Les forces de l’ordre auront probablement beaucoup plus de mal à mettre fin aux activités criminelles dans le « deepverse ».
À mesure que les métavers prendront forme au cours des prochaines années, bon nombre des problèmes de sécurité qui affligent le cyberespace commenceront à déborder dans l’espace virtuel également.
L’une des plus grandes menaces sera l’émergence d’un nouveau « darkverse », où les criminels pourront agir plus impunément et plus dangereusement qu’ils ne le font actuellement sur le Dark Web, ont déclaré deux chercheurs de Trend Micro lors d’une session de la RSA Conference 2023 qui s’est tenue à San Francisco le 26 avril.
Le métavers est un terme utilisé de manière un peu vague pour décrire un espace virtuel où les gens peuvent interagir avec d’autres individus et organisations dans une version du monde physique générée par ordinateur. À l’instar des jeux en ligne massivement multijoueurs qui permettent aux individus de créer des avatars numériques d’eux-mêmes et d’interagir avec d’autres joueurs dans des mondes fantastiques, un métavers à part entière permettra aux individus de faire des achats, de travailler, de socialiser et d’effectuer d’autres activités dans une réplique virtuelle du monde physique.
Les chercheurs préviennent que le même phénomène se produira dans le monde souterrain de la cybercriminalité. Tout comme le Dark Web existe sur un réseau profond non indexé, le darkverse fonctionnera dans un « deepverse » non indexé que les forces de l’ordre auront du mal à pénétrer, notent-ils : L’espace offrira un refuge aux espaces criminels, aux espaces extrémistes, aux pourvoyeurs de pornographie infantile et à ceux qui cherchent à harceler les autres.
Numaan Huq et Philippe Lin, chercheurs principaux en menaces chez Trend Micro, sont les deux auteurs d’un rapport publié l’année dernière sur la manière dont les menaces pour la sécurité et la vie privée vont probablement émerger et évoluer dans les métavers à mesure que de plus en plus de personnes commenceront à les utiliser. Parmi les menaces identifiées dans le rapport, on trouve des versions amplifiées de certains problèmes existants tels que l’ingénierie sociale, la fraude financière et les risques pour la vie privée, ainsi que de nouvelles menaces telles que les risques liés aux NFT, les menaces cyber-physiques, et bien d’autres encore.
Un « Darkverse » presque impénétrable
Les menaces sont loin de se matérialiser, ont déclaré Huq et Linn lors d’une conversation avec Dark Reading avant leur conférence. « Mais les méchants parlent déjà de la manière de faire du profit dans le métavers », met en garde Lin. « Si les organisations ignorent la menace et n’investissent pas pour tenter de la contrer rapidement, elles risquent de perdre encore plus à l’avenir », note-t-il.
Trend Micro décrit lui-même le métavers comme un « environnement d’exploitation interactif, immersif, multifournisseur et distribué dans le nuage, auquel les utilisateurs peuvent accéder par le biais de différentes catégories d’appareils connectés ». Le métavers s’appuiera sur les technologies Web 2.0 et Web 3.0 pour fournir une couche interactive au-dessus de l’internet actuel. « Tel qu’il est proposé, il s’agit d’une plateforme ouverte pour travailler et jouer dans un environnement de réalité étendue, et il s’agira également d’une couche de communication pour les dispositifs de la ville intelligente », selon Trend Micro.
Le darkverse est un espace qui existera dans ce monde et qui, comme le Dark Web d’aujourd’hui, offrira un espace sûr pour la liberté de parole et d’expression contre les entités et les gouvernements oppressifs. Ce sera également un lieu d’activités illégales et criminelles, avec des places de marché qui s’adressent à un large public de criminels.
Ce qui rendra le darkverse nettement plus dangereux, c’est la difficulté qu’auront les forces de l’ordre à tenter d’infiltrer les activités criminelles qui s’y dérouleront, explique M. Huq. Il s’attend à ce que les criminels utilisent des jetons d’authentification pour contrôler l’accès à leurs espaces dans le métavers. Ils pourraient rendre presque impossible l’obtention de ces jetons par les défenseurs en exigeant que les utilisateurs se trouvent à l’intérieur d’un lieu physique désigné dans un laps de temps spécifique pour recevoir un jeton.
Les criminels pourraient également mettre en place des restrictions basées sur la localisation et la proximité pour l’accès aux espaces du métavers. Selon M. Huq, de telles mesures pourraient rendre l’arrêt de ces activités beaucoup plus difficile pour les autorités chargées de l’application de la loi, par rapport au « sinkholing » d’un serveur ou au blocage d’URL.
Les nouvelles technologies et les nouveaux protocoles introduisent de nouvelles menaces
Le métavers sera une menace majeure, mais pas la seule à laquelle les organisations devront faire face dans le métavers. Huq et Lin s’attendent à ce qu’au cours des prochaines années, les entreprises commencent à exploiter le métavers pour différents cas d’utilisation. Par exemple, M. Huq cite le cas d’un opérateur d’infrastructures critiques qui pourrait créer un jumeau numérique d’un environnement OT ou ICS. Cela permettrait à un ingénieur travaillant pour cette entreprise à New York de dépanner et de résoudre des problèmes d’assistance dans une installation ICS en Arizona, presque comme si cet ingénieur était physiquement présent dans cette installation, explique-t-il. De même, un détaillant pourrait créer des magasins numériques où les clients pourraient faire leurs achats de manière immersive, comme s’ils se trouvaient dans un lieu physique.
La prolifération de ces cas d’utilisation s’accompagne d’une augmentation des menaces. Huq et Lin s’attendent à ce que les attaquants cherchent et trouvent des moyens d’infiltrer et d’empoisonner ces environnements pour espionner, voler et causer d’autres dégâts. Ils s’attendent à ce que certaines attaques ciblent les serveurs, les points d’extrémité et l’infrastructure sur lesquels le métavers fonctionnera, tandis que d’autres viseront des éléments spécifiques au métavers, comme les casques que les gens utiliseront pour accéder au monde virtuel, ou les objets qui existent à l’intérieur.
Huq et Lin, comme d’autres chercheurs, s’inquiètent également de la collecte massive de données personnelles qui se produira presque inévitablement lorsque de plus en plus de personnes commenceront à utiliser le métavers dans leur vie personnelle et professionnelle.
« Les métavers introduiront en très peu de temps un grand nombre de nouvelles technologies », explique M. Huq. Les utilisateurs devront constamment interagir avec des objets numériques provenant d’un métavers Facebook, d’un métavers Google, d’un métavers Microsoft et de multiples autres métavers. Cela signifie qu’ils devront gérer un code transporté d’un environnement à l’autre de manière très fluide. « Lorsque vous mettez en œuvre une technologie radicalement nouvelle, vous allez certainement commencer à avoir des problèmes de sécurité, qu’ils soient cybernétiques ou procéduraux.
