40% des utilisateurs Facebook cliquent sur des liens internet inconnus

Une nouvelle étude a trouvé que plus de 56% des destinataires d’emails et environ 40% des utilisateurs Facebook cliquaient sur des liens internet provenant d’expéditeurs inconnus, et derrière lesquels peuvent très bien se cacher des malwares.

Pourquoi ? La curiosité certainement !

Car, plus précisément, le clic de souris est irrésistible quand il s’agit d’intitulés tels que : “photos d’une fête de nouvel an ?!, profitez-en !”.

Les premiers résultats de l’étude, qui émane de l’Université Friedrich-Alexander (FAU) d’Erlangen-Nuremberg, en Allemagne, et qui a été menée par la responsable du département informatique, Dr. Zinaida Benenson, ont été rendus public le mois dernier, durant la conférence Black Hat.

Les tests ont débouché sur 2 études, dans lesquelles les chercheurs ont envoyés de faux messages, sous de faux noms, vers à peu près 1700 étudiants de la FAU, soit par emails soit via Facebook.

Ils ont signé les messages en utilisant l’un des 10 noms les plus communément utilisés par la génération ciblée par cette étude.

Les emails et les messages Facebook incluaient un lien internet ainsi qu’un texte, qui racontait qu’il s’agissait en fait d’une page web avec des photos d’une soirée ayant eu lieu le weekend dernier.

Les destinataires qui ont cliqué sur ces liens internet, ont ensuite été redirigés vers une page qui affichait le message “access denied“, et qui permettait aux chercheurs de mesurer le nombre de clics générés.

Ensuite, ils ont envoyé aux destinataires concernés un questionnaire en 3 points, en leur :

Dans cette première étude, les chercheurs s’étaient adressés aux étudiants testeurs par le biais de leurs prénoms.

Dans l’étude qui a suivi, les chercheurs ne sont pas adressés à leurs cibles par leurs prénoms, mais à la place ils leur ont données plus d’informations au sujet de la soirée, durant laquelle les photos ont sensé avoir été prises : une fête de nouvel an ayant eu lieu la semaine précédente, selon le faux message envoyé.

En ce qui concerne à présent les faux comptes d’envoi, les chercheurs ont renseigné leurs profils avec des timelines et des photos “public”. Ils ont aussi créés moins de profils “public”, sans photos et en donnant un minimum d’informations.

Voici les résultats de ces 2 études :

Les chercheurs ont été surpris, a déclaré Dr Benenson. En effet, à en juger par les témoignages des personnes testées, on aurait pu s’attendre à ce que la plupart d’entre elles, sensibilisées apparemment à la cybersécurité, se soient méfiées davantage, avant de cliquer sur des liens internet douteux.

La réalité est qu’un nombre assez important, parmi les personnes testées, a nié ou n’a pas du tout eu l’impression de commettre une imprudence :

Les résultats globaux nous ont surpris, car 78% des participants avaient déclaré, dans le questionnaire, qu’ils connaissaient les risques que représentait le fait de cliquer sur des liens internet inconnus. De plus, seulement 20% dans la première étude, et 16% dans la deuxième, ont déclaré avoir cliqué sur le lien.

Cependant, lorsque nous avons évalué la quantité exacte de clics effectués, nous avons trouvé respectivement 45% et 25% de personnes ayant cliqué sur les liens internet.

Les personnes testées étaient-elles embarrassées ? Ont-elles nié avoir cliqué, car elles se sont rendues enfin compte des dégâts que leurs gestes auraient pu causer à la sécurité de leur ordinateur ?

En fait, non, les chercheurs ne le pensent pas. Ils pensent plutôt que la différence repose sur le fait que les participants ont tout simplement oublié qu’ils avaient cliqué sur le lien, après l’avoir fait !

Une grande majorité de ceux qui ont cliqué sur le lien a déclaré qu’il l’avait fait par curiosité : il voulait voir les photos, ou bien il voulait découvrir qui était l’expéditeur.

Certains ont déclaré qu’ils connaissaient quelqu’un avec le même nom que l’expéditeur, ou encore qu’ils avaient participé effectivement à une soirée le weekend précédent, avec des personnes qu’ils ne connaissaient pas.

La moitié de ceux qui ont réussi à résister au clic a déclaré que ce qui les avait dissuadés de cliquer, était de ne pas reconnaître le nom de l’expéditeur.

Parmi ceux qui n’ont pas cliqué, 5% ont déclaré qu’ils préféraient respecter la vie privée de l’expéditeur en ne regardant pas les photos qui ne leur étaient pas destinées, a déclaré Dr. Benenson.

Selon elle, voici les conclusions qui peuvent être tirées de ces études :

Elle n’est pas la seule à croire cela : les chercheurs ont récemment déterminé que plus de 87% des personnes ignoraient les alertes de sécurité.

Ce comportement consistant à ignorer des alertes de sécurité se rencontrent presque systématiquement, comme l’ont montré les mesures effectuées sur des sujets via l’IRMf (l’Imagerie par Résonance Magnétique Fonctionnelle), car ces dernières les interrompent alors qu’ils sont en train de faire autre chose, telle que la saisie de leur login ou de leur mot de passe.

Il ne s’agit pas seulement d’une question de sensibilisation à la sécurité, de toute évidence. Il existe d’autres facteurs, tels que l’incapacité de notre cerveau à faire 2 choses à la fois, qui entre en ligne de compte.

Comme l’a montré l’expérience menée par la FAU, beaucoup de personnes testées ont cliqué sur le lien, tout en sachant que ce geste comportait un risque évident.

Vous pouvez mettre en garde les utilisateurs sur les risques encourus en cliquant sur des liens internet douteux jusqu’à l’épuisement, mais en réalité comment contourner l’obstacle qui est tout simplement la curiosité naturel de l’espèce humaine ?

D’un autre côté, cette curiosité a tout de même envoyé les humains sur la lune et a contribué à éradiquer la variole.

Chers lecteurs, comment concevoir des formations sur la sécurité, qui prennent en compte la curiosité, ce type de curiosité qui mène à cette issue malheureuse qu’est l’infection par des malwares ou bien le vol d’identité.

Merci de partager vos commentaires dans la section ci-dessous.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez 40% des utilisateurs Facebook cliquent sur des liens internet inconnus : http://wp.me/p2YJS1-2Vd
Billet inspiré de 40% of Facebook users click on phishy links. Do you?, par Lisa Vaas, Sophos NakedSecurity.