De quelques similitudes entre utilisabilité et sécurité

Créer un système, c’est s’as­surer qu’il remplit un ensemble de fonc­tions données, mais aussi qu’il possède des qualités globales comme la main­te­na­bi­lité, la fiabi­lité, la rapi­dité… On les appelle parfois des exigences non-fonctionnelles. Parmi elles, l’uti­li­sa­bi­lité et la sécu­rité sont des qualités cruciales et moins anta­go­nistes que l’on ne pour­rait le croire.

Ne pas raisonner dans l’absolu

On se demande souvent « est-ce que cette inter­face est ergo­no­mique ? » Ce n’est pas la bonne ques­tion à se poser car elle n’a pas grand sens dans l’ab­solu. Il faut plutôt cher­cher à savoir dans quelle mesure elle est utili­sable, selon certains critères, pour certains usages et avec certaines contraintes.

Le même enjeu existe en sécu­rité : on oscille entre fantasmes de protec­tion totale et senti­ment résigné que, de toute façon, Google et la NSA savent tout de nous. Pourtant, non seule­ment la sécu­rité n’est pas une propriété binaire, mais grosso modo elle dépend de trois facteurs.

  1. Les enjeux : à quel point les données à protéger sont critiques ? Cette évalua­tion se fait clas­si­que­ment selon trois critères : la dispo­ni­bi­lité (les personnes auto­ri­sées ont accès aux données), la confi­den­tia­lité (unique­ment ces personnes y ont accès) et l’in­té­grité (les données n’ont pas été modi­fiées dans leurs dos). Selon le contexte, certains critères vont être privi­lé­giés : par exemple je consi­dère que déver­rouiller mon télé­phone faci­le­ment est plus impor­tant que de le rendre indé­chif­frable, donc je ne lui donne pas de mot de passe inter­mi­nable.
  2. Le modèle de menace : qui en a après mes données, quelles ressources a‑t-il et à quel point est-il déter­miné.
  3. La réponse : quelles mesures mettre en place ?

Elaborer une poli­tique de sécu­rité n’est pas forcé­ment très compliqué. Par exemple, selon James Mickens dans cet article très drôle, le modèle de menaces d’un parti­cu­lier peut se limiter à « Mossad ou pas Mossad ». Si le Mossad (ou une insti­tu­tion compa­rable) en a après vous, vous êtes foutus. Si non, prenez des mesures raison­nables et tout ira bien.

Même si elle n’est pas très compli­quée, la sécu­rité n’est jamais une propriété binaire. Il en va de même en ergo­nomie : on peut favo­riser la poly­va­lence ou la spécia­li­sa­tion, une appre­na­bi­lité rapide ou longue, etc.

Ne pas se croire tout puissant

En sécu­rité, un aspect inté­res­sant est que les mesures prises ont pour objec­tifs de rendre accep­table le niveau de risque — et pas plus. Pour chaque risque iden­tifié, on évalue sa vrai­sem­blance et sa gravité, avant de prendre une mesure pour dimi­nuer son impact. A la fin, il reste des vulné­ra­bi­lités rési­duelles, qu’il suffit d’ex­pli­citer et de justi­fier : certes, quel­qu’un avec un accès physique au système, une porte dérobée déjà en place et un super­cal­cu­la­teur de poche pour­rait opérer une brèche. Mais c’est un risque accep­table.

Ce n’est pas très diffé­rent d’une démarche ergo, dans laquelle on iden­tifie certains déter­mi­nants de l’ac­ti­vité (par exemple, l’uti­li­sa­teur est forcé d’uti­liser sa tablette avec des moufles), auxquels on répond par des solu­tions (doubler la taille des boutons) ou des recom­man­da­tions (ne pas utiliser la tablette dans un contexte néces­si­tant ces moufles).

La diffé­rence, dans mon expé­rience, c’est que la démarche ergo est :

  • Moins forma­lisée : Les obser­va­tions et solu­tions sont moins décom­po­sées, les points faibles sont affi­chés de manière moins trans­pa­rente. (Mais j’ai peut-être une vision idéa­liste des audits de sécu­rité.)
  • Moins cadrée : au nom d’une utili­sa­bi­lité parfaite et absolue, on nous demande souvent l’im­pos­sible. Une bonne part du boulot d’un expert en ergo­nomie est d’ex­pli­quer que l’on n’est pas omni­po­tents.

Faire avec l’utilisateur

Une dernière simi­li­tude, c’est qu’on ne peut pas conce­voir un système isolé : il faut anti­ciper son utili­sa­tion et supposer que l’uti­li­sa­teur peut être étourdi, brico­leur, ou malveillant (voire les trois en même temp). Par exemple, il faut anti­ciper ce qui se passe si l’uti­li­sa­teur oublie son mot de passe ou s’il est laxiste dans une procé­dure de véri­fi­ca­tion quel­conque.

Dans les deux cas, il y a une tension entre les utili­sa­teurs réels (pressés et tous diffé­rents) et idéaux (conscien­cieux et atten­tifs). Il existe même un concept juri­dique de « personne prudente et raison­nable », consa­crant le fait que mani­puler des infor­ma­tions sensibles entraine certaines respon­sa­bi­lités et exige un certain compor­te­ment. Evidemment, c’est plutôt rare d’aller en prison parce que vous n’avez pas utilisé un logi­ciel comme un concep­teur l’es­pé­rait. Malgré tout, la concep­tion doit faire certains postu­lats et compromis.

Similaires, voire complémentaires

La sécu­rité nuit souvent telle­ment à l’uti­li­sa­bi­lité qu’elle se tire une balle dans le pied. Les exemples ne manquent pas, des critères absurdes de choix de mot de passe à la complexité (PDF) des outils de chif­fre­ment. Les deux approches sont suffi­sam­ment simi­laires pour pouvoir être complé­men­taires. Il suffit d’en revenir à l’uti­li­sa­teur. Voici deux articles clas­siques pour creuser le sujet : « Users are not the enemy  » (PDF) et « When secu­rity gets in the way ».

Articles liés

Attention, commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.