Le métavers consolidé, qui reste la prochaine frontière pour les entreprises technologiques, se rapproche de plus en plus. Les grandes entreprises technologiques s’efforcent de bien démarrer, tandis que les entreprises se tournent vers ce nouveau secteur d’activité. Cependant, comme pour toute autre forme de technologie qui traite des données, la cybersécurité est à nouveau une question clé. Alors, comment la cybersécurité des métavers se positionne-t-elle face aux criminels qui cherchent à tirer parti de ce nouveau paysage commercial ?
« Que ce soit dans les espaces physiques ou numériques, ou même dans un monde non réglementé comme le métavers, les plateformes qui nous permettent d’interagir et d’échanger avec d’autres sont des cibles attrayantes pour les cybercriminels. Après tout, les cybercriminels ne perdent jamais une occasion de frapper », a commenté David Rajoo, responsable de l’ingénierie des systèmes chez Palo Alto Networks en Malaisie, lorsqu’il a parlé des problèmes de sécurité immédiats et primaires dans le métavers à Tech Wire Asia.
Il a fait remarquer que l’intersection des réalités physiques et numériques dans le métavers indique la probabilité que des informations numériques existent dans des espaces physiques, ce qui signifie que les incidents de sécurité numérique peuvent très bien avoir des conséquences importantes dans le monde matériel également.
Cybersécurité dans les métavers : préoccupations et défis immédiats
Dans l’état actuel de l’économie, les gens ont déjà un besoin crucial de vérifier et de sécuriser leur identité numérique afin de s’assurer que leurs informations personnelles identifiables (PII) ne peuvent être utilisées à mauvais escient ou vendues. Selon Rajoo, dans un environnement non réglementé comme le métavers, cette préoccupation en matière de sécurité ne fera que s’accentuer, car l’élargissement des cas d’utilisation des identités numériques les rendra encore plus attrayantes à exploiter pour les cybercriminels.
« Il est également probable que les consommateurs auront besoin d’un certain type de matériel portable, comme des lunettes ou des casques intelligents, pour être totalement immergés dans le métavers. L’adoption généralisée de ces appareils connectés se traduira par un élargissement inévitable de la surface d’attaque, ce qui pourrait se traduire par davantage de vulnérabilités et de possibilités de cyberattaques si elles ne sont pas correctement sécurisées », a-t-il ajouté.
Il a ajouté que les organisations qui cherchent à entrer dans le métavers doivent être attentives à la manière dont les différents appareils et parties interagiront dans cet environnement inconnu, car les cybercriminels opportunistes considéreront le métavers comme une autre plateforme pour exécuter les mêmes cyberattaques.
Pour ce qui est de savoir si les mesures de cybersécurité actuelles sont suffisantes pour le métavers, M. Rajoo estime qu’il existe des lacunes et des problèmes qui doivent être résolus, et que la cybersécurité doit être intégrée dans l’infrastructure et le cadre dès la construction du code.
« Les lacunes du Web 2.0 ont sensibilisé le public à l’importance de la confidentialité des données et des informations personnelles. Pour la commodité des services en ligne, les gens permettent à des serveurs centralisés de collecter et de stocker leurs identités, leurs comportements de navigation, leurs données personnelles et leurs informations », a expliqué M. Rajoo.
« L’arrivée de géants de la technologie tels que Meta et Microsoft va certainement entraîner un afflux de capitaux et de brillants innovateurs pour construire l’infrastructure de sécurité du métavers. Leurs visions du métavers peuvent être différentes, mais la fourniture d’une forte sécurité de l’identité devrait être la priorité commune des constructeurs de métavers », a déclaré M. Rajoo, qui a également appelé les régulateurs à garder un œil sur cette technologie émergente pour s’assurer qu’elle est bien comprise, mais sans entraver ou ralentir l’innovation nécessaire à son essor.
Sécurité et vie privée – où se situe la limite ?
M. Rajoo a expliqué que les transactions numériques sur les appareils personnels, en particulier dans le métavers, augmentent le risque de perte financière en raison de l’augmentation des approches sans permission.
« Les approches sans permission garantissent une expérience transparente dans le métavers en partageant automatiquement les identités et les informations des utilisateurs avec la source ouverte. La mise en œuvre de la technologie blockchain/décentralisée est considérée comme une solution pour sécuriser l’identité du métavers tout en protégeant les utilisateurs contre la fraude. »
« En passant dans le métavers, les caractéristiques faciales et les données biométriques seront potentiellement exposées aux voleurs d’identité qui volent les informations personnelles et financières d’une autre personne pour commettre une fraude, comme effectuer des transactions ou des achats non autorisés », a déclaré Rajoo.
Selon lui, l’un des moyens de lutter contre ce phénomène est le cadre de confiance zéro de Palo Alto pour la validation et la vérification.
Pour Rajoo, la mise en œuvre de Zero Trust tire parti du contrôle et de la visibilité de l’écosystème numérique, depuis l’identité, l’application et l’IoT jusqu’au réseau, au cloud et plus encore. Il a souligné qu’un cadre de confiance zéro efficace valide et vérifie tout, applique l’accès du moindre privilège aux segments de données sensibles. Grâce à la visibilité, le système de sécurité analysera tout le contenu à la recherche d’activités malveillantes et d’un éventuel vol de données pour garantir des transactions sûres et sécurisées.
Chez Palo Alto Networks, nous pensons que la confidentialité est importante pour la confiance des clients. Nous sommes redevables et responsables de la protection des informations personnelles qui nous sont confiées. Nous mettons en œuvre des mesures de sécurité techniques, organisationnelles et physiques afin de garantir un niveau de sécurité approprié pour chaque information personnelle que nous recueillons. En outre, nous nous assurons que nos clients sont bien informés lorsque nous recueillons leurs informations personnelles à des fins commerciales spécifiques et légitimes, et nous respectons leurs préférences », a déclaré M. Rajoo.
Décentraliser la cybersécurité des métavers
M. Rajoo pense également que l’avènement du Web3, qui vise à créer un web anti-monopole et favorable à la protection de la vie privée grâce à la décentralisation, permettra de résoudre efficacement le problème de la confidentialité des données en rendant les identités des utilisateurs à leurs propriétaires légitimes, tout en réduisant considérablement les piratages et les violations de données.
Comme le métavers vante les mérites d’une communauté unifiée d’utilisateurs se connectant les uns aux autres dans le cyberespace virtuel, cela signifiera probablement la collecte de plus de données auprès des utilisateurs. M. Rajoo a expliqué que dans le paysage numérique actuel, des millions de données et d’identités sont créées et stockées sur des systèmes centralisés, ce qui crée des points centraux d’attaque. Nombreux sont ceux qui se sont inquiétés du manque de solutions de sécurité efficaces pour les fournisseurs de technologies centralisées afin de stocker en toute sécurité les données des utilisateurs.
« Alors que nous nous dirigeons vers l’automatisation, la mise en œuvre de l’IA et du ML dans les solutions de cybersécurité renforcera encore l’efficacité de l’analyse des accès et des comportements des utilisateurs à plus grande échelle, et permettra de prévenir efficacement les menaces inconnues croissantes dans le métavers », a ajouté Rajoo, qui pense également que les constructeurs et les fournisseurs de métavers doivent se préparer à un cadre d’identité décentralisé pour améliorer la protection des utilisateurs et des données.
Matière à réflexion pour les entreprises et les utilisateurs
Pour les entreprises qui cherchent à créer des vitrines et à faire de la publicité sur le métavers, M. Rajoo note qu’il est impératif qu’elles pensent à la réputation de la marque, à la propriété intellectuelle et à la manière d’identifier les fraudes et les abus dès le départ. Elles auront besoin d’une stratégie à toute épreuve offrant une visibilité totale sur la manière dont les gens et les autres organisations interagiront avec elles, et veilleront à ce que la sécurité soit intégrée à toutes les étapes de leur approche, de la planification à la phase d’exécution.
« Les organisations doivent chercher à protéger les données qu’elles collectent et à contrôler les tiers avec lesquels elles partagent des données, tout en appliquant le principe « ne faites confiance à rien, validez tout », ou confiance zéro. Ce principe exige que les parties valident en permanence chaque étape de l’interaction numérique, plutôt que de s’appuyer uniquement sur l’authentification et l’autorisation pour lutter contre l’exfiltration de données sensibles », a déclaré M. Rajoo.
Il a également rappelé aux organisations qu’elles doivent être attentives à la manière dont les différents appareils et parties interagissent dans l’environnement inconnu qu’est le métavers, en soulignant la nécessité d’établir une architecture bien coordonnée et de mettre en œuvre des solutions qui valident, authentifient et appliquent des capacités de prévention des menaces dans l’ensemble de leur infrastructure. Selon lui, cela aidera les organisations à identifier les menaces potentielles et à redoubler d’efforts dans les domaines particulièrement vulnérables.
Pour les utilisateurs, il a noté que le métavers est comme toute interaction sociale en ligne, où les utilisateurs devraient réfléchir à ce qu’ils partagent leurs données et comment ils le font.
« Le métavers pourrait aider les entreprises à diffuser des publicités ciblées et hyperpersonnalisées aux consommateurs, en fonction de leurs interactions, de leurs goûts et d’autres informations glanées dans ce qu’ils publient et partagent. Ce type d’informations, lorsqu’elles sont partagées de manière excessive, pourrait être utilisé par des cybercriminels pour prendre le contrôle de comptes et voler des identités », a-t-il déclaré.
