Il y a quelques années, nous avons beaucoup parlé du fait que la cybersécurité était un véritable Far West et qu’il fallait absolument que davantage de personnes s’y intéressent en général, sans parler du risque réel que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2022, il est réjouissant de constater que des progrès ont été accomplis, notamment au niveau des gouvernements de nombreuses nations influentes. Pour nous, cependant, le voyage vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L’avènement de la coqueluche numérique du moment – le métavers – ajoute une vaste surface d’attaque pour les vulnérabilités au niveau du code et l’ingénierie sociale.
Nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain qui se nourrit de fumée et de miroirs.
La réalité mixte s’accompagne d’une intensification des risques
Il est clair que non seulement le concept de métavers est là pour rester, mais qu’il est également sur le point de faire l’objet d’une poussée de la taille de Mark Zuckerberg dans le grand public. Il s’agit d’une évolution passionnante de l’internet – ou du moins des médias sociaux et d’une partie du commerce électronique – tel que nous le connaissons, mais les possibilités de cyberattaques et d’exploitations dommageables sont époustouflantes.
La surface d’attaque du métavers est très étendue et va bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de RV menacent également les données de base, les logiciels embarqués dans ces appareils constituant un tapis rouge très pratique vers la terre à payer s’ils sont vulnérables.
Des chercheurs en sécurité de l’université Rutgers ont révélé « Face-Mic » au début de l’année. Il s’agit de la première étude de ce type à examiner comment les fonctions de commande vocale des casques de réalité virtuelle pourraient entraîner de graves violations de la vie privée, connues sous le nom d' »attaques par écoute ». Le travail est fascinant, car il montre que les acteurs de la menace pourraient potentiellement utiliser certains casques de réalité virtuelle (AR/VR) avec des capteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui conduirait au vol potentiel d’informations sensibles communiquées par le biais de commandes vocales, notamment des informations sur les cartes de crédit et les mots de passe. La cause profonde du problème semble être un manque d’authentification de l’utilisateur.
Dans le métavers, chaque mouvement que vous faites est un point de données, et si l’accès à ces données est possible grâce à une sécurité logicielle laxiste, l’incitation des attaquants à tenter leur chance est énorme.
Les contrats intelligents face à des adversaires intelligents (ou pas)
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, une sécurité sans compromis. À l’heure actuelle, des micro-économies métaverses se développent dans diverses communautés de crypto-monnaies, comme Shiba Inu. Pour acheter des biens immobiliers virtuels et d’autres produits immatériels, on utilise des contrats intelligents stockés sur la blockchain.
Les contrats intelligents sont susceptibles d’être exploités en raison de quelques vulnérabilités assez courantes, à savoir les débordements et les sous-exécutions d’entiers, les attaques par rejeu et le bogue (très préjudiciable) centré sur la blockchain qui entraîne des attaques par réentrance, cette dernière pouvant conduire un utilisateur à être vidé de son solde en crypto-monnaies. Ces attaques sont rendues possibles par de mauvais schémas de codage, qui entraînent des vulnérabilités exploitables et des principes de conception peu sûrs.
L’utilisation de cette technologie ne peut que se généraliser. Pourtant, en l’état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs sensibilisés à la sécurité pour garantir un métavers sûr et sans faille. Les organisations doivent comprendre l’ampleur de leur participation aux métavers, en particulier si des données et des devises sont en jeu… et il est difficile d’imaginer un scénario où ce ne serait pas le cas.
Il s’agit d’un environnement non réglementé, et vous êtes (encore) le produit
Comme nous l’avons vu dans les films, la télévision et les jeux vidéo comme Second Life, un environnement métavers nous permet d’être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité est un atout majeur pour les utilisateurs. Cependant, l’inconvénient est qu’à l’échelle prévue de quelque chose comme Meta, c’est tout simplement trop vaste et décentralisé pour être contrôlé d’une manière qui le rendrait hermétique du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels habiles auront encore plus de possibilités de travailler dans une perspective d’ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métavers a le potentiel d’être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, si l’adoption prévue se déroule comme prévu. Si l’on peut supposer que les logiciels liés au métavers respecteront les normes réglementaires et les mesures de conformité actuelles, il faudra les mettre à jour pour qu’ils soient adaptés à un univers numérique et à une économie en pleine expansion. Pour ce faire, les organisations devront assumer la responsabilité de la sécurité de leurs contributions au métavers, avec un niveau de maturité interne en matière de sécurité garantissant que chaque personne travaillant sur le logiciel pense à la sécurité et la met en œuvre à chaque étape de son processus, en particulier la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métavers
Aussi amusant que cela puisse être de galoper dans une dimension numérique sans loi, représenté par un avatar qui est tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu’un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, on est très loin d’un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l’intégrité de chaque composant du métavers ne peut pas être une réflexion après coup si l’on veut que l’adoption généralisée et la confiance des consommateurs se concrétisent.
Les organisations peuvent commencer à planifier en faisant une évaluation réaliste de leur maturité en matière de sécurité, en mettant l’accent sur l’amélioration des compétences en matière de sécurité des développeurs qui travaillent activement sur les logiciels. Comme le montre l’étude de l’université Rutgers, le contrôle d’accès n’est qu’une des nombreuses vulnérabilités susceptibles d’entraîner une fuite de données généralisée. Les développeurs sensibilisés à la sécurité seraient bien mieux placés pour s’attaquer à ces problèmes au fur et à mesure de l’écriture du code et bien avant qu’ils n’entrent dans le code engagé.
Se reposer sur l’excuse de la pénurie de compétences en cybersécurité ne sera pas suffisant après une importante violation de données dans un métavers. Nous disposons des outils nécessaires pour ne pas nous contenter de faire du mieux que nous pouvons, mais pour relever activement et définitivement les normes de sécurité logicielle. Il est temps d’investir dans la formation des architectes du métavers et de récolter les fruits d’une réimagination virtuelle des produits et services tels que nous les connaissons.