Comme toute nouvelle innovation, le métavers est actuellement au centre d’un débat » risque contre récompense « . Sans surprise, le monde virtuel en 3D a reçu beaucoup d’attention, McKinsey confirmant que plus de 120 milliards de dollars ont été investis dans la mise en place de la technologie et de l’infrastructure des métavers au cours des cinq premiers mois de l’année 2022.
Les promesses de cas d’utilisation extraordinaires, allant de l’enseignement de cours universitaires virtualisés à la réalisation d’opérations chirurgicales pour des patients dans d’autres pays, sans parler des économies potentielles et des avantages en termes d’accessibilité, ont suscité la curiosité. Bien qu’il faille attendre un certain temps avant de voir une adoption massive des métavers, la communauté de la sécurité s’inquiète déjà de l’évolution des risques en la matière.
Les adversaires, aussi opportunistes qu’ils soient, profiteront de la surface d’attaque croissante que le métavers ouvre via les médias sociaux, les services de diffusion en continu et les jeux en ligne, et capitaliseront sur les erreurs commises lors de son développement. Dans la version actuelle de notre monde numérique, les cas d’attaques de type « deepfake » se multiplient déjà : les progrès de l’intelligence artificielle sont utilisés pour modifier et simuler numériquement la voix ou l’apparence d’une personne à des fins malveillantes.
66 % des personnes interrogées dans le cadre de notre Global Incident Response Threat Report ont vu des deepfakes malveillants utilisés dans le cadre d’une attaque l’année dernière (en hausse de 13 %), la majorité d’entre elles (58 %) ayant constaté que les attaques par deepfake prenaient le plus souvent la forme d’une vidéo. Mais ce qui est plus urgent, c’est que de nouvelles plateformes sont de plus en plus visées, notamment les applications de réunion tierces (31 %) et les outils de collaboration professionnelle (27 %).
Qu’est-ce qui ne dit pas qu’il n’y aura pas une recrudescence d’escroqueries similaires à l’intérieur du métavers de la réalité virtuelle ?
En supposant que le métavers prenne son essor, les organisations devront être attentives à leur approche de cette technologie naissante. L’étude des outils et des techniques d’authentification pouvant être exploités sera essentielle pour ceux qui cherchent à protéger et à encadrer le monde virtuel.
Nouvelles préoccupations en matière de cybersécurité
Il devient de plus en plus évident que les types de cybercriminalité existants pourraient s’étendre aux métavers. Ce que beaucoup d’adeptes ne réalisent pas, c’est que la nouvelle technologie des métavers est construite sur une technologie ancienne, comme les serveurs Linux, dans laquelle la sécurité n’est pas intrinsèquement intégrée et les vulnérabilités sont profondément enracinées. Le laboratoire d’innovation d’Europol a averti que les cyberattaques, comme l’utilisation abusive d’une identité volée pour commettre des fraudes et même abuser d’autres utilisateurs (ou avatars), pourraient être reproduites dans le métavers.
Dans le contexte de l’authentification de la réalité virtuelle, des systèmes sophistiqués de suivi des yeux, des visages et des mouvements haptiques pourraient être utilisés pour enregistrer les interactions d’un utilisateur avec l’appareil – comment pourrons-nous savoir si l’ami ou le collègue avec lequel nous interagissons est bien celui qu’il prétend être ? À terme, la plateforme pourrait devenir un aimant pour les ransomwares et le blanchiment d’argent, avec les crypto-monnaies en cours d’utilisation et d’autres monnaies spécifiques à la plateforme qui devraient voir le jour.
Continuer à se fier aux mots de passe comme principale forme d’authentification dans le monde virtuel serait une recette pour que ces brèches se multiplient. Les organisations impliquées dans la mise en place ou l’utilisation de ce monde virtuel devront faire preuve d’attention à l’égard des contrôles mis en place pour identifier les utilisateurs et déployer une authentification étanche.
Être prêt pour les métavers
L’authentification unique ne fonctionnerait tout simplement pas dans le métavers ; il doit être considéré comme un espace de vie, et non comme un service à usage unique. Au lieu de cela, un système d’authentification continue exploitant différents facteurs, tels que la biométrie, et surveillant étroitement le comportement de l’utilisateur sera essentiel pour atténuer certains problèmes de sécurité tout en offrant une expérience transparente dans le métavers.
Les mêmes principes de sécurité « zéro confiance » auxquels nous nous sommes habitués dans le « monde réel », à savoir la conviction que la confiance implicite est toujours une vulnérabilité et que nous devons toujours vérifier les appareils et les utilisateurs, doivent être reproduits dans les métavers. En effet, il s’agit d’un exercice d’équilibre délicat, car l’authentification continue peut être considérée comme invasive par certains, puisqu’elle consiste à collecter en permanence des données sur les utilisateurs pour s’assurer qu’ils sont bien ceux qu’ils prétendent être. Mais avec les tonnes de données qui seront collectées pour produire une expérience utilisateur personnalisée et réaliste dans le métavers, il est urgent d’améliorer la sécurité du processus d’authentification.
L’authentification numérique continue d’un appareil et de l’identité de l’utilisateur de l’appareil fournit une couche de sécurité supplémentaire au processus de connexion et aide à détecter les anomalies sous forme de mimétisme.
Au-delà des problèmes de sécurité liés à la technologie elle-même, la sécurité dans les métavers doit également englober la sécurité des personnes qui s’y trouvent. Toutes les activités néfastes que les humains peuvent mener dans ce monde peuvent être recréées par eux dans le métavers. Que la réglementation soit décentralisée ou appliquée par le gouvernement, des mesures doivent être prises. Sinon, nous risquons de nous retrouver avec des versions fragmentées du métavers, chacune existant dans son propre jardin clos de réglementations et de politiques de sécurité.
Mais avant de pouvoir élaborer de nouvelles stratégies de cybersécurité, il faut fortifier les défenses existantes pour les technologies vitales pour les métavers, telles que la 5G, l’IoT, la blockchain et l’intelligence artificielle. Ce n’est qu’à cette condition que nous pourrons assurer une base solide à ce nouveau royaume virtuel.
Tirer les leçons de nos erreurs en matière de sécurité
Bien que le métavers reste en marge de la manière dont nous utilisons actuellement l’internet, on peut espérer qu’il introduira de nouveaux modes d’interaction et des mondes virtuels entièrement nouveaux dans lesquels vivre. Le potentiel de transformation de nos vies s’accompagne toutefois d’une nouvelle opportunité attrayante pour les acteurs de la menace. Les vulnérabilités existantes, héritées de la construction de cette nouvelle frontière sur des technologies anciennes, pourraient être exploitées dans les sphères professionnelles et personnelles afin d’en tirer profit ou de causer du tort à autrui. Pour faire face au cyber-risque, un réseau harmonieux d’authentification numérique continue, de confiance zéro et de moyens réfléchis de collecte de données devra être adopté comme procédure opérationnelle standard.
