Un récent étude Dirigé par l’Université Carnegie Mellon et l’Université Ben Gourion indique que les utilisateurs d’appareils mobiles présentent une plus grande tendance à éviter de cliquer sur des liens potentiellement malveillants par rapport à leurs homologues PC. Cette recherche met en évidence l’importance des stratégies de cybersécurité sur mesure pour différents appareils.
Les résultats de l’étude sont particulièrement pertinents à la lumière de la prévalence croissante des attaques de phishing. Le phishing a été identifié comme la principale cyber-plainte signalée au FBI en 2024, selon le dernier rapport IC3 de l’agence. Le rapport a documenté 193 407 plaintes de phishing sur un total de 859 532 plaintes, entraînant des pertes supérieures à 70 millions de dollars, en particulier 70 013 036 $.
Pour étudier les différences de comportement des utilisateurs entre les appareils, les chercheurs ont analysé les demandes d’anonymisé URL collectées auprès d’une startup de protection du réseau de cybersécurité. Cet ensemble de données comprenait un peu moins de 500 000 demandes d’URL des appareils mobiles et des PC sur une période d’une semaine en 2020. L’analyse a révélé «une relation positive et significative entre l’appareil mobile et le niveau de sécurité de l’URL cible», suggérant que les utilisateurs mobiles faisaient des choix plus sûrs.
Les recherches s’étendent au-delà des données d’observation par des expériences contrôlées. Les chercheurs ont recruté des participants de la plate-forme Amazon Mechanical Turk (AMT). Ces travailleurs AMT ont été chargés d’effectuer une activité de marquage d’image tout en étant interrompu par un message pop-up de phishing simulé. L’expérience a été conçue pour imiter les scénarios du monde réel où les utilisateurs sont confrontés à des liens inattendus et potentiellement malveillants.
Les résultats de l’expérience AMT ont démontré une différence significative de comportement entre les utilisateurs mobiles et PC. Plus précisément, les utilisateurs mobiles se sont révélés «2,67 fois plus susceptibles que les utilisateurs de PC d’afficher un comportement évident». Cela signifie que les utilisateurs mobiles étaient beaucoup plus enclins à éviter de cliquer sur les liens malveillants présentés dans les messages contextuels. Une expérience secondaire a renforcé ces résultats, révélant que les utilisateurs mobiles étaient 4,43 fois plus susceptibles que les utilisateurs de PC d’éviter les tentatives de phishing.
L’étude suggère que les utilisateurs mobiles ne prennent pas nécessairement de meilleures décisions sur les liens à cliquer, mais évitent plutôt prendre une décision. Le rapport conclut: «Les utilisateurs mobiles abordent le coût plus élevé de l’évaluation des risques en évitant le risque plutôt qu’en y succombant.» Cela implique que les utilisateurs mobiles sont plus susceptibles de se tromper du côté de la prudence, même si cela signifie manquer un contenu légitime.
Les chercheurs ont proposé plusieurs explications potentielles de cette différence de comportement. Une hypothèse se concentre sur «l’état d’esprit mobile», suggérant que les individus utilisant des appareils mobiles sont souvent en déplacement et connaissent une «charge cognitive» plus élevée. Le professeur et co-auteur de la recherche de Carnegie Mellon, Naama Ilany-Tzur, a expliqué: «Lorsque vous êtes chargé, voire surchargé, vous aurez tendance à éviter de prendre des décisions.»
La taille de l’écran plus petite et l’environnement plus contraint des appareils mobiles peuvent également contribuer à la difficulté de l’évaluation des risques. À l’inverse, les utilisateurs de PC «interagissent avec un écran plus grand et sont dans un environnement moins contraignant cognitivement, culminant dans une plus grande probabilité d’accepter le risque», selon la recherche.
Compte tenu de ces résultats, Ilany-Tzur suggère que les organisations envisagent d’ajuster leurs stratégies de cybersécurité pour tenir compte des différents profils de risque de PC et des utilisateurs mobiles. «Je dirais que l’alerter les gens plus rapidement ou le plus souvent, ou réduire le seuil des mécanismes d’alerte serait une stratégie générale pour commencer à gérer la situation», a-t-elle déclaré à Brew. Elle a également recommandé «l’amélioration des mécanismes de protection spécifiquement pour les appareils PC» dans un e-mail de suivi.
L’étude met en évidence l’importance de comprendre le comportement des utilisateurs à travers différents appareils et de personnaliser les mesures de cybersécurité en conséquence. Comme l’a déclaré Ilany-Tzur, «le danger se cache lorsque nous sommes à l’aise, pas lorsque nous sommes à bord», soulignant la nécessité d’une vigilance constante, en particulier chez les utilisateurs de PC qui peuvent être plus susceptibles des attaques de phishing.
