Reston, Virginie. – Le 8 octobre 2019 – L’Online Trust Alliance (OTA) de l’Internet Societyqui identifie et promeut les meilleures pratiques en matière de sécurité et de protection de la vie privée qui renforcent la confiance des consommateurs dans l’Internet, a annoncé aujourd’hui les résultats de son audit de la campagne présidentielle américaine 2020, une étude analysant les 23 campagnes présidentielles actuelles et leur engagement envers la protection des consommateurs en ligne, la sécurité des données et les pratiques responsables en matière de protection des renseignements personnels.
Chiffre alarmant, 70 % des sites Web des campagnes examinées dans le cadre de la vérification ne respectaient pas les normes de confidentialité et de sécurité de l’OTA, ce qui exposait potentiellement les visiteurs à des risques inutiles. Seulement sept (30 %) des campagnes analysées ont pu s’inscrire au tableau d’honneur, une désignation reconnaissant les campagnes qui se sont engagées à utiliser les meilleures pratiques pour protéger les renseignements des visiteurs. Pour se qualifier au tableau d’honneur, les campagnes doivent obtenir un score global de 80 % minimum, sans échec dans aucune des trois catégories examinées. Il n’existait aucune zone grise dans les résultats de l’audit – soit les campagnes rejoignaient le tableau d’honneur, soit cela signifiait qu’elles avaient échoué dans au moins une catégorie.
L’OTA a mené un audit semblable en 2016, en examinant les normes de sécurité et de protection de la vie privée des sites Web pour les campagnes électorales présidentielles de 2016. Étonnamment, le résultat de la campagne de cette année s’est en fait détérioré dans certains domaines par rapport à ceux de 2016, malgré l’importance accrue accordée à la protection des renseignements personnels et à la sécurité au cours des quatre dernières années.
Les performances globales ne se sont que très légèrement améliorées pour 2020, 70 % des campagnes ayant échoué dans au moins une catégorie de l’audit, contre 74 % en 2016. Toutes les campagnes qui ont connu un échec ont obtenu des scores insuffisants concernant leurs déclarations de confidentialité, principalement en raison de l’absence de restrictions en matière de partage des données. Étonnamment, les protections d’authentification des e-mails se sont détériorées. En 2016, 100 % des campagnes utilisaient un certain type d’authentification des e-mails, tandis que deux campagnes n’ont utilisé aucune protection par e-mail en 2020.
Résultats de l’audit de confiance en ligne – Campagnes présidentielles américaines 2020 |
||
Tableau d’honneur |
Un échec |
|
Pete Buttigieg (D) |
Michael Bennett (D) |
Tim Ryan (D) |
Kamala Harris (D) |
Joe Biden (D) |
Mark Sanford (R) |
Amy Klobuchar (D) |
Cory Booker (D) |
Joe Sestak (D) |
Beto O’Rourke (D) |
Steve Bullock (D) |
Tom Steyer (D) |
Bernie Sanders (I) |
Julian Castro (D) |
Joe Walsh (R) |
Donald Trump (R) |
John Delaney (D) |
Elizabeth Warren (D) |
Marianne Williamson (D) |
Tulsi Gabbard (D) |
Bill Weld (R) |
|
Wayne Messam (D) |
Andrew Yang (D) |
Défaillances en matière de protection de la vie privée
La vérification a porté sur trois grandes catégories, dont la protection de la vie privée, évaluant le partage et la conservation des données dans les déclarations de confidentialité du site Web de campagne. L’audit a également analysé le suivi effectué par des tierces parties sur le site. Bien qu’aucun des sites Web n’ait présenté de problèmes majeurs de suivi par des tiers, la plupart d’entre eux avaient soit une déclaration de confidentialité qui permettait le partage gratuit des données, soit ne présentaient aucune déclaration de confidentialité du tout. Cette politique de partage « sans limites » signifie que les données personnelles peuvent être partagées entre des « organisations aux vues similaires » (une expression présente dans de nombreuses déclarations de confidentialité), ce qui peut être contraire aux attentes des utilisateurs.
Absence de protection des consommateurs
La catégorie Protection des consommateurs a attribué une note à l’authentification des e-mails et aux technologies connexes visant à aider à protéger les consommateurs contre l’hameçonnage et d’autres problèmes de sécurité. Les campagnes ont en fait régressé par rapport à l’audit des présidentielles de 2016 dans ce secteur, deux des campagnes de 2020 n’utilisant aucune authentification des e-mails (alors que toutes les campagnes procédaient à une authentification des e-mails en 2016).
En ce qui concerne la technologie d’authentification des e-mails utilisée, la prise en charge du Sender Policy Framework (SPF) pour les domaines de premier niveau a baissé pour les campagnes 2020, à 87 %, contre 91 % en 2016. La prise en charge du Domain Keys Identified Mail (DKIM) est passée de 78 % à 91 %. Le SPF et le DKIM aident à protéger les consommateurs contre les e-mails falsifiés/usurpés. L’adoption de la politique DMARC – une solution de déploiement et de surveillance des problèmes liés à l’authentification des e-mails – est passée de 4 % en 2016 à 61 % en 2020. DMARC enregistre également une augmentation de 0 % à 30 % des « mises en application », ce qui constitue une amélioration de ces résultats. DMARC fournit des instructions sur la façon de traiter les messages qui ne passent pas l’authentification.
La sécurité des sites est un point fort.
Les résultats des campagnes en matière de sécurité des sites ont été comparables à ceux des secteurs ayant obtenu les meilleures notes lors du récent audit de confiance en ligne de l’OTA. Cela peut être attribué au fait que ces sites de campagne sont somme toute nouveaux, et au fait qu’ils ont été créés récemment sur des plateformes sécurisées. On a également constaté une croissance significative en ce qui concerne l’adoption permanente du SSL (100 % d’adoption) et l’utilisation d’un pare-feu pour les applications Web (58 %, contre 35 % en 2016).
« Le nombre de campagnes qui ont échoué à l’audit de confiance des campagnes présidentielles de 2020 est alarmant étant donné l’attention accrue accordée aux questions de confidentialité et de sécurité au cours des quatre dernières années », a déclaré Jeff Wilbur, directeur technique de l’Online Trust Alliance de l’Internet Society. « Les campagnes doivent faire de la bonne gestion des informations de leurs visiteurs une priorité. »
Pour plus d’informations sur la méthodologie utilisée, consultez la pagehttps://www.internetsociety.org/campaignaudit
Téléchargez le rapport completici.
À propos de l’OTA
L’Online Trust Alliance (OTA) est une initiative de l’Internet Society dont l’objectif est d’identifier et de promouvoir les meilleures pratiques en matière de sécurité et de protection de la vie privée renforçant la confiance des utilisateurs dans Internet. Les principales organisations publiques et privées, fournisseurs, chercheurs et décideurs, contribuent et respectent les directives de l’OTA, dans l’optique de rendre les transactions en ligne plus sûres et de mieux protéger les données des utilisateurs. L’Internet Society est une organisation internationale à but non lucratif dont la mission est de garantir un Internet ouvert, connecté et sécurisé à tous les utilisateurs.
Contact :
Ashley Mann
Voxus PR (pour OTA)
253-444-5955
[email protected]