Trouver le juste équilibre
Stephan Somogyi travaille en gestion de produit de sécurité et de confidentialité chez Google. Il croit que nous devons commencer à réfléchir beaucoup plus sérieusement à notre comportement en ligne.
Monsieur Somogyi, ici en Allemagne, nous attachons toujours notre ceinture de sécurité en voiture, nous avons toutes sortes de régimes d'assurance et nous cachons le pavé numérique au guichet automatique. Alors pourquoi sommes-nous si négligents sur Internet?
Ce n'est pas seulement typique à l'Allemagne, c'est la même chose partout dans le monde. Et c'est l'esprit humain qui est derrière ce phénomène, parce qu'il est beaucoup plus habitué à faire face à des dangers concrets et visibles. Ce qui ne s'applique pas aux risques sur Internet. C'est pourquoi il est très important pour les entreprises de technologies comme Google de s'assurer que leurs utilisateurs sont en sécurité. Nous avons travaillé d'arrache-pied pour y arriver au cours des dernières années.
Sur quoi avez-vous travaillé?
Nous avons investi beaucoup de temps et d'argent pour mieux connaître nos utilisateurs. Nous avons découvert, par exemple, que nous envoyions trop d'avertissements de sécurité, ce qui faisait que les gens ne les prenaient plus au sérieux. La question est : « Quel est le bon nombre d'avertissements? » Le juste équilibre n'est pas facile à trouver. Souvent, nous sous-estimons le facteur humain.
Que voulez-vous dire?
Si un utilisateur prend la décision de cliquer sur un lien dans un courriel ou de partager ses données sans réfléchir, on ne peut pas y faire grand-chose. Le succès de la plupart des attaques dépend de la crédulité humaine.
« Nous avons un penchant naturel à faire confiance aux autres. Les criminels le savent. »
Stephan Somogyi
Quel est le résultat?
Nous avons un penchant naturel à faire confiance aux autres. Les criminels le savent. Et c'est pour cette raison qu'ils arrivent parfois à nous amener à faire confiance à un courriel, même s'il provient d'une adresse que nous ne connaissons pas. Ou ils essaient simplement de nous faire peur. Dans les deux cas, les conséquences sont les mêmes : nous prenons de mauvaises décisions.
Pouvez-vous nous donner un exemple?
Imaginez que vous recevez un message dans votre boîte de réception vous disant que le service de diffusion en continu que vous souhaitiez utiliser pour regarder les nouveaux épisodes de votre série télévisée préférée va être bloqué. Pour éviter que cela se produise, vous devez cliquer sur le lien qui vous est donné et confirmer vos renseignements bancaires. Dans de telles circonstances, de nombreuses personnes prennent la mauvaise décision et suivent ces instructions. Et un criminel a accès à leur compte bancaire.
Les malfaiteurs essaient donc toujours de faire réagir de manière irréfléchie les utilisateurs?
Oui. Mais il y a aussi de nombreux cas dans lesquels des gens ne tiennent pas compte d'avertissements de sécurité par ignorance ou négligence. C'est pourquoi nous essayons de rendre nos conseils plus directs dans nos avertissements de sécurité. Nous ne voulons pas dicter ce que les utilisateurs devraient ou ne devraient pas faire, mais nous devons leur communiquer qu'ils pourraient se retrouver dans des situations dangereuses. Nous voulons leur fournir tous les faits qu'ils ont besoin de connaître pour prendre une décision éclairée, ni plus ni moins.
Les ordinateurs de bureau ne sont plus le seul moyen d'accéder au Web dont les gens disposent. Est-ce que les exigences relatives à la sécurité sont les mêmes pour les autres appareils?
C'est un défi de taille pour nous. La sécurité en ligne nécessite toujours un échange de données supplémentaires, pour le chiffrement par exemple. Sur un ordinateur de bureau, ce n'est pas un problème, mais sur téléphone intelligent, possiblement, parce que la question du volume de données surgit. Ce qui signifie que nous devons créer des mesures de sécurité qui n'utilisent pas plus de données qu'elles n'en ont vraiment besoin. Nous avons déployé des efforts considérables pour réduire la quantité de données transférées sur les appareils mobiles. Elle représente maintenant le quart de ce qu'elle était. Après tout, nous ne voulons pas que les clients désactivent leurs paramètres de sécurité pour éviter d'utiliser toutes leurs données mobiles. C'est là que le facteur humain entre de nouveau en ligne de compte.
Supposons que je suis toutes les recommandations de sécurité et que je fais attention à mes données personnelles. Est-ce que je peux me passer d'un logiciel antivirus indépendant du système?
Disons-le ainsi : à l'heure actuelle, si vous mettez constamment à jour votre système, vous êtes bien protégé. Mais tel n'a pas toujours été le cas. Dans le passé, de nombreuses entreprises ne faisaient pas preuve de suffisamment de rigueur à ce sujet. La situation s'est grandement améliorée dans les dernières années, et les risques ont été considérablement réduits.
Jetons un coup d'œil à l'avenir. Quel est votre prochain objectif?
Nous voulons faire de HTTPS le protocole standard partout sur le Web pour que les connexions soient toujours chiffrées. Nous utilisons déjà le chiffrement HTTPS sécurisé pour transférer des données dans un grand nombre de nos services, comme la recherche Google et Gmail.
Vous voulez donc que toutes les données en ligne soient transférées de manière sécuritaire?
Oui. Jusqu'à maintenant, les connexions sécurisées étaient indiquées dans la barre d'adresse. Nous voulons inverser cette tendance à l'avenir et que ce soit les connexions non sécurisées qui soient signalées.
Photographies : Felix Brüggemann
Progrès en matière de cybersécurité
Découvrez ce que nous faisons pour assurer la sécurité de plus d'internautes que quiconque dans le monde.
En savoir plus