Monthly Archives: septembre 2015

De quelques similitudes entre utilisabilité et sécurité

Créer un système, c’est s’as­surer qu’il remplit un ensemble de fonc­tions données, mais aussi qu’il possède des qualités globales comme la main­te­na­bi­lité, la fiabi­lité, la rapi­dité… On les appelle parfois des exigences non-fonctionnelles. Parmi elles, l’uti­li­sa­bi­lité et la sécu­rité sont des qualités cruciales et moins anta­go­nistes que l’on ne pour­rait le croire.

Ne pas raisonner dans l’absolu

On se demande souvent « est-ce que cette inter­face est ergo­no­mique ? » Ce n’est pas la bonne ques­tion à se poser car elle n’a pas grand sens dans l’ab­solu. Il faut plutôt cher­cher à savoir dans quelle mesure elle est utili­sable, selon certains critères, pour certains usages et avec certaines contraintes.

Le même enjeu existe en sécu­rité : on oscille entre fantasmes de protec­tion totale et senti­ment résigné que, de toute façon, Google et la NSA savent tout de nous. Pourtant, non seule­ment la sécu­rité n’est pas une propriété binaire, mais grosso modo elle dépend de trois facteurs.

  1. Les enjeux : à quel point les données à protéger sont critiques ? Cette évalua­tion se fait clas­si­que­ment selon trois critères : la dispo­ni­bi­lité (les personnes auto­ri­sées ont accès aux données), la confi­den­tia­lité (unique­ment ces personnes y ont accès) et l’in­té­grité (les données n’ont pas été modi­fiées dans leurs dos). Selon le contexte, certains critères vont être privi­lé­giés : par exemple je consi­dère que déver­rouiller mon télé­phone faci­le­ment est plus impor­tant que de le rendre indé­chif­frable, donc je ne lui donne pas de mot de passe inter­mi­nable.
  2. Le modèle de menace : qui en a après mes données, quelles ressources a‑t-il et à quel point est-il déter­miné.
  3. La réponse : quelles mesures mettre en place ?

Elaborer une poli­tique de sécu­rité n’est pas forcé­ment très compliqué. Par exemple, selon James Mickens dans cet article très drôle, le modèle de menaces d’un parti­cu­lier peut se limiter à « Mossad ou pas Mossad ». Si le Mossad (ou une insti­tu­tion compa­rable) en a après vous, vous êtes foutus. Si non, prenez des mesures raison­nables et tout ira bien.

Même si elle n’est pas très compli­quée, la sécu­rité n’est jamais une propriété binaire. Il en va de même en ergo­nomie : on peut favo­riser la poly­va­lence ou la spécia­li­sa­tion, une appre­na­bi­lité rapide ou longue, etc.

Ne pas se croire tout puissant

En sécu­rité, un aspect inté­res­sant est que les mesures prises ont pour objec­tifs de rendre accep­table le niveau de risque — et pas plus. Pour chaque risque iden­tifié, on évalue sa vrai­sem­blance et sa gravité, avant de prendre une mesure pour dimi­nuer son impact. A la fin, il reste des vulné­ra­bi­lités rési­duelles, qu’il suffit d’ex­pli­citer et de justi­fier : certes, quel­qu’un avec un accès physique au système, une porte dérobée déjà en place et un super­cal­cu­la­teur de poche pour­rait opérer une brèche. Mais c’est un risque accep­table.

Ce n’est pas très diffé­rent d’une démarche ergo, dans laquelle on iden­tifie certains déter­mi­nants de l’ac­ti­vité (par exemple, l’uti­li­sa­teur est forcé d’uti­liser sa tablette avec des moufles), auxquels on répond par des solu­tions (doubler la taille des boutons) ou des recom­man­da­tions (ne pas utiliser la tablette dans un contexte néces­si­tant ces moufles).

La diffé­rence, dans mon expé­rience, c’est que la démarche ergo est :

  • Moins forma­lisée : Les obser­va­tions et solu­tions sont moins décom­po­sées, les points faibles sont affi­chés de manière moins trans­pa­rente. (Mais j’ai peut-être une vision idéa­liste des audits de sécu­rité.)
  • Moins cadrée : au nom d’une utili­sa­bi­lité parfaite et absolue, on nous demande souvent l’im­pos­sible. Une bonne part du boulot d’un expert en ergo­nomie est d’ex­pli­quer que l’on n’est pas omni­po­tents.

Faire avec l’utilisateur

Une dernière simi­li­tude, c’est qu’on ne peut pas conce­voir un système isolé : il faut anti­ciper son utili­sa­tion et supposer que l’uti­li­sa­teur peut être étourdi, brico­leur, ou malveillant (voire les trois en même temp). Par exemple, il faut anti­ciper ce qui se passe si l’uti­li­sa­teur oublie son mot de passe ou s’il est laxiste dans une procé­dure de véri­fi­ca­tion quel­conque.

Dans les deux cas, il y a une tension entre les utili­sa­teurs réels (pressés et tous diffé­rents) et idéaux (conscien­cieux et atten­tifs). Il existe même un concept juri­dique de « personne prudente et raison­nable », consa­crant le fait que mani­puler des infor­ma­tions sensibles entraine certaines respon­sa­bi­lités et exige un certain compor­te­ment. Evidemment, c’est plutôt rare d’aller en prison parce que vous n’avez pas utilisé un logi­ciel comme un concep­teur l’es­pé­rait. Malgré tout, la concep­tion doit faire certains postu­lats et compromis.

Similaires, voire complémentaires

La sécu­rité nuit souvent telle­ment à l’uti­li­sa­bi­lité qu’elle se tire une balle dans le pied. Les exemples ne manquent pas, des critères absurdes de choix de mot de passe à la complexité (PDF) des outils de chif­fre­ment. Les deux approches sont suffi­sam­ment simi­laires pour pouvoir être complé­men­taires. Il suffit d’en revenir à l’uti­li­sa­teur. Voici deux articles clas­siques pour creuser le sujet : « Users are not the enemy  » (PDF) et « When secu­rity gets in the way ».

Pocket et la cohérence c’est pas trop ça

Pocket est un service de lecture différée plutôt chouette et dispo­nible offi­ciel­le­ment sur cinq plate­formes. Hélas, les inter­faces de ces diffé­rentes plate­formes souffrent d’un certain manque d’ho­mo­gé­néité. C’est même carré­ment le bordel. J’ai fait un tableau de ces inco­hé­rences.

Dans l'ordre, la barre de navigation des versions Web, Android, Windows et Mac
Dans l’ordre, la barre de navi­ga­tion des versions Web, Android, Windows et Mac

Notez bien que :

  • Je me suis concentré sur l’accès aux fonc­tions concer­nées. Il y a d’autres inco­hé­rences : dans le reste de la procé­dure (ex : ajout d’items sur Mac, modi­fi­ca­tion groupée sur iPad), dans le choix des picto­grammes (mode d’af­fi­chage sur Windows), dans le concept de base (prin­cipe de double panneau avec l’ar­ticle à droite sur Mac)…
  • Un « non » dans le tableau signifie que la fonc­tion est pure­ment absente.
  • Le site web est respon­sive mais je n’ai inclus que la version « grand format ».
  • J’ai regroupé Paramètres et Aide par commo­dité car ils sont toujours placés à côté.

Le tableau, je trouve, montre bien l’étendue des diver­gences :

  • une moitié des fonc­tions est indis­po­nible sur au moins une plate­forme.
  • Aucune fonc­tion étudiée n’est parfai­te­ment homo­gène (c’est-à-dire offrant un accès iden­tique sur toutes les versions).
  • Sur les cinq plate­formes, on dénombre quatre accès diffé­rents pour trois fonc­tions

Certaines diver­gences sont faci­le­ment expli­cables :

  • Pocket suit parfois les conven­tions propres à chaque plate­forme. Par exemple, sur Android, les para­mètres se trouvent habi­tuel­le­ment dans le menu en haut à droite (celui acces­sible par les trois points) et ce menu n’a pas d’équi­valent sur iOS.
  • Certaines fonc­tions ont moins d’in­térêt sur certaines plate­formes, par exemple un affi­chage en grille sur un petit smart­phone.
  • Il y a toujours une certaine inertie dans le déve­lop­pe­ment multi-plateformes et il n’est pas facile d’avoir une feuille de route unifiée dans le moindre détail.

Mais ça n’ex­plique pas l’am­pleur du problème. J’y vois surtout un manque de volonté des créa­teurs. Par exemple, la version Windows / Chrome OS utilise les même tech­no­lo­gies que la version web (en gros c’est une web app lancée en local). Les deux devraient donc être rela­ti­ve­ment faciles à faire converger, pour­tant la version Windows est l’une des plus diver­gentes.

Un facteur supplé­men­taire d’in­co­hé­rence est temporel : des mises à jour modi­fient fréquem­ment les inter­faces et ajoutent à la confu­sion. Je ne saurais dire si l’ho­mo­gé­néité est tendan­ciel­le­ment crois­sante.

Foin de blabla, voici le tableau.

FonctioniPadAndroidWebWindowsMac# de divergences
Nav principaleMenu hamburgerMenu hamburgerÀ gaucheMenu déroulant centralNon3 + 1 non
Filtrer par labelsMenu hamburgerMenu hamburgerÀ gauche1e ligne, droiteEn bas4
Filtrer par type d'articlesMenu hamburgerMenu hamburgerÀ gaucheGauche, 1e lignePremière ligne4
Paramètres et aideMenu hamburgerMenu, droiteMenu, droiteMenu déroulant centralBarre de menus native4
PremiumMenu hamburgerMenu hamburgerMenu, droiteMenu déroulant centralNon3 + 1 non
MessagerieMenu hamburgerMenu hamburger1e ligne, droiteNonNon2 + 1 non
Modification groupéeMenu, droite ou tap long sur itemMenu, droite2e ligne, droiteNonNon2 + 1 non
Ajout d'itemsGauche, 1e ligneNon1e ligne, droiteGauche, 1e ligneBarre de menus native3
Recherche1e ligne, droite1e ligne, droite1e ligne, droite1e ligne, droiteEn bas2
Mode d'affichage1e ligne, droiteNon2e ligne, droiteGauche, 1e ligneNon2 + 2 non