Il est difficile de prévoir les cybermenaces pour un espace produit qui n’existe pas encore et qui peut ou non exister sous la forme que nous envisageons. Dans cette optique, nous avons réfléchi à des idées pour affiner notre compréhension du métavers et identifier les menaces contre le métavers et à l’intérieur du métavers.
NFTs
On a beaucoup parlé de l’utilisation de jetons non fongibles (NFT) dans le métaverse. Les NFT sont des unités de données uniques, stockées sur la blockchain, qui peuvent être vendues et échangées. Les données NFT peuvent inclure des hachages ou des liens vers des fichiers numériques tels que des textes, des photos, des vidéos et des fichiers audio, afin de vérifier la propriété des actifs numériques. Les NFT régulent la propriété des actifs mais ne les stockent pas, ce qui expose les utilisateurs au rançonnement ou à d’autres menaces. Si les fichiers sont chiffrés par un ransomware, le propriétaire de la NFT ne pourra pas accéder aux fichiers. Pire encore, si la blockchain sous-jacente est sensible aux attaques sybiles, l’actif peut effectivement être volé.
Les escrocs peuvent également cloner un NFT en modifiant subtilement quelques bits de données dans le fichier « protégé » et vendre essentiellement le même actif numérique. Les serveurs d’actifs peuvent également être manipulés, comme l’a montré Moxie Marlinspike, en modifiant le contenu renvoyé par l’URL stocké dans le NFT.
Un autre problème de sécurité concerne les transferts d’actifs. Déplacer des actifs numériques entre des espaces métaverses peut entraîner des coûts dus à la vérification et aussi parce que des actifs incompatibles doivent être « convertis » pour être utilisés sur une plateforme technologiquement différente. Des courtiers en actifs seront utilisés à cette fin, mais des escrocs se faisant passer pour des courtiers en actifs peuvent escroquer les utilisateurs.
Avant que les meilleures pratiques et règles ne soient établies, les routes commerciales virtuelles pourraient ressembler au Far West. Si elles sont fortement ancrées dans la technologie blockchain, il s’agira essentiellement d’un marché non réglementé où il n’existe pas de gouvernement ou d’entité juridique définie pour aider en cas de fraude. Les attaques existantes, telles que le phishing, les drive-by-downloads et autres, pourraient également être plus efficaces en raison du sentiment de confiance que présente cet espace interactif.
Le Darkverse
Le darkverse, similaire au Dark Web, sera un espace anonyme dans lequel les utilisateurs malveillants pourront interagir. La présence pseudo-physique imite les espaces réels utilisés pour les réunions clandestines, ce qui permet aux criminels de faciliter leurs activités illégales. À l’inverse, il pourrait également s’agir d’un espace sûr pour la liberté d’expression contre des entités ou des gouvernements oppressifs.
Les mondes du Darkverse pourraient être configurés de manière à n’être accessibles que si l’utilisateur se trouve dans un lieu physique désigné – cela protège les communautés fermées du métavers. Les messages basés sur la localisation et la proximité rendront difficile l’interception des données des métavers par les services répressifs (LEA).
Le darkverse est particulièrement problématique car des crimes graves tels que la pornographie infantile sont déjà un gros problème sur l’internet. Ces délits sont mal définis sur le plan juridique et extrêmement difficiles à contrôler par les LEA dans les espaces virtuels.
Fraude financière
Le volume élevé des transactions de commerce électronique dans le métaverse attirera les criminels qui tenteront de voler de l’argent et des actifs numériques. Dans le métavers, une nouvelle économie numérique (utilisant le bitcoin, l’ethereum, l’argent réel, PayPal, les virements électroniques, etc.) fonctionnera, avec des taux de change contrôlés par le marché libre (et éventuellement déréglementé). Ce sera une cible de choix pour les manipulateurs de marché. Une société exclusivement métaversée qui n’est couverte par aucune juridiction pourrait échapper aux impôts sur le revenu. Les investisseurs du métavers peuvent être victimes de schémas de Ponzi et de fraudes en matière de valeurs mobilières. L’imbrication des systèmes de monnaie numérique, d’actifs numériques et de monnaie fiduciaire peut provoquer des effondrements comme celui des crypto-monnaies Terra/LUNA en 2022.
Les monnaies numériques sont parfaites pour recevoir des fonds, mais si un utilisateur est escroqué ou s’il y a des problèmes de transaction, l’éditeur sera confronté à des problèmes financiers complexes, éventuellement au niveau réglementaire. Si un utilisateur est victime d’une escroquerie ou d’un vol, obtenir de l’aide, porter plainte ou engager une action en justice sera presque impossible s’il utilise des monnaies numériques décentralisées.
Dans le métavers, on peut s’attendre à ce que de fausses recommandations, de fausses approbations et de faux investissements augmentent artificiellement la valeur des actifs numériques. Par exemple, la valeur d’un « terrain » virtuel dépend fortement de la perception, qui peut être manipulée par de nombreux facteurs.
Ingénierie sociale
L’ingénierie sociale décrit une série d’interactions humaines malveillantes destinées à inciter les utilisateurs à commettre des erreurs de sécurité et à divulguer des informations sensibles. Les escroqueries qui utilisent l’ingénierie sociale sont plus efficaces lorsque les acteurs malveillants disposent d’informations détaillées sur leurs cibles. Dans le métavers, les opérateurs peuvent effectuer une analyse précise des sentiments à partir d’informations personnelles telles que le suivi des yeux, du corps, de la voix, des mouvements, etc. Ces données sont toutes collectées et peuvent être volées ou utilisées à mauvais escient.
Les criminels ou les acteurs étatiques rechercheront des groupes de personnes vulnérables et sensibles à certains sujets, puis diffuseront des récits ciblés pour les influencer. Le métavers est idéal pour les deep fakes criminels, puisque la combinaison de la parole et des visuels devient une puissante expression d’opinions (et un outil de manipulation).
Les opérateurs de métavers doivent également se méfier des infiltrés qui tenteront de se faire passer pour des avatars officiels afin d’induire en erreur les utilisateurs du métavers. Les contrefaçons profondes ne sont pas forcément nécessaires car les actifs d’un avatar peuvent être facilement collectés et clonés. Si quelqu’un se fait passer pour un avatar officiel, il peut pénétrer dans un espace métavers et causer des dégâts, ce qui donne une mauvaise image de la société usurpée.
Les criminels peuvent également se faire passer pour des médecins en utilisant le métavers et donner aux patients de faux conseils médicaux contre rémunération. Dans le cadre d’escroqueries plus vastes, il est possible de créer des mondes de fausses nouvelles et de les utiliser comme pots de miel RV pour la collecte de renseignements, et des annonceurs malveillants peuvent vendre des produits numériques trojanisés.
Le métavers transcende les frontières physiques ; les gens seront donc facilement exposés aux escrocs mondiaux et les crimes d’ingénierie sociale s’aggraveront.
La prochaine évolution de la réalité augmentée, mixte et virtuelle sera le métavers. Grâce aux nouvelles technologies, il offrira aux utilisateurs une expérience immersive complète : l’internet des expériences. L’utilisateur aura l’impression de participer à des événements de la vie réelle.
Le métavers est une couche internet supplémentaire qui vise à fournir une connexion transparente pour tous les appareils. Cependant, les développeurs ne semblent pas tenir compte des conseils de ceux qui ont des décennies d’expérience et qui conçoivent en tenant compte de la sécurité et de la vie privée. Tout devrait être fait pour éviter que le métavers ne devienne un espace abusif et dangereux, infesté de criminels. Les développeurs doivent intégrer des garanties techniques et sociales dès le départ. Sans ces garanties, le metaverse sera potentiellement un espace plus dangereux que ne l’est déjà l’internet : ce sera le metaworse.
