Sécurité et fausses impressions

Toutefois, dans de nombreuses opérations, l’utilisateur constitue un maillon essentiel de la chaîne de confiance. Les attaques par phishing ou les faux lecteurs de carte bancaire en sont la preuve. Dans ce type d’attaque, même si l’implémentation garantit que les secrets sont conservés en lieu sûr, c’est l’utilisateur qui décide de les utiliser ou de les divulguer. La sécurité repose alors sur le fait qu’il n’accorde sa confiance qu’à bon escient. De nombreux progrès en la matière ont été faits, en particulier dans l’informatique personnelle. Il s’agit, d’une part, d’avertir l’utilisateur dès lors qu’il s’apprête à effectuer une opération sensible. Le fait de le prévenir que son attention est requise a été introduit de manière évidente par Windows Vista et l’UAC, qui intervient à chaque opération sensible par une transformation de l’interface utilisateur. Dans la vie courante, l’accès à un terminal de paiement est un signe qui doit provoquer la vigilance.

Toutefois, ces signes dédiés à la prise de conscience de l’utilisateur ne sont pas suffisants. Car ils sont le plus souvent simples à mimer, et pourraient aussi bien être le fait d’une action malfaisante. Pour preuve, les faux sites web qui reprennent le design (jusqu’aux claviers virtuels pour la saisie des codes PIN) de sites bancaires, ou encore les faux distributeurs de billets. Le second bloc indispensable pour augmenter la sécurité du maillon utilisateur est de fournir à celui-ci une information qui lui garantit qu’il se trouve dans un environnement de confiance. Le cas d’usage typique est celui de la saisie d’un code PIN face à une information de transaction de paiement en ligne. Dans ce cas de figure, ce code ne doit pas être capturé par une application malveillante, et les détails de la transaction doivent aussi être authentiques.

Sur un PC ou un smartphone, les capacités matérielles permettent de réaliser un tel environnement de confiance. Il s’agit, à l’aide de techniques comme les extensions de virtualisation (Intel VT-x…) ou de sécurité (ARM TrustZone), de prendre le contrôle des périphériques d’entrée (clavier, souris, écran tactile) et de sortie (écran local, ports HDMI…) pendant les opérations sensibles. Mais comment faire comprendre à l’utilisateur qu’il se trouve effectivement dans cet environnement de confiance ? C’est là que le bât blesse : les techniques existantes sont soit rudimentaires (affichage de données connues de l’utilisateur, comme une image qu’il a choisie ou qui lui a été fournie par le service), soit coûteuses car matérielles (indicateur lumineux hors de l’écran), soit peu pratiques (préemption permanente de l’affichage ou d’une partie de l’écran par l’environnement « de confiance »). Elles ont en tout cas pour point commun de nécessiter une éducation soutenue de l’utilisateur, pour que le déploiement en cours de ces technologies s’accompagne effectivement d’une sécurité accrue.