et les risques sur Internet sont tout sauf visibles et concrets. C'est pourquoi il est particulièrement important pour les entreprises technologiques comme Google de s'assurer que leurs utilisateurs sont protégés. Nous avons travaillé intensément dans ce sens ces dernières années.
Sur quels projets travaillez-vous en ce moment ?
Nous avons consacré énormément de temps et d'argent à mieux connaître nos utilisateurs. Nous avons, par exemple, découvert que nous affichions trop d'avertissements de sécurité, ce qui poussait les utilisateurs à ne pas les prendre suffisamment au sérieux. La question est alors : quel est le bon nombre d'avertissements ? Il n'est pas facile de trouver le juste équilibre. Bien souvent, nous sous-estimons le facteur humain.
Que voulez-vous dire ?
Si un utilisateur décide de cliquer sur un lien dans un e-mail ou de partager ses données sans réfléchir, on ne peut pas faire grand-chose. La plupart des attaques reposent sur la crédulité des utilisateurs.
"Nous avons naturellement tendance à faire confiance aux autres. Les pirates informatiques le savent bien."
Stephan Somogyi
Quels sont les résultats de ce travail ?
Nous avons naturellement tendance à faire confiance aux autres. Les pirates informatiques le savent bien. C'est pourquoi ils parviennent parfois à nous piéger et à nous pousser à faire confiance à un e-mail provenant d'une adresse que nous ne connaissons pas. Ou ils essaient tout simplement de nous faire peur. Dans les deux cas, les conséquences sont les mêmes : nous prenons de mauvaises décisions.
Pouvez-vous donner un exemple ?
Imaginons que vous receviez dans votre boîte de réception un message vous informant que le service de streaming vidéo que vous prévoyiez d'utiliser pour regarder de nouveaux épisodes de votre série TV favorite est sur le point d'être bloqué. Pour que vous empêchiez ce blocage, il vous est demandé de cliquer sur le lien fourni et de confirmer vos coordonnées bancaires. Dans un moment pareil, de nombreuses personnes prennent la mauvaise décision et suivent ces instructions. Le pirate informatique a alors accès aux comptes bancaires des utilisateurs.
Les pirates informatiques essaient-ils donc toujours de pousser les utilisateurs à agir sans réfléchir ?
Oui. Mais il y a aussi de nombreux autres cas où les internautes ne tiennent pas compte des avertissements de sécurité, par ignorance ou désinvolture. C'est pourquoi nous essayons de simplifier nos conseils dans les avertissements de sécurité. Nous ne voulons pas dire aux utilisateurs ce qu'ils doivent faire ou non. Nous voulons les informer des dangers potentiels. Nous souhaitons leur fournir toutes les informations nécessaires pour qu'ils puissent prendre une décision réfléchie. Ni plus, ni moins.
Les ordinateurs de bureau ne sont plus le seul point d'accès des utilisateurs à Internet. Les exigences de sécurité sont-elles les mêmes avec les autres appareils ?
C'est un véritable défi pour nous. La sécurité en ligne nécessite toujours un échange de données supplémentaire, pour le chiffrement par exemple. Sur un ordinateur de bureau, ce n'est pas un souci. Mais sur un smartphone, il y a danger en raison du volume de données impliqué. C'est pour cette raison que nous devons développer des mesures de sécurité qui n'utilisent que la stricte quantité de données nécessaire. Nous avons fait des efforts considérables pour réduire le volume de données transférées sur les appareils mobiles. Aujourd'hui, ce volume ne représente plus que le quart de ce qu'il était auparavant. En effet, nous préférons éviter que les utilisateurs ne désactivent les paramètres de sécurité dans le but de réduire leur consommation de données. C'est là que le facteur humain entre en jeu.
Supposons que je suive tous les conseils de sécurité et que je sois prudent avec mes données à caractère personnel. Est-ce que cela signifie que je n'ai plus besoin d'utiliser de logiciel antivirus externe ?
Voyons cela autrement : aujourd'hui, si vous mettez à jour régulièrement votre système, vous restez plutôt bien protégé. Mais cela n'a pas toujours été le cas. Auparavant, de nombreuses entreprises n'étaient pas assez consciencieuses. La situation s'est considérablement améliorée ces dernières années, et le risque s'est fortement réduit.
Parlons un peu de l'avenir. Quel est votre prochain objectif ?
Nous souhaitons faire du HTTPS le protocole standard sur Internet, afin que toutes les connexions soient chiffrées. Nous utilisons déjà le chiffrement sécurisé HTTPS pour transférer des données pour un grand nombre de nos services, comme le moteur de recherche Google et Gmail.
Vous voulez donc que toutes les données en ligne soient transférées de manière sécurisée ?
Oui. Jusqu'à présent, les connexions sécurisées étaient signalées dans la barre d'adresse. Nous souhaitons inverser cette approche afin qu'à l'avenir, ce soient les connexions non sécurisées qui soient signalées.
Photographies : Felix Brüggemann
Cybersécurité
Découvrez comment nous protégeons plus d'utilisateurs en ligne que n'importe quelle autre entreprise au monde.
En savoir plus