Le concept de métavers n’est, à bien des égards, pas nouveau. Les mondes multijoueurs en ligne comme Second Life existent depuis près de 20 ans. Les équivalents modernes comme Minecraft et Fortnite comptent des centaines de millions d’utilisateurs et d’énormes économies de soutien.
Dans sa forme la plus simple, le métavers décrit le concept d’un espace virtuel partagé et persistant pour les réunions, les jeux et la socialisation. Gartner estime que 25 % des personnes passeront au moins une heure par jour dans le métavers d’ici 2026.
Grâce aux innovations en matière de réalité virtuelle, d’IA, de monnaies numériques, de NFT et de blockchain, les partisans du métavers nous voient nous déplacer dans des mondes virtuels différents et interopérables, emportant avec nous nos avatars et nos actifs numériques.
Reste à savoir si la technologie basée sur la blockchain fera partie intégrante de l’infrastructure des métavers. Les détracteurs de la blockchain et du Web 3.0 ont ouvertement exprimé leurs inquiétudes, et même des géants comme le jeu Minecraft, propriété de Microsoft, ont annoncé qu’ils ne soutenaient pas les jetons non fongibles (NFT) ni l’adoption de la technologie blockchain. Minecraft a invoqué le non-alignement avec les valeurs d’inclusion créative de l’entreprise, ainsi que la menace de fraude et d’autres risques de sécurité associés aux métavers.
Indépendamment de l’infrastructure sous-jacente, les métavers seront constitués d’une myriade de technologies s’assemblant en blocs de construction, et chacune d’entre elles comporte ses propres risques. Les problèmes de sécurité qui existent déjà – escroqueries, usurpation d’identité, vol d’identifiants, dette technologique, ingénierie sociale, espionnage, vulnérabilités, désinformation, pour n’en citer que quelques-uns – nous suivront dans le métavers. Ils pourraient même être plus dommageables.
Crimes dans les métavers
À mesure que le commerce numérique dans le métavers prend de l’ampleur et de l’envergure – selon certaines estimations, les revenus annuels peuvent atteindre 1 000 milliards de dollars – les attaques à motivation financière vont gagner en fréquence et en agressivité.
Voici quelques-uns des problèmes de sécurité les plus évidents dont nous devons être conscients dès maintenant.
Ingénierie sociale
Les techniques d’ingénierie sociale, telles que les escroqueries par hameçonnage, comptent parmi les vecteurs d’attaque initiaux les plus efficaces utilisés par les cybercriminels aujourd’hui. L’exploitation des vulnérabilités psychologiques des individus étant très efficace, l’ingénierie sociale constituera un défi majeur dans les métavers.
Les gens se font déjà avoir par des escroqueries par phishing portant sur des NFT frauduleux, des ventes de terrains dans le métavers et d’autres projets Web 3.0 douteux. Une récente escroquerie par phishing a usurpé l’identité de Decentraland, un monde virtuel populaire basé sur Ethereum, et a incité les utilisateurs à saisir les clés de leur portefeuille privé, permettant ainsi aux escrocs de voler les crypto-monnaies des utilisateurs.
Dans le métavers, imaginez des attaques d’hameçonnage utilisant une technologie de faux profond se faisant passer pour des institutions ou des avatars de confiance.
Nous avons besoin de normes qui permettent aux utilisateurs de vérifier l’authenticité des organisations et des avatars avec lesquels ils s’engagent, sans compromettre la vie privée des gens. Les organisations doivent réfléchir à la manière de garantir la vérification des identités des avatars et de se protéger contre l’usurpation d’identité numérique. Les utilisateurs doivent être sensibilisés à la manière d’identifier les attaques d’ingénierie sociale et de protéger l’identité de leurs avatars.
Vulnérabilités des logiciels et logiciels malveillants
Des logiciels malveillants ciblant les portefeuilles de crypto-monnaies sont déjà utilisés pour voler les crypto-monnaies, les jetons ou les NFT des gens. La cyber extorsion et les ransomwares font partie des menaces cybercriminelles les plus notoires et les plus lucratives. Elles peuvent prendre des formes différentes dans les métavers, mais resteront un risque sérieux.
Un pourcentage élevé d’attaques contre les plateformes Web 3.0 et les protocoles DeFi actuels est rendu possible par des vulnérabilités dans le logiciel sous-jacent ou les contrats intelligents utilisés. Pour les protocoles DeFi, en particulier, les vols les plus importants, selon le rapport 2022 de Chainalysis sur la crypto-criminalité, sont généralement le résultat d’exploitations de code.
Outre les vulnérabilités des plateformes métavers, il faut également tenir compte du fait que les wearables de réalité virtuelle (VR) et de réalité augmentée (AR) sont essentiellement de petits ordinateurs, avec beaucoup de logiciels et de mémoire, ce qui en fait des cibles potentielles d’attaques.
Des recherches menées par la Rutgers University-New Brunswick ont par exemple montré qu’il était possible de pirater des casques de réalité virtuelle et de réalité augmentée pour voler des informations sensibles communiquées par commande vocale, notamment des données de cartes de crédit et des mots de passe.
La correction des bogues et des vulnérabilités des plateformes, des contrats intelligents et des casques de RV et de RA pour les protéger contre les attaques et les logiciels malveillants est une considération importante en matière de sécurité.
Risques liés aux contenus immersifs
Le trolling et le harcèlement sexuel et racial sont des problèmes actuels sur toutes les plateformes de jeux numériques et de réalité virtuelle.
Ce type de comportement a une longue histoire dans les espaces numériques, mais l’immersivité de la RV signifie qu’il peut être dévastateur pour le bien-être psychologique d’une victime. Selon Common Sense Media, les risques pour les enfants sont particulièrement élevés. Les enfants sont susceptibles d’explorer les métavers avant leurs parents, ce qui peut les exposer à des contenus sexuels et violents à l’insu de leurs parents.
Les mondes RV offrent un certain nombre d’outils pour lutter contre ce phénomène, tels que les espaces personnels et la mise en sourdine, le blocage et le signalement des mauvais comportements. Il est essentiel d’apprendre aux nouveaux utilisateurs et aux groupes vulnérables, comme les enfants, comment utiliser ces outils.
Se préparer à l’avenir de la cybercriminalité
Les organisations qui travaillent dans les métavers doivent collaborer très tôt avec leurs équipes chargées de la sécurité et des risques afin d’identifier les enjeux et les vulnérabilités possibles.
Elles doivent également former leurs développeurs à ces risques et tester les applications de manière approfondie avant de les mettre en ligne.
Les utilisateurs finaux doivent être informés que leur participation à toute nouvelle technologie fait d’eux une cible potentielle. Les gens doivent se familiariser avec la menace de l’ingénierie sociale et des escroqueries courantes, ainsi qu’avec les meilleures pratiques pour se protéger et protéger leurs actifs numériques, leurs portefeuilles et leurs identités.
Les décideurs politiques ont également un rôle clé à jouer dans la protection des individus contre la criminalité des métavers. Ils doivent introduire des réglementations qui protégeront les groupes vulnérables et les consommateurs sans étouffer l’innovation.
Nous devons définir comment faire respecter l’éthique, la protection des consommateurs et la gouvernance et définir « l’application de la loi virtuelle ». Qui les victimes peuvent-elles appeler ? Quelle juridiction s’applique ? Quel est le recours ?
Ces questions sont complexes, et elles sont pressantes. La seule façon d’y répondre est d’adopter une approche multipartite et des mesures politiques novatrices et avant-gardistes qui donnent la priorité à la sécurité.
