Lacunes des notifications de violation de sécurité, Les meilleures pratiques en matière d'avertissements de phishing et les enseignements tirés de l'utilisation de l'analyse pour améliorer les performances des étudiants figurent parmi plusieurs études que les chercheurs de l'Université du Michigan présenteront à partir de ce week-end au Royaume-Uni.

Florian Schaub, professeur assistant à l'U-M School of Information, et ses collègues partageront leurs travaux du 4 au 9 mai lors de la conférence CHI sur les facteurs humains dans l'informatique à Glasgow, Écosse.

Violations de données

S'appuyant sur leurs recherches précédentes qui ont montré que les consommateurs prennent souvent peu d'actions face à des failles de sécurité, l'équipe de la School of Information dirigée par le doctorant Yixin Zou et Schaub a analysé les notifications de violation de données envoyées par les entreprises aux consommateurs pour voir si les communications pourraient être responsables d'une partie de l'inaction.

Ils ont constaté que 97 % des 161 notifications échantillonnées étaient difficiles ou assez difficiles à lire sur la base des mesures de lisibilité, et que le langage utilisé peut avoir contribué à la confusion quant à savoir si le destinataire de la communication était en danger et devait prendre des mesures.

"Notre analyse montre qu'exiger des entreprises par la loi qu'elles envoient uniquement des notifications de violation de données n'est pas suffisant, ", a déclaré Zou. "Il est important de s'assurer que les informations importantes telles que ce qui s'est passé et ce que les consommateurs doivent faire pour se protéger sont communiquées dans ces notifications d'une manière compréhensible et exploitable par les consommateurs."

Citant les statistiques du Privacy Rights Clearinghouse, les auteurs notent qu'en 2017, il y a eu 853 violations de données qui ont compromis 2,05 milliards d'enregistrements, qui comprenait des noms de consommateurs, coordonnées, numéros de compte, les détails de la carte de crédit, numéros de sécurité sociale, dossiers d'achats et d'achats, publications et messages sur les réseaux sociaux, et les dossiers de santé.

En réponse, la plupart des pays, y compris les États-Unis, adopté des lois sur la notification des violations de données. Aux Etats-Unis., chaque état a sa propre loi sur les violations de données, donc, le seuil à partir duquel les consommateurs doivent être informés, combien de temps après une violation, et ce à quoi cette notification doit ressembler varie d'un État à l'autre.

Cela laisse beaucoup de liberté aux entreprises pour utiliser des termes de couverture qui minimisent le risque, en utilisant des expressions telles que « vous pourriez être affecté » et « vous êtes susceptible d'être affecté » dans 70 % des notifications et en disant « pour le moment, nous n'avons aucune preuve d'utilisation abusive des données exposées" 40 % du temps.

Cela permet également un manque de cohérence dans la résolution de la cause de la violation, la date de survenance et la durée d'exposition, disent les chercheurs.

« Les entreprises sont peu incitées à investir pour rendre les notifications de violation de données plus utilisables, " a déclaré Schaub. "Pour la plupart des entreprises, ces notifications ne sont considérées que comme une exigence pour se conformer aux lois sur les notifications de violation de données plutôt que comme un moyen d'éduquer et de protéger leurs clients. Nous devons repenser et retravailler les lois sur la protection des consommateurs telles que celles-ci pour garantir que les notifications des entreprises sont réellement utiles aux consommateurs. »

La plupart des lois des États exigent que les entreprises informent les consommateurs concernés par écrit ou par téléphone. Courriels, annonces de sites Web, les avis aux médias de tout l'État ou d'autres méthodes électroniques sont généralement des substituts. L'étude montre une tendance constante avec 95 % des notifications analysées livrées par courrier. Les chercheurs affirment que la lenteur d'une lettre envoyée par la poste pourrait augmenter le temps pendant lequel les consommateurs ne sont pas informés de la violation.

Hameçonnage

Juste au moment où nous pensons maîtriser les astuces que les voleurs de données ont dans leurs manches pour pirater nos appareils dans le but de voler nos informations, quelqu'un arrive avec une nouvelle façon de nous tromper, et les tentatives d'hameçonnage sur l'ordinateur peuvent attraper même les utilisateurs les plus avertis.

Les organisations qui fournissent des services de courrier électronique, y compris les clients de messagerie commerciaux que les consommateurs utilisent tous les jours, ont mis en place de nombreuses mesures pour lutter contre les tentatives de phishing, et s'efforcer d'éduquer les utilisateurs sur la façon d'éviter les liens suspects dans les e-mails. Parmi les efforts figurent divers avertissements qui alertent les utilisateurs de liens potentiellement suspects.

Dans une étude portant sur 700 participants âgés de 20 à 71 ans, Schaub et ses collègues de la School of Information ont évalué trois fonctionnalités de conception d'avertissement pour aider les utilisateurs à évaluer plus efficacement les risques de phishing et à éviter les sites Web suspects. Ils les ont comparés à la bannière de courrier électronique statique la plus couramment utilisée, souvent une bande ou une boîte colorée utilisant une couleur audacieuse comme le rouge qui apparaît comme un avertissement en haut d'une page de courrier électronique. Les trois caractéristiques de comparaison sont :

• Placement d'avertissement, ou déplacer les avertissements d'hameçonnage à proximité du lien suspect dans l'e-mail.
• Attention forcée à l'avertissement en désactivant le lien suspect dans le corps de l'e-mail et en forçant l'utilisateur à cliquer sur l'URL non masquée pour continuer.
• Activation de l'avertissement, qui demande que l'avertissement ne s'affiche que lorsque l'utilisateur survole un lien.

Ils ont constaté que par rapport aux avertissements de bannière, les avertissements d'hameçonnage axés sur les liens ont réduit le risque que les participants cliquent sur un lien d'hameçonnage. Les avertissements d'attention forcée étaient les plus efficaces.

"La détection des e-mails de phishing est difficile pour les gens et le conseil courant de" vérifier le lien avant de cliquer "est bon mais pas vraiment pris en charge par les clients de messagerie, " a déclaré Schaub. " Nos recherches montrent que des avertissements de phishing bien conçus peuvent aider les consommateurs à mieux détecter les liens de phishing en identifiant clairement les liens suspects dans un e-mail. montrant bien en évidence la destination du lien suspect, et forcer les utilisateurs à cliquer sur l'avertissement s'ils souhaitent continuer vers la destination du lien.

Analyse de l'apprentissage

Depuis une demi-douzaine d'années environ, les universités ont collecté des données sur les performances des étudiants dans certains cours afin de créer des tableaux de bord d'avertissement pour aider ceux qui sont sous-performants. Le but de ce sur mesure, L'approche personnalisée de l'éducation consiste à intervenir à des moments clés d'un semestre pour les aider à s'améliorer afin qu'ils puissent réussir.

Pour la plupart, ces interventions de tableau de bord ont montré des résultats positifs dans l'amélioration des résultats des élèves.

Mais une étude menée par Schaub et une équipe de la School of Information sur une application d'analyse de l'apprentissage révèle que les étudiants n'ont pas toujours su ou compris comment leurs données ont été collectées et utilisées. Les chercheurs constatent que les étudiants veulent davantage d'informations sur ce processus et avoir leur mot à dire sur ce qui se passe avec leurs données.

Le programme U-M connu sous le nom de Student Explorer a commencé comme un moyen d'encourager les étudiants STEM à s'en tenir aux cours de sciences, La technologie, ingénierie et mathématiques, car beaucoup se décourageaient et abandonnaient tôt leur carrière dans ces domaines. Il s'est avéré un succès et a ensuite été adopté par plusieurs programmes sur le campus.

Pour leur étude, les chercheurs ont mené des entretiens avec quatre développeurs de programmes, huit conseillers académiques, et 20 étudiants. La recherche a conclu que toutes les parties prenantes—étudiants, la faculté, conseillers académiques - devraient collaborer à ces programmes et faire partie de leur création et de leur évolution.

"Il est vraiment important de découvrir ces divers besoins des utilisateurs et habitudes d'utilisation pour s'assurer que la conception et la fonction du système peuvent y répondre, " dit Kaiwen Sun, doctorant et auteur principal de l'article.

« De nombreux conseillers et instructeurs ne connaissent pas le concept d'analyse de l'apprentissage. Ils voient de nouvelles plateformes se déployer et pensent qu'ils ne sont que les utilisateurs. Ils pourraient ne pas se considérer capables de jouer un rôle clé dans le processus d'analyse de l'apprentissage.

"Je pense aussi qu'il est important d'éduquer les gens et de sensibiliser le campus à l'objectif, avantages et impact de l'analyse de l'apprentissage, pourquoi ces différentes parties prenantes devraient s'en soucier, et ce qu'ils peuvent faire pour contribuer au processus d'analyse de l'apprentissage."