Si votre organisation n’est pas encore entrée dans les métavers, elle le sera bientôt. Attention : les protocoles de sécurité et les lois sur la confidentialité d’aujourd’hui peuvent ne pas s’appliquer aux mondes 3D.
Le métavers est en train d’arriver ; les entreprises et les organismes publics construisent déjà des mondes virtuels pour soutenir les services municipaux, les réunions et les conférences, la création de communautés et le commerce. Elles créent également des applications spatiales pour les voyages, la vente de voitures, la fabrication et l’architecture, dans un marché qui, selon Citi, devrait représenter 13 milliards de dollars et 5 milliards d’utilisateurs d’ici à 2030.
« Tout comme l’internet, le commerce électronique, les médias sociaux, les smartphones et l’informatique à distance ont, au cours des deux dernières décennies, changé la façon dont les entreprises fonctionnent et atteignent leurs employés et leurs clients, les organisations expérimentent maintenant les métavers parce qu’elles y voient une extension des transformations précédentes », explique Cathy Barrera, économiste fondatrice de Prysm Group, qui s’associe au Wharton College pour enseigner des programmes de formation des cadres sur les métavers et les blockchains.
De nouveaux problèmes de confidentialité et de sécurité vont apparaître dans ces mondes en 3D. Les fournisseurs de plateformes se bousculant pour dominer le marché, il faut s’attendre à ce que les métavers présentent des risques similaires à ceux des médias sociaux, comme le phishing, le pharming, l’usurpation d’identité, la désinformation et les rançongiciels. Il y aura également de nouveaux impacts sur la vie privée des consommateurs, car la quantité de données riches et détaillées collectées par ces applications sont des cibles juteuses pour les criminels et les spécialistes du marketing. « Les technologies des métavers nécessiteront la collecte de beaucoup plus de données que celles déjà recueillies dans les médias sociaux, comme la façon dont vous tournez votre tête et où vos yeux sont concentrés, juste pour positionner correctement les affichages », explique M. Barerra.
Les nouvelles frontières de la fraude
Les crimes basés sur l’ingénierie sociale sont déjà très répandus dans l’Internet 2.0 d’aujourd’hui. Les opérateurs de ransomware utilisent une bonne accroche pour inciter les gens à cliquer sur des liens dans des courriels et des publicités malveillantes sont diffusées par Google et d’autres moteurs de recherche, sur les médias sociaux et même par des plateformes de vidéoconférence et de chat.
Imaginez maintenant l’internet immersif en 3D dans lequel un avatar ressemblant au patron ou au patron du patron demande à un comptable de transférer de l’argent (une version métavers des arnaques BEC actuelles). Ou encore, imaginez des fraudeurs piratant des comptes d’utilisateurs pour s’introduire dans des univers de développement et siphonner la propriété intellectuelle.
Certains de ces cas se produisent déjà. Arkose Labs, une société spécialisée dans la sécurité des comptes en ligne et la prévention des fraudes, a indiqué qu’en 2021, les entreprises du métavers seraient confrontées à 80 % d’attaques de robots et à 40 % d’attaques humaines de plus que les autres entreprises en ligne. Construites pour contourner les défenses traditionnelles, ces attaques se sont concentrées sur l’usurpation d’identité numérique pour réaliser des fraudes aux microtransactions, des spams, des escroqueries et de la concurrence déloyale.
Alors que les experts en sécurité mettent en avant l’authentification et les contrôles d’accès pour se protéger des escroqueries et des attaques basées sur les métavers, le nombre croissant de plateformes donnant accès aux métavers peut ou non disposer de mécanismes sécurisés pour reconnaître les fraudes, explique Paul Carlisle Kletchka, analyste en gouvernance, risque et conformité (GRC) chez Lynx Technology Partners, un fournisseur de services GRC.
« L’une des principales vulnérabilités est l’absence de protocoles ou de mécanismes de sécurité normalisés en place sur les plateformes », explique-t-il. « Par conséquent, les cybercriminels peuvent utiliser les métavers à des fins diverses, comme l’usurpation d’identité, la fraude ou les attaques malveillantes contre d’autres utilisateurs. Étant donné que les gens peuvent télécharger des programmes et des fichiers à partir des métavers, il existe également un risque que ces fichiers contiennent des logiciels malveillants qui pourraient infecter l’ordinateur ou l’appareil d’un utilisateur et se propager dans les systèmes de l’organisation. Une autre menace est le piratage : comme le métavers n’en est qu’à ses débuts, il n’existe pas de lois ou de règlements écrits spécifiquement pour le métavers afin de protéger la propriété intellectuelle dans cet environnement numérique. »
Beaucoup plus de données à récolter et à protéger
C’est pourquoi les RSSI et les entreprises qu’ils soutiennent doivent faire face à ces nouveaux risques pour leurs données commerciales et celles des utilisateurs, explique Michael Bruemmer, responsable de l’unité Global Data Breach Resolution chez Experian. Il prévoit que la croissance des métavers ouvrira de nouveaux horizons aux attaques. Il évoque également l’absence de normes et de réglementations, comparant les métavers au « Far West ». À tout le moins, il souligne la faiblesse de l’authentification utilisée dans les plateformes publiques de métavers pour encourager les nouveaux utilisateurs à s’inscrire.
M. Bruemmer, qui a rédigé la dixième prévision annuelle 2023 d’Experian sur les violations de données, cite également le manque de mécanismes d’application pour les contrevenants à la vie privée, qui va de pair avec l’absence de réglementation. « Regardez les casques Oculus de Meta ou l’investissement de Microsoft dans les services de chatbot. Considérez les données qu’ils collectent, qu’il s’agisse du nom d’utilisateur, du mot de passe, de la carte de crédit, de l’ID de l’appareil, du pouls, des mouvements, de ce avec quoi vous interagissez dans un environnement urbain, de l’historique de géolocalisation – tout cela est une inconnue en termes de réglementation applicable. »
Louis Rosenberg, spécialiste de la réalité virtuelle, explique dans un podcast Into the Metaverse comment ces données et d’autres données riches pourraient être facilement exploitées pour influencer les acheteurs et accroître la polarisation comme celle que nous observons actuellement sur les plateformes de médias sociaux. Un chatbot marketing doté de l’IA se faisant passer pour une personne ordinaire dans un monde virtuel pourrait parler à un consommateur potentiel de la nouvelle voiture qu’il a achetée. Cette forme de tromperie prédatrice peut aller bien plus loin que sur les plates-formes sociales actuelles en utilisant des algorithmes intelligents pour surveiller le style d’élocution de la cible, ses expressions faciales, son pouls, sa tension artérielle et sa fréquence cardiaque afin d’appliquer « la persuasion ultime », a-t-il déclaré dans le podcast.
Yon Raz-Fridman, animateur de Into the Metaverse et PDG fondateur de Supersocial, un constructeur de mondes virtuels, explique que sa société développe des solutions commerciales sur la plate-forme de jeu Roblox en raison de la longue histoire et de l’expérience de Roblox dans l’intégration de la confidentialité et de la sécurité dans sa plate-forme. Il explique que sa société aide ses clients à créer leurs mondes virtuels afin d’alimenter les communautés et la sensibilisation autour de leur marque et de leurs produits. Par exemple, les ingénieurs et les designers de Supersocial ont créé le Nars Color Quest pour la marque de cosmétiques Nars, qui est devenu l’expérience beauté numéro un sur la plateforme Roblox.
« Le grand avantage de construire sur la plateforme Roblox est qu’elle est relativement sûre et stable. Lorsque les clients posent des questions sur la confidentialité et la sécurité, nous leur fournissons les meilleures pratiques de la plateforme afin qu’ils comprennent parfaitement certains des risques potentiels et la manière dont ils sont atténués par la plateforme. Nous ne sommes pas propriétaires de la plateforme, nous nous appuyons donc sur la sécurité et les politiques définies et gérées par Roblox », explique M. Raz-Fridman.
Les réglementations 3D seront différentes de celles de la 2D
Bien qu’elles soient graphiques et immersives, la plupart des expériences métavers d’aujourd’hui sont encore en deux dimensions. Mais M. Bruemmer d’Experian prévoit que 2023 sera l’année de la réalité artificielle (RA) et de la réalité virtuelle (RV) avec casque, auxquelles les réglementations actuelles ne s’appliqueront pas. Mais l’avocate spécialisée dans la protection de la vie privée, Liz Harding, affirme que des lois plus récentes telles que le GDPR peuvent fournir au moins quelques lignes directrices, en particulier dans les mondes globaux.
Mme Harding, qui est vice-présidente chargée des transactions technologiques et de la confidentialité des données au sein du cabinet d’avocats Polsinelli et qui est qualifiée à la fois au Royaume-Uni et aux États-Unis, explique qu' »avec les technologies métaverses, de grandes questions se posent en matière de juridiction. Supposons que je sois aux États-Unis, que j’aie un collègue en Allemagne et que nous nous rencontrions dans le métavers et que des données soient collectées ou que la réunion soit enregistrée. Il sera difficile de faire valoir que les lois de l’endroit où la plateforme est hébergée sont les seules applicables, en particulier si vous faites sciemment intervenir des personnes de différentes juridictions dans ces interactions. »
Le suivi de l’emplacement physique de ces personnes et la collecte de leurs données de localisation précises pour tenter de se conformer aux lois internationales pourraient déclencher une violation si les mesures de conformité appropriées (telles que l’obtention du consentement approprié) ne sont pas prises, explique M. Harding. Ensuite, il y a la question de savoir quel type de communauté présente quel type de données. La collecte de données médicales, de RH et d’autres données sensibles entraînera des obligations supplémentaires en matière de respect de la vie privée.
Se concentrer sur les meilleures pratiques actuelles
Que l’on soit prêt ou non, Gartner prévoit que les métaverses auront un impact profond sur l’expérience des employés d’ici 2030, couvrant tout, des transactions entre employés et consommateurs à la formation, en passant par les achats, l’accueil des employés, les activités de collaboration et les espaces de bureau virtuels, pour n’en citer que quelques-uns. Certaines de ces applications seront des « mini-verses » spécialement conçues, tandis que d’autres impliqueront des plateformes partagées à grande échelle. Les fournisseurs de plateformes, dont Meta, Microsoft, Apple, Sony, Amazon AWS, Google, NVIDIA Omniverse et Epic Games, injectent actuellement des milliards de dollars dans des plateformes et des casques pour dominer ce nouveau marché.
Pour protéger les utilisateurs et les données dans cette nouvelle frontière virtuelle, le directeur technique de Globant, Pablo Lecea, suggère de se concentrer sur les meilleures pratiques déjà utilisées aujourd’hui. Globant aide les entreprises à créer des expériences métavers depuis 15 ans, en utilisant la modélisation des menaces, le développement sécurisé, le cryptage, l’authentification, la vérification, la collecte sécurisée des données et les politiques de stockage conformes aux lois en vigueur. Parmi ses nombreux services d’ingénierie, elle fournit également des services de cybersécurité à ses clients.
En ce qui concerne les ressources pour les RSSI, Lecea indique le Future of Privacy Forum, qui préconise des politiques et des contrôles plus stricts pour protéger les informations sensorielles, audio et biométriques dérivées des appareils de RV. « Selon le Future of Privacy Forum, une session de réalité virtuelle de vingt minutes pourrait collecter plus de deux millions de points de données uniques par utilisateur, alors qu’une session de médias sociaux traditionnelle collecte cinquante-cinq mille points de données par utilisateur », note-t-il. « Ces données doivent être protégées, il est donc essentiel de disposer d’un cadre de sécurité pour développer ces applications. »
