L’un des sujets les plus fréquemment abordés aujourd’hui dans le domaine de la technologie est celui des « métavers », vaguement décrits comme l’intersection entre le monde virtuel et le monde physique. Comme il n’en est qu’à ses débuts, il n’a pas encore été entièrement défini et reste en partie du domaine de la spéculation.
Bill Malik, vice-président des stratégies d’infrastructure chez Trend Micro, estime que la mise en œuvre complète des métavers ne sera pas une réalité avant cinq à dix ans. Cependant, les experts en cybersécurité ont déjà prévu certaines menaces qui doivent être traitées avant.
Un rapport récent de Trend Micro a mis en garde contre l’existence du darkverse, qui est le dark web rapporté au métavers. En raison du manque de surveillance de la part des régulateurs et des forces de l’ordre, le darkverse est un espace pour les marchés clandestins, les communications criminelles et les activités illégales.
« Le métavers permet aux individus et aux bots d’agir essentiellement sans supervision, normes, règlements ou lois », a déclaré Malik à Corporate Risk and Insurance. « Parmi les risques, citons le vol ou l’altération possibles de la propriété intellectuelle d’une organisation, les violations de la vie privée d’un individu et les transactions criminelles. »
Selon le rapport, les espaces darkverse seront situés dans des lieux sécurisés, accessibles uniquement aux personnes disposant des jetons d’authentification adéquats. La communication sera limitée à la messagerie de proximité, et ces marchés serviront de lieux d’activités illégales, comme la vente de logiciels malveillants, l’échange de données volées et la planification de crimes réels.
Malik a déclaré que les organisations légitimes faisant des affaires sur les métavers devraient disposer d’une protection suffisante pour leurs technologies de l’information (TI) et leurs technologies opérationnelles (TO).
« Une transaction commerciale met en relation, par le biais d’un moyen de communication, un vendeur disposant d’un produit ou d’un service et d’une certaine propriété intellectuelle avec un acheteur disposant d’une certaine somme d’argent et d’un besoin commercial », a expliqué M. Malik. « Dans les métavers, l’infrastructure qui donne l’impression d’être réelle se compose de nombreuses formes différentes de technologie, tant dans le domaine de l’informatique conventionnelle que dans celui de la technologie de l’information, qui s’occupent de la détection des composants, de leurs interrelations physiques et de leurs interactions. Alors que la plupart des protocoles informatiques peuvent être sécurisés, les principes de conception de la sécurité de l’information et de la protection de la vie privée font défaut à l’OT. Les acteurs malveillants seront donc en mesure de détourner les transactions commerciales en volant ou en altérant le produit, le service ou la propriété intellectuelle, en volant ou en redirigeant l’argent de l’acheteur, en espionnant les besoins de l’entreprise ou en altérant les transactions entre eux. »
Un autre facteur qui complique la gestion des métavers est le fait que personne ne comprend parfaitement ce dont il s’agit. Cela pourrait entraîner de graves défaillances et omissions de la part des gestionnaires de risques des organisations.
« Le métavers nécessitera une bande passante réseau, une puissance de traitement et une capacité de stockage plus importantes que le commerce électronique traditionnel ou la transformation numérique contemporaine », a déclaré Malik. « L’erreur la plus importante sera de ne pas comprendre les exigences en matière d’infrastructure qu’imposera le métavers. Tout près de cela sera de ne pas comprendre la myriade de vulnérabilités que cet environnement ajoute à la surface d’attaque de l’organisation. »
Le métavers étant une intersection des mondes virtuel et physique, on s’attend à ce que des problèmes de la vie réelle tels que l’ingénierie sociale, la propagande et les « fake news » saignent dans le métavers, compliquant la façon dont les organisations et les individus naviguent dans cet espace.
« Ces risques constituent actuellement des problèmes majeurs et ne feront qu’augmenter avec le temps », a déclaré Malik. « Les entreprises seront confrontées à une recrudescence de la compromission des e-mails professionnels, du spear phishing et des attaques par ransomware, qui auront désormais une cible plus importante et plus coûteuse – la coûteuse infrastructure du métavers elle-même. Les particuliers trouveront un environnement émotionnellement engageant débordant de capteurs améliorés, donnant aux annonceurs et aux propagandistes une meilleure connaissance des participants, ainsi que des capacités d’influence et de persuasion accrues. »
Malik explique qu’en utilisant l’interactivité et la collecte de données améliorées des métavers, les mauvais acteurs peuvent exploiter les tendances psychologiques des humains pour faire avancer leurs objectifs.
« La psychologie nous apprend que les gens réagissent à des images visuelles qu’ils ne voient qu’un instant », a déclaré Malik. « Ces réactions se manifestent par des micro-expressions, comme le plus bref sourire ou froncement de sourcils. Pendant qu’un participant profite du spectacle, un annonceur peut diffuser une image unique, disons d’un mouton, à laquelle le participant peut brièvement sourire. Notez que ni l’image ni le sourire n’atteignent la conscience du participant. Quelques instants plus tard, l’annonceur peut projeter l’image d’un taureau, que le participant peut regarder en fronçant brièvement les sourcils. L’annonceur sait maintenant que le participant a une réaction émotionnelle à ces images. Plus tard, le participant peut regarder un clip d’information présentant deux candidats. Pendant que le premier candidat parle, l’annonceur glisse une brève image d’un mouton. Le participant ne voit pas l’image mais pense « Elle est sympa ». Lorsque le deuxième candidat est à l’écran, l’annonceur fait apparaître l’image d’un taureau. Il est effrayant », pense le participant. L’annonceur a réussi à influencer le participant qui n’a jamais vu consciemment aucun des deux déclencheurs. De cette manière, les métavers pourront eux aussi recueillir des informations vastes et détaillées sur chacun de leurs participants. »
Une façon de protéger les organisations et les individus des divers risques liés aux métavers, est de fournir aux participants une formation adéquate pour éviter d’être la proie des mauvais acteurs, a déclaré Malik. Toutefois, cela ne suffit pas.
« Les fournisseurs de métavers pourraient offrir des espaces de formation afin que les participants puissent exercer leur jugement et s’entraîner à gérer les fausses nouvelles, les rumeurs et les techniques de persuasion », a déclaré Malik. « Cependant, les entreprises qui financent cet environnement n’ont aucun intérêt économique à rendre leurs utilisateurs intelligents. Les clients payants – les annonceurs et les influenceurs qui génèrent les revenus – préféreraient un consommateur non informé. Ils seraient des cibles plus faciles.
« En fin de compte, nous devrons recourir à la réglementation et à la législation pour rendre le métavers sûr », a-t-il déclaré. « Cela prendra du temps. Les révélations continues d’abus de la vie privée et de manquements à la sécurité par les géants des médias sociaux d’aujourd’hui montrent que l’autorégulation ne fonctionnera pas. Il est essentiel que la communauté de la technologie et de la sécurité intervienne également maintenant pour réfléchir à la manière dont les métavers seront exploités par les acteurs de la menace au cours des prochaines années. »
