Cochons dansants

Problème de sécurité informatique

En Sécurité des systèmes d'information, "cochons dansants" " (parfois appelé le problème des lapins dansants) est une déclaration sur le comportement sécuritaire des utilisateurs, il indique que les utilisateurs continueront à choisir un dessin amusant même s'ils reçoivent un avertissement d'un logiciel de sécurité indiquant qu'il est potentiellement dangereux. Ainsi lorsqu'un utilisateur a envie d'une fonctionnalité, la sécurité n'est pas prise en considération, en conséquence la sécurité doit être partie intégrante du système, sans avoir recours à l'utilisateur ignorant en informatique[1]. En d'autres termes, les utilisateurs choisissent fonctionnalités principales souhaitées sans tenir compte de la sécurité. Les "cochons dansants" est une terminologie généralement utilisé par les experts en technologie et peuvent être trouvés dans des articles informatiques.

Origines

modifier

Le terme provient d'une remarque faite par Edward Felten (en) et Gary McGraw (en) :

« Étant donné un choix entre des cochons dansants et la sécurité, les utilisateurs choisissent toujours les cochons dansants[2]. »


Bruce Schneier ajoute à cette remarque : « Si utilisateur lambda clique sur un bouton qui promet des cochons dansants sur son écran d'ordinateur, et reçoit à la place un message décrivant les dangers potentiels de l'Applet: il choisira toujours les cochons dansants plutôt que la sécurité informatique. Si l'ordinateur lui affiche un écran d'avertissement du type : "L'applet DANCING PIGS pourrait contenir un code malveillant qui pourrait causer des dommages permanents à votre ordinateur, voler vos économies et nuire à votre capacité à avoir des enfants", il cliquera sur OK sans même le lire. Trente secondes plus tard, il ne se souviendra même plus que l'écran d'avertissement ait même existé[3]. »

Le Guide des examinateurs de sécurité de Mozilla (communauté) indique :

« Beaucoup de nos utilisateurs potentiels ont peu d'expérience en informatique, et ne comprennent pas les risques liés à l'utilisation de contenu web interactif. Nous devons donc nous fier le moins possible au jugement de l'utilisateur[4]. »

Un article de 2009 largement médiatisé[5] aborde directement la citation des cochons dansants et soutient que le comportement des utilisateurs est plausiblement et rationnel :

« Bien qu'amusant, c'est injuste : les utilisateurs ne se voient jamais offrir de la sécurité, ni seule ni comme alternative à autre chose. On leur propose seulement des ensembles longs, complexes et croissants de conseils, de mandats, de mises à jour de politiques et des conseils. Ceux-ci contiennent parfois des suggestions vagues et provisoires de risque réduit, jamais de sécurité[6]. »

Support expérimental

modifier

Une étude sur l'hameçonnage a révélé que les gens préfèrent les animaux qui dansent à la sécurité. L'étude a montré aux participants un certain nombre de sites d'hameçonnage, dont un qui copie la page d'accueil de Bank of the West[7] :

« Pour de nombreux participants, le design "mignon", le niveau de détail et le fait que le site ne demande pas beaucoup d'informations ont été les facteurs les plus convaincants. Deux participants ont mentionné la vidéo animée d'ours qui apparaît sur la page (par exemple, "parce que cela demanderait beaucoup d'efforts à copier"). En général, les participants ont trouvé cette animation attrayante et beaucoup ont rechargé la page juste pour revoir l'animation. »

Schneier pense que le problème des cochons dansants peut conduire au crime, une menace clé. Il a déclaré: "Les tactiques pourraient changer… car les mesures de sécurité rendent certaines tactiques plus difficiles et d'autres plus faciles, mais le problème sous-jacent est constant." Ignorer la sécurité informatique peut infliger divers types de dommages entraînant des pertes importantes[8].

A voir aussi

modifier

Théorie du chat mignon Cheval de Troie (informatique)

Références

modifier
  1. (en-US) Greg Mooney, « Dancing Pigs and Other Dangers: 3 Popular Email Cons », sur DMSi (consulté le )
  2. (en) Gary McGraw et Edward W. Felten, Securing Java : Getting Down to Business with Mobile Code, John Wiley & Sons, , 2e éd., 324 p. (ISBN 0-471-31952-X, lire en ligne), chap. 1, partie 7.
  3. Bruce Schneier: Secrets and Lies (nl) (John Wiley & Sons, 2000; (ISBN 0-471-45380-3)), p262
  4. « Mozilla Security Review and Best Practices Guide », Mozilla Foundation, (consulté le )
  5. Mark Pothier, « Please Do Not Change Your Password », The Boston Globe,‎ (lire en ligne Accès payant, consulté le )
  6. Cormac Herley « So Long and No Thanks for the Externalities: the Rational Rejection of Security Advice by Users » () (lire en ligne)
    New Security Paradigms Workshop (lire en ligne)
  7. Rachna Dhamija, J. D. Tygar and Marti Hearst, « Why Phishing Works » [archive du ] (consulté le )
  8. Elinor Mills, « Q&A: Schneier warns of marketers and dancing pigs », CNET,‎ (lire en ligne, consulté le ) :

    « The tactics might change--phishing, pharming, key logging, social engineering, password guessing, whatever--as security measures make some tactics harder and others easier, but the underlying issue is constant »

Liens Externes

modifier