Ce module est une ressource pour les enseignants   

 

Mesures de cybersécurité et utilisabilité 

 

Les mesures prises pour répondre aux risques devraient, dans l’idéal, être de sorte à garantir la confidentialité, l’intégrité et la disponibilité des systèmes, réseaux, données et services, tout en étant aisées à mettre en œuvre. L’utilisabilité des dispositifs numériques, autrement dit la facilité avec laquelle on peut s’en servir, prime souvent sur la sécurité de ces dispositifs et de leur contenu (Whitten et Tygar, 1999). Toutefois, l’une n’exclut pas l’autre (Sherwood, Clark et Lynas, 2005). Les mesures de cybersécurité peuvent être à la fois sûres et relativement faciles d’utilisation..

Certaines de ces mesures visent à établir l'identité de l'utilisateur ou de l’utilisatrice afin de prévenir tout accès non autorisé aux systèmes, services et données. Ces moyens d’authentification incluent « ce que l’on sait » (comme les mots de passe, phrases secrètes et codes PIN), « ce que l’on possède » (comme les cartes à puce et tokens) et « ce que l’on est » (les données biométriques, telles que les empreintes digitales) (Lehtinen, Russell, Gangemi Sr., 2006 ; Griffin, 2015). L’authentification à facteurs multiples (multifactor authentication en anglais, MFA) exige l’utilisation d’au moins deux de ces moyens d’authentification pour confirmer l’identité de l’utilisateur ou de l’utilisatrice (Andress, 2014).

Un autre type de mesure de cybersécurité est le contrôle d'accès. Les contrôles d'accès reconnaissent certains privilèges et les droits d’accès, tout en empêchant l’accès non autorisé. Ils comprennent des moyens d’authentification et autres destinés à protéger les mots de passe et les informations de connexion aux systèmes, applications, sites Web, réseaux sociaux et autres plateformes en ligne ainsi qu'aux dispositifs numériques (Lehtinen, Russell, Gangemi Sr., 2006). Le fait de limiter le nombre de tentatives de saisie du cde d’accès sur un smartphone en est un bon exemple. Les utilisateurs ont l’option d’effacer l’ensemble de leur contenu automatiquement après un certain nombre de tentatives manquées de saisir le code d’accès. Cette fonction a été créée pour permettre aux utilisateurs et aux utilisatrices de protéger leurs données sur leur appareil en cas de vol et/ou de tentative d’accès non autorisé.

Parmi d’autres exemples de contrôles d'accès, on peut citer : une temporisation (décélération des opérations) supplémentaire après chaque tentative manquée et/ou le plafonnement du nombre de tentatives manquées par jour avec inhibition d’accès (autrement dit le blocage du compte de l'utilisateur ou de l’utilisatrice pendant un certain temps) (Lehtinen, Russell, Gangemi Sr., 2006). Les contrôles visant les tentatives de connexion sont conçus pour empêcher un accès non autorisé aux comptes d'utilisateurs ou d’utilisatrices. Les temporisations, notamment, visent à déjouer les attaques par force brute.

Le saviez-vous ?

Le test CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart en anglais ; une application du test de Turing permettant une distinction automatisée entre un utilisateur humain et un ordinateur/robot. Ce test a été conçu pour empêcher les attaques par force brute. Des recherches ont cependant démontré que les images CAPTCHA peuvent être contournées (voir par exemple Bursztein et al, 2014 ; Sivakorn, Polakis et Keromytis, 2016 ; Gao et al., 2014). 

Une attaque par force brute consiste à utiliser un script (programme informatique) ou un bot (voir le Module 2, consacré aux types de cyberinfractions) pour deviner, par un processus d’essais et d’erreurs, les identifiants d’un utilisateur ou d’une utilisatrice, à savoir leur nom d’utilisateur et/ou leur mot de passe/code d’accès (pour plus d'informations sur les attaques par force brute, voir Knusden et Robshaw, 2011, 95-108). Les attaques par force brute emploient, entre autres choses, les mots de passe dont l’usage est répandu ou des données d’authentification ayant fuité. En 2018, il a été révélé que la fonction de mot de passe maître, qui permettait aux utilisateurs et aux utilisatrices de chiffrer les mots de passe enregistrés dans le navigateur de Mozilla Firefox (un navigateur Web), était vulnérable aux attaques par force brute (Trend Micro, 2018).

Le saviez-vous ?

Les attaques par force brute peuvent être lancées par des pirates/hackers sophistiqués comme par des personnes qui n’y connaissent rien en informatique.

Pour en savoir plus

INFOSEC Institute. (2018). Outils d’attaques par force brute fréquemment utilisés (en anglais).

Les mots de passe sont soit générés soit par un système, soit par la personne qui les utilise (Adams, Sasse et Lundt, 1997) . Les mots de passe générés par un système (autrement dit, les mots de passe créés par un programme) sont difficiles à deviner et susceptibles de résister aux craqueurs ; bien que cela dépende de la longueur des mots de passe. Le problème qu’ils posent est qu’ils sont difficiles à mémoriser. Cela a pour conséquence que de nombreuses personnes notent leur mot de passe sur un bout de papier ou l'enregistrement sur un navigateur, une application ou un dispositif numérique. C’est la raison pour laquelle il est préférable d’employer des mots de passe générés par les utilisateurs et utilisatrices. Toutefois, les mots de passe créés par l’utilisateur ou l’utilisatrice peuvent également être difficiles à mémoriser. Les systèmes, les applications et les plateformes en ligne imposent souvent des règles complexes en matière de mots de passe, que les utilisateurs et les utilisatrices doivent respecter. Par exemple, un mot de passe peut compter un nombre minimum de signes, des lettres majuscules et minuscules, des chiffres et des symboles. Par conséquent, tout comme les mots de passe générés par un système, la plupart des mots de passe créés par les utilisateurs sont difficiles à mémoriser.

On encourage aussi les personnes à utiliser un mot de passe différent pour chaque compte (Commission fédérale américaine du commerce et de l’information des consommateurs, 2017). Cette dernière recommandation vise à réduire au minimum le préjudice que la personne pourrait subir si l'un de ses comptes est compromis. En 2017, une société spécialisée en sécurité informatique a découvert en ligne une base de données renfermant les identifiants et mots de passe de 1,4 milliard de comptes de réseaux sociaux et autres services en ligne, tels que des sites de jeux, de films et séries télévisées à voir en streaming « (Matthews, 2017). Si l’un de ces utilisateurs ou utilisatrices réutilise ces mots de passe, cette fuite compromet la sécurité de ses autres comptes pour lesquels le même nom d’utilisateur et le même mot de passe sont utilisés. Si la solution d’utiliser des mots de passe différents et complexes pour chaque compte peut offrir un certain niveau de sécurité, elle présente cependant un problème d’utilisabilité, à savoir la difficulté de mémoriser ces différents mots de passe. Comme Adams, Sasse et Lundt (1997) l’ont fort bien souligné, « des restrictions supplémentaires dans les méthodes d’authentification diminuent l’utilisabilité » (p. 3).

Différentes méthodes d'authentification ont été proposées pour remplacer les mots de passe. L’utilisation de techniques d’authentification différentes telles que la biométrie n’est pas sans conséquences sociales ou juridiques, voire même en matière de sécurité (Greenberg, 2017a ; Greenberg, 2017b). Citons par exemple l'iPhone d’Apple avec le Touch ID, qui permet aux utilisateurs et utilisatrices de déverrouiller leur téléphone en utilisant leur empreinte digitale, et la fonction Face ID, basée sur une technologie de reconnaissance faciale et qui déverrouille leur iPhone en reconnaissant leur visage. Aux États-Unis, une personne n’est pas obligée de révéler ses mots de passe aux forces de l’ordre. Cependant, les empreintes digitales et autres données biométriques ne bénéficient cependant pas de la même protection juridique (pour illustration, voir les décisions dans les affaires Virginia v. Baust, 2014 et State v. Diamond, 2018. Les tribunaux ont jugé que l’on peut obliger les personnes à déverrouiller leur téléphone avec leur empreinte digitale). Pour plus d'informations sur cette pratique aux États-Unis et celles adoptées dans d'autres pays, tels que l'Inde, l'Australie et la Nouvelle-Zélande, voir l’encadré ci-dessous : « La biométrie et droit de ne pas contribuer à sa propre incrimination ».

Biométrie et droit de ne pas contribuer à sa propre incrimination

Le cinquième amendement à la Constitution des États-Unis dispose que « nul ne sera tenu de répondre d'un crime capital ou infamant sans un acte de mise en accusation, spontané ou provoqué, d'un Grand Jury, sauf en cas de crimes commis pendant que l'accusé servait dans les forces terrestres ou navales, ou dans la milice, en temps de guerre ou de danger public ; nul ne pourra pour le même délit être deux fois menacé dans sa vie ou dans son corps ; nul ne pourra, dans une affaire criminelle, être obligé de témoigner contre lui-même ni être privé de sa vie, de sa liberté ou de ses biens sans procédure légale régulière ; nulle propriété privée ne pourra être réquisitionnée dans l'intérêt public sans une juste indemnité. »

L'un des droits conférés par le cinquième amendement est celui de ne pas contribuer à sa propre incrimination, autrement dit de ne pas être forcé à s’incriminer soi-même. Dans l'arrêt Schmerber v. California (1966), la Cour a tranché que « cette protection signifie que l’on ne peut obliger une personne  à témoigner contre elle-même ou à fournir à l'État des éléments de preuve dont la nature est celle d’un témoignage ou d’une communication »(761). En revanche, le cinquième amendement de la Constitution des États-Unis « ne permet pas à la personne de refuser à ce que les autorités prennent empreintes digitales, sa photo ou ses mensurations [...] de refuser de comparaître devant un tribunal, de se lever, d’adopter une certaine position, de marcher ou de faire un geste particulier » (United States v. Wade, 1967, 223). En effet, les tribunaux américains peuvent, par exemple, imposer aux personnes accusées de fournir un échantillon de sang, de salive ou un échantillon vocal (Schmerber v. California, 1966 ; U.S. v. Dionisio, 1973 ; People v. Smith, 1982).

En se basant sur l'arrêt United States v. Wade (1967), le juge dans l’affaire Virginia v. Baust (2014) est parvenu à la conclusion que, du fait que fournir son empreinte digitale ne requiert pas la communication de connaissances par la personne accusée, les empreintes digitales ne sont pas « protégées » par le cinquième amendement, ce qui est également vrai de ses clés ou d’un échantillon de son ADN (3). Par conséquent, si les mots de passe sont protégés par le cinquième amendement, cela n’est pas le cas des empreintes digitales et, par extension, des autres données biométriques, ce qui a été confirmé par l’arrêt State v. Diamond (2018).

En bref, aux États-Unis, on peut forcer une personne à révéler « ce qu’elle est », c’est-à-dire l’obliger à fournir ses empreintes digitales et, en suivant le même raisonnement, à se servir de son visage pour déverrouiller un smartphone doté d’une technologie de reconnaissance faciale. Et cela vaut bien que le cinquième amendement de la Constitution des États-Unis protège en général le droit d’une personne de ne pas divulguer « ce qu’elle sait », car une telle obligation serait contraire au droit de ne pas contribuer à sa propre incrimination. Une approche similaire est adoptée dans d’autres pays, dont l'Australie, la Nouvelle-Zélande et l'Inde, pour ne citer que ceux-là, et par des juridictions chargées de veiller au respect des droits humains, comme la Cour européenne des droits de l'homme, qui ne considèrent pas le fait de forcer une personne à montrer son visage, fournir des empreintes digitales ou d'autres données biométriques, tels que des empreintes de pied, comme une atteinte au droit de ne pas contribuer à sa propre incrimination (pour illustration, voir Sorbyvc. Commonwealth, 1983, Nouvelle-Zélande, King v. McLellan, 1974, Inde, U.P. State v. Sunil, 2017, et Saunders v. United Kingdom, 1996). 

L'humain est considéré comme le maillon le plus faible de la chaîne de cybersécurité (Crossler et al, 2013 ; Grossklags et Johnson, 2009 ; Sasse, Brostoff et Weirich, 2001 ; Schneier, 2000). Plusieurs études ont en effet montré que ce sont l’erreur humaine et le défaut de mise en œuvre des mesures de sécurité qui sont à l’origine des incidents de cybersécurité, c’est-à-dire les atteintes  et/ou attaques visant les réseaux, systèmes, services et données (Safa et Maple, 2016 ; Pfleeger, Sasse et Furnham, 2014 ; Crossler et al. 2013). Bien que l'on accorde beaucoup d'attention au rôle du facteur humain dans ces incidents, les mesures de cybersécurité en place au moment de l’incident peuvent également y contribuer. En réalité, les mesures de cybersécurité (le résultat qu’elles sont capables de produire) ne correspondent souvent pas aux attentes des utilisateurs et des utilisatrices quant à leur efficacité (le résultat que ces personnes attendent de telles mesures) (Ur et al, 2016 ; Gunson, et al, 2011 ; Furnell, 2005).

Pour assurer la protection des dispositifs numériques, systèmes, programmes, applications et plateformes en ligne, les auteurs et les recherches sur les interactions entre l’humain et les ordinateurs proposent que les éléments de sécurité soient développés en tenant compte des utilisateurs et des utilisatrices, ce qui est aussi appelé « security by design » en anglais (sécurité dès la conception). Voir Eloff et Eloff, 2002 ; Cranor et Garfinkel, 2005 ; Sasse et Flechais, 2005 ; Karat, Karat et Brodie, 2005 ; Dix et al., 2004 ; Balfanz et al., 2004). C’est toutefois là une pratique peu courante. La pratique habituelle consiste à créer un système, puis à tenter d’adapter les interactions des utilisateurs et des utilisatrices avec ce système pour répondre aux besoins en matière de sécurité.

Le saviez-vous ?

L’Union européenne, à travers l’acte législatif sur la cybersécurité de 2018, a créé « un cadre de certificats européens de cybersécurité pour les produits, les procédés et les services » visant à promouvoir la sécurité dès la conception en intégrant des éléments de sécurité dès les premières phases de conception et de développement techniques des dispositifs (Commission européenne, 2018).

Pour en savoir plus

Commission européenne. (2018).  Acte législatif sur la cybersécurité.

 
Section suivante : Prévention situationnelle de la criminalité 
Haut de page