Avez-vous vu des rapports sur une augmentation massive de la cybercriminalité pendant le coronavirus: les ransomwares en hausse de 90%, les violations de données en hausse de 223%? Vous avez remarqué que de nombreux comptes majeurs ont été piratés sur Twitter? Si tel est le cas, vous pourriez ressentir un sentiment de déjà-vu. Si vous étiez sur Internet en 2009, vous auriez entendu dire que la cybercriminalité avait doublé. Vous auriez également entendu parler de la croissance de la cybercriminalité et de la dotation en personnel des services de police pour y mettre un terme.

La plupart d’entre nous ont probablement l’impression qu’on nous demande de faire beaucoup pour nous protéger en ligne. Changer constamment les mots de passe, entrer des codes d’authentification à deux facteurs pour se connecter à des sites Web, mettre à jour nos ordinateurs et peut-être même exécuter un logiciel antivirus. La liste des conseils de sécurité à suivre ne cesse de s’allonger: les chercheurs ont récemment documenté plus de 400 conseils uniques sur la sécurité et la confidentialité disponibles en ligne. Pour vous aider à rester au courant des choses, vous pouvez même vous inscrire pour recevoir quotidiennement des e-mails de conseils de sécurité.

Comment se fait-il que nous déployions constamment des efforts sur la sécurité numérique, mais que la cybercriminalité ne cesse d’augmenter? Il s’avère que même les experts en sécurité qui donnent ces conseils ne savent pas vraiment ce que vous devez faire pour vous protéger des crimes rapportés dans ces nouvelles sensationnelles.

L’argument en faveur des conseils de sécurité semble clair. Contrairement à la criminalité physique, qui nécessite la proximité, la cybercriminalité donne aux attaquants une portée mondiale. Les résidents des banlieues verdoyantes des États-Unis n’ont généralement pas à s’inquiéter des gangs criminels à l’autre bout du monde, mais la cybercriminalité change la donne. Internet amène des criminels de toutes les régions du monde dans un espace partagé, augmentant considérablement le nombre de personnes susceptibles de vous attaquer. Comme l’écrit l’expert en sécurité Bruce Schneier: «Dans le cyberespace, vous pouvez configurer votre ordinateur pour qu’il recherche une chance sur cent mille. Vous en trouverez probablement une ou deux douzaines chaque jour. » Pour lutter contre cette cybercriminalité, il nous est demandé de prendre une liste de plus en plus longue de mesures de sécurité pour protéger nos ordinateurs et nos comptes.

Vous pourriez supposer qu’il existe un grand nombre de preuves montrant que si vous faites ce qu’on vous dit – utilisez des mots de passe forts, exécutez votre logiciel antivirus – vous réduirez considérablement votre risque de cybercriminalité.

Malheureusement, vous vous trompez. Malgré l’importance des conseils en matière de sécurité numérique, nous en savons remarquablement peu sur son efficacité. En médecine, les nouveaux traitements et les recommandations de comportement sain doivent passer par un ensemble rigoureux d’études cliniques avant que les médecins ne commencent à faire des suggestions aux patients. Pourtant, pour la sécurité en ligne – sur laquelle beaucoup d’entre nous passent plus de temps que sur notre santé physique – il existe peu de preuves de ce type.

Le coronavirus nous a enseigné l’importance de prendre des décisions fondées sur des preuves et d’ajuster ces décisions à mesure que nous en apprenons davantage. Par exemple, notre compréhension des types de rassemblements risqués et l’importance du port de masques a changé et s’est adaptée en réponse à de nouvelles informations. Pourtant, quelle que soit l’urgence du besoin, nous ne publierons pas de vaccin, ni ne recommanderons l’utilisation d’un masque, sans démonstration sans équivoque de son efficacité.

Dans quelle mesure la plupart des cyberdéfenses fonctionnent-elles bien? La réponse est «Nous ne savons pas.» Chaque fois qu’une nouvelle attaque numérique possible est découverte, de nouvelles recommandations sont émises pour l’empêcher; même si la probabilité que cette attaque se produise est extrêmement faible. Par exemple, au cours des six derniers mois seulement, de nouvelles listes de conseils de sécurité ont déjà été produites pour vous aider à rester à l’abri des escroqueries de recherche de contacts, des escroqueries sur les paiements de relance et des escroqueries contre le chômage, malgré aucune preuve connue de la prévalence ou de la longévité de ces attaques.

La principale source d’informations sur les escroqueries en ligne et ce qu’il faut faire à leur sujet provient d’experts en sécurité. Cependant, les recommandations proposées par ces experts se révèlent incohérentes dans le temps et parmi les experts. Même les experts ont du mal à identifier les conseils de sécurité les plus importants. Une étude récente a révélé que 41 experts en sécurité, invités à évaluer des centaines de conseils en matière de sécurité et de confidentialité, ont fini par classer 118 conseils uniques parmi les «cinq» choses les plus importantes à faire pour se protéger!

Demandez à un expert en sécurité l’importance des mots de passe forts et vous serez probablement informé des phrases de passe, de l’influence de la longueur et de la composition sur le nombre de suppositions qu’un attaquant devra faire, et du nombre de milliards de mots de passe l’ordinateur peut faire par seconde. Vous n’entendrez certainement pas parler de données montrant que ceux qui choisissent des mots de passe plus forts font mieux que ceux qui ont des mots de passe faibles.

Pourquoi pas? Premièrement, nous savons peu de choses sur le niveau de risque auquel les internautes sont confrontés. Dans quelle mesure suis-je susceptible d’être victime d’une cybercriminalité l’année prochaine? La réponse n’est pas claire. Pourquoi? Parce que de nombreuses estimations des pertes liées à la cybercriminalité couvrent les coûts des entreprises plutôt que des consommateurs et que les tentatives d’enquêter sur les pertes des consommateurs ont souvent une méthodologie défectueuse au point que nous ne pouvons pas nous fier aux conclusions. Si vous demandez à n’importe quel médecin, il pourra vous donner une estimation assez précise du nombre de personnes qui développeront un cancer l’année prochaine. Si vous demandez à un expert en sécurité, il aura du mal à vous donner une estimation basée sur les données du nombre de personnes dont les comptes Twitter seront compromis au cours de la même période.

Deuxièmement, nous n’avons aucune preuve de la mesure dans laquelle un comportement de sécurité donné conseillé par des experts empêche un risque en ligne particulier. Ce que nous avons, c’est un ensemble incohérent et croissant d’actions visant la direction générale d’une collection amorphe de préjudices.

Il s’avère qu’aucun de nous – même les experts en sécurité – ne dispose de bonnes données sur ce que nous devons faire pour rester en sécurité en ligne. Cela ne veut pas dire que nous ne pouvons rien faire, ni qu’il est conseillé d’ignorer les menaces. Mais les preuves à l’appui de ce que nous sommes censés faire pour rester en sécurité en ligne ne sont pas près de répondre aux normes que nous attendons de la médecine et d’autres domaines. Ainsi, vous pouvez cesser de vous sentir coupable de ne pas avoir écouté tous les conseils de sécurité en ligne: vous n’avez pas tort si vous pensez que tout n’est pas nécessaire. Et les experts en sécurité numérique peuvent prendre cela comme un appel à rattraper les normes de preuve basées sur les données: changer le comportement de milliards de personnes est beaucoup plus facile si vous venez avec des données.