En mai 2017, environ un quart de million d'ordinateurs dans le monde exécutant Microsoft Windows ont été attaqués et infectés par des logiciels malveillants qui seront plus tard nommés « WannaCry ». Les victimes ont trouvé leurs ordinateurs verrouillés et inutilisables, mais pourraient les libérer si les victimes transféraient du Bitcoin, généralement un montant équivalent à 300 à 600 USD, aux personnes à l'origine de l'attaque.

Il s'est avéré, l'attaque aurait pu être évitée si les gens avaient appliqué une mise à jour logicielle que Microsoft avait publiée quelques semaines avant l'attaque. La mise à jour a corrigé la vulnérabilité que les attaquants avaient exploitée, mais beaucoup ont choisi de retarder sa mise en œuvre.

« Comprendre ce qui pousse les gens à retarder une mise à jour logicielle - une action de protection importante car ils corrigent des bogues que les attaquants peuvent exploiter - serait une étape vers la prévention de telles cyberattaques, " dit Cleotilde Gonzalez de CyLab, professeur au département des sciences sociales et de la décision de l'université Carnegie Mellon.

Dans une étude publiée dans le dernier numéro du Journal de la cybersécurité , Gonzalez et ses co-auteurs ont découvert que le coût en temps des mises à jour et les préférences de risque des individus ont un impact significatif sur le fait qu'un utilisateur applique ou non une mise à jour logicielle, et combien de temps il leur faut pour le faire.

Les chercheurs ont créé une simulation dans laquelle les participants se sont fait passer pour des investisseurs pendant 20 périodes de 10 jours, avec chaque « journée » simulée consistant soit à prendre une décision d'investissement, soit à appliquer une mise à jour logicielle à leur ordinateur. Dans le monde réel, les utilisateurs ne peuvent souvent pas effectuer leur tâche principale tout en traitant une mise à jour logicielle, ils doivent donc choisir l'un et retarder l'autre.

Dans la simulation, la décision d'investissement — la tâche principale d'un investisseur — était de choisir entre un investissement « sûr » qui lui rapportait 2 points ou un investissement « risqué » qui lui rapportait 0 ou 4 points avec une probabilité égale.

"En comptant le nombre de choix risqués, nous pouvons déterminer à quel point les gens prennent des risques, " dit Gonzalez.

Alternativement, les participants pouvaient renoncer à leur tâche principale d'investir afin d'appliquer une mise à jour de sécurité à leurs ordinateurs. Quatre-vingt-cinq pour cent du temps, la mise à jour coûte 10 points, s'apparente à un processus de mise à jour nécessitant un certain temps et perturbant la tâche principale d'un utilisateur. Autrement, la mise à jour coûte 0 point, semblable au processus de mise à jour se produisant pendant la nuit ou à un autre moment où la tâche principale d'un utilisateur ne serait pas interrompue.

Après avoir investi ou appliqué une mise à jour de sécurité, les participants ont appris s'ils avaient subi ou non une défaillance de sécurité. Une défaillance de sécurité a entraîné une perte de 100 points, et l'application d'une mise à jour réduirait la probabilité d'une défaillance de sécurité de 3 % à 1 %. Après avoir pris ces décisions 200 fois, simulant 200 jours en tant qu'investisseur, les participants ont été rémunérés en fonction du nombre de points qu'ils avaient accumulés.

Même si la meilleure décision en termes d'optimisation des points était d'appliquer une mise à jour de sécurité le premier jour de chaque période, beaucoup de gens ont retardé. Les résultats ont montré que les participants n'ont mis à jour que 54 % du temps, et 65% de ces mises à jour ont été retardées. La préférence pour le risque et le coût de la mise à jour ont joué des rôles relativement égaux pour pousser les participants à retarder les mises à jour de sécurité.

Compte tenu de l'importance des retards de mise à jour de sécurité, de nombreux participants ont connu des défaillances de sécurité. Mais ont-ils appris leur leçon ? Oui et non.

« Si un participant subit une défaillance de sécurité, ils appliquaient presque toujours une mise à jour de sécurité le lendemain, " dit Gonzalez. " Mais ce comportement s'est généralement détérioré avec le temps, et les participants retomberaient dans leurs vieilles habitudes."

Compte tenu de ces résultats, les chercheurs suggèrent que les entreprises devraient trouver des moyens d'inciter les utilisateurs - ou du moins de réduire les coûts de temps et d'efforts - à appliquer les mises à jour de sécurité dès qu'elles sont disponibles.

"Faites-le plus facilement. Rendez-le plus simple. Rendez-le moins cher, " dit Gonzalez. " Une grande influence dans les décisions que nous prenons sont les incitations que nous avons à prendre ces décisions. Réduire le coût, non seulement le coût monétaire, mais aussi le temps et les efforts, cela aide. »

Les autres auteurs de l'étude comprenaient les anciens chercheurs postdoctoraux de Carnegie Mellon Prashanth Rajivan et Efrat Aharonov-Majar.