BEM - SIO 22 110

1. GettingUsers To Pay Attention to Anti-Phishing Education: Evaluation of Retention and Transfer PonnurangamKumaraguru, Yong Rhee, Steve Sheng, Sharique Hasan, Alessandro Acquisti, LorrieFaithCranor, Jason Hong 2008 Matthieu Cosmao SIO 22110 2009

2. Introduction Beaucoup d’efforts ont été fournis pour aider les gens à identifier les sites web frauduleux, mais beaucoup moins pour le développement de méthodes visant à entraîner les utilisateurs à être moins vulnérables aux attaques de filoutage (hameçonnage). Des chercheurs affirment que l’éducation dans le domaine de la sécurité est difficile car : La sécurité est toujours considérée, par les utilisateurs, comme une tâche secondaire ; Les utilisateurs ne sont pas intéressés par les sujets que sont laconfidentialité et la sécurité ; Les utilisateurs qui s’informent sur les sujets de confidentialité et de sécurité développent une peur des transactions en ligne, mais n’apprennent pas nécessairement comment se protéger eux-mêmes. La question est de savoir comment motiver les gens pour qu’ils se sentent concernés par le filoutage, sans non plus les effrayer. Matthieu Cosmao SIO 22110 2009

3. Comment enseigner les gens ? (1) Il existe plusieurs méthodes d’enseignement La méthode dite de l’enseignement intégré : elle consiste à, lorsque l’utilisateur clique sur un lien frauduleux d’un courriel, l’alerter de son erreur immédiatement, via l’affichage d’une bande dessinée informative par exemple. La méthode dite de l’enseignement non intégré : elle consiste à envoyer simplement par courriel des informations sur le filoutage (sous forme de texte) à l’utilisateur. Matthieu Cosmao SIO 22110 2009

4. Comment enseigner les gens ? (2) Théoriquement, l’enseignement intégré, qui plus est sous forme de bande dessinée, apparaît le plus adapté à un enseignement efficace, pour différentes principes sur lesquels repose la science de l’apprentissage : Apprentissage par la pratique (l’enseignement est présenté quand l’utilisateur se fait piégé par le filoutage) ; Retour immédiat (l’enseignement est présenté juste après que l’utilisateur se soit fait piégé par le filoutage) ; Principe de contigüité (l’enseignement est présenté sous forme de bande dessinée (images et textes liés)) ; Principe de personnalisation (utilisation du langage de conversation plutôt que formel) ; Principe d’un environnement où l’utilisateur est guidé par un agent à travers une histoire. Matthieu Cosmao SIO 22110 2009

5. La bande dessinée crée pour l’étude Matthieu Cosmao SIO 22110 2009

6. Hypothèses formulées 1. Les utilisateurs apprennent de manière plus efficace quand le matériel d’entraînement est présenté après qu’ils aient succombé à une attaque de filoutage (enseignement intégré) plutôt que quand le matériel est envoyé par courriel (enseignement non intégré) 2. Les utilisateurs retiennent plus facilement comment éviter les attaques de filoutage quand entraînés via l’enseignement intégré. 3. Les utilisateurs transfèrent plus de connaissances à propos de comment éviter les attaques de filoutage quand ils sont entraînés via l’enseignement intégré plutôt que non intégré. 4. Les utilisateurs avec les plus gros scores au Cognitive ReflectionTest (CRT) ont moins tendance que ceux avec un plus faible score à cliquer sur les « courriels de filoutage » d’entreprises avec lesquelles ils ont un compte. 5. Face à une nouvelle situation, les utilisateurs avec les plus gros scores au CRT ont plus tendance que ceux avec un plus faible score à cliquer sur les liens dans les courriels frauduleux d’entreprises avec lesquelles ils n’ont pas de compte. Matthieu Cosmao SIO 22110 2009

7. Méthodologie Deux sessions de tests séparées d’au moins 7 jours. Lors de la première session, trois groupes : ceux qui reçoivent l’enseignement intégré, ceux qui reçoivent l’enseignement non intégré, ceux qui ne reçoivent pas d’enseignement du tout mais un courriel d’un ami. Cette première session comportait un ensemble de courriels constituant la phase « avant apprentissage », puis un courriel frauduleux où l’utilisateur se voyait proposer l’enseignement (intégré ou non), et enfin un ensemble de courriels pour la phase « immédiate après apprentissage » La deuxième session comportait un ensemble de courriels, constituant la phase « délai après apprentissage ». Matthieu Cosmao SIO 22110 2009

8. Résultats Les hypothèses 1, 2, 3 et 5 ont été vérifiées par les expérimentations. En revanche, aucune méthode d’apprentissage ne semble avoir d’impact significatif sur l’habilité d’un utilisateur à détecter les courriels légitimes. Ces résultats suggèrent que les utilisateurs peuvent être entraînés si le matériel d’entraînement a été conçu en utilisant une méthodologie particulière qui applique les principes exposés par la science de l’apprentissage. Dans le cas contraire, les utilisateurs ne sont pas enclins à lire les instructions et au final à apprendre à se protéger du filoutage. En outre, les résultats suggèrent que les utilisateurs peuvent retenir et transférer leur savoir s’ils ont été motivés par la méthode d’enseignement qui leur a été proposée. Enfin, les utilisateurs au score CRT élevé ne sont pas meilleurs que ceux ayant un score faible pour déceler le filoutage provenant de courriels d’entreprises pour lesquelles ils ont un compte, mais sont en revanche plus enclin à cliquer sur des liens de filoutage d’entreprises chez qui ils n’ont pas de compte, sûrement en raison d’une plus grande curiosité. Matthieu Cosmao SIO 22110 2009

9. Conclusion Cette étude a montré que les utilisateurs apprennent de manière plus efficace quand : le matériel d’entraînement leur est présenté juste après qu’ils se soient faits piéger par une attaque de filoutage ; le matériel d’entraînement se présente sous la forme de bande dessinée. Ainsi qu’il paraît intéressant de développer ce type d’enseignements pour d’autres domaines que la lutte contre le filoutage. Matthieu Cosmao SIO 22110 2009