La sécurité sur l’Internet, on le sait, c’est une question complexe. Pas tellement à cause de la technique. OK, celle-ci est compliquée mais peu de gens ont besoin de connaître les aspects techniques de la sécurité (par exemple la cryptographie). En revanche, tout le monde (enfin, tous ceux connectés à l’Internet) a besoin de savoir quoi faire pour ne pas ouvrir la porte aux méchants. Et, là, c’est très difficile, comme toujours dès qu’il y a un facteur humain. Il y a de la psychologie, de l’ergonomie, de la formation, toutes choses compliquées et qui prennent du temps.
Vous avez tous vu ces avertissements destinés à M. Michu et qui se réduisent en général à des slogans assez ridicules du genre « N’ouvrez pas les messages suspects » (sans indiquer évidemment comment on reconnait un message suspect) ou bien « N’allez que sur des sites de confiance » (sans aucune indication sur la façon de vérifier qu’on est bien sur le site où on voulait aller). Mais même ces efforts très simplistes sont régulièrement annulés par des campagnes maladroites. Cédric Pernet donnait un excellent exemple, dû à la Redoute : ▻http://bl0g.cedricpernet.net/post/2013/09/24/Sensibilisation%3A-Toujours-plus-de-boulot
J’ai en reçu un autre, dû à la Poste. Un message avertissant les clients du service de messagerie laposte.net du risque de hameçonnage. Ce message contient entre autre un avertissement « Veillez [sic] vérifier l’adresse du site internet dans la barre de navigation ou celle de l’expéditeur du mail. » Et quelle adresse d’expéditeur utilise ce message ? ’communication@info.eservices-laposte.fr’ ! Ni laposte.net, ni laposte.fr. (Apparemment, c’est bien un message de la Poste, simplement incroyablement maladroit.)
Les utilisateurs normaux ont déjà du mal à comprendre les noms de domaine, comme le fait que eservices-laposte.fr n’ait rien à voir avec laposte.fr. Ce genre de campagne va encore aggraver la confusion.
