Roger Thomson, le Chief Research Officer d’AVG, publie sur le blog de l’entreprise un article d’un niveau technique relativement insignifiant, mais d’une profondeur insondable d’un point de vue humain. En fouillant dans le marais des messages Facebook, Thomson est tombé sur l’une de ces nombreuses alertes incitatives invitant à visualiser une séquence vidéo. Peu importe la « charge utile » ou l’escroquerie sous-jacente. C’est surtout le contenu du message d’incitation qui est étonnant, puisqu’il demande à la « victime » d’effectuer un couper-coller d’un texte vers le champ de saisie d’adresse de son navigateur. Un texte qui n’est rien d’autre qu’un javascript.
Sur les quelques 600 000 personnes ayant visité cette page –et qui, par le truchement d’un automatisme, se sont vues déclarer « aimer cette vidéo »- combien ont réellement effectué ce couper-coller ? Combien de temps encore pourra-t-on lire des bulletins d’alertes émis par les différents éditeurs expliquant que telle ou telle faille ne mérite nullement le qualificatif de « critique » compte tenu du fait qu’elle demande une « strong user interaction » ? la dissociation –voir la totale ignorance- de l’élément humain dans l’appréciation technique de l’exploitation d’une faille est encore le dernier rempart de certains fonctionnaires-comptables de la sinistralité logicielle dont le rôle est de maintenir les statistiques en deçà d’un certain seuil. Avec deux doigts de psychologie, l’on peut tout exiger d’une victime : saborder son propre ordinateur ou adopter n’importe quel comportement à risque. Mais contre çà, il n’existe aucun « patch ».