Plus l’argent entre dans le métavers, plus les pirates tenteront de profiter des utilisateurs de crypto-monnaies.
Le métavers promet d’être un monde numérique révolutionné, différent de tout ce que nous avons connu auparavant. Les défis en matière de cybersécurité qui l’accompagnent seront probablement aussi différents de tout ce que nous avons connu jusqu’à présent en raison de l’explosion des appareils et des infrastructures qui l’accompagneront. L’augmentation soudaine et significative des applications et des données va élargir considérablement la surface d’attaque des mauvais acteurs. Plus l’argent entre dans le métavers, plus les pirates tenteront de profiter des utilisateurs quotidiens de crypto-monnaies. Si les plateformes de métavers ne sont pas à la hauteur en matière de sécurité et de confidentialité avant qu’elles ne décollent, cela empêchera la technologie d’être largement adoptée. Cet article prédit certains des principaux problèmes de sécurité que le métavers et le web3 sont susceptibles de poser.
Hameçonnage
Selon le rapport Q4 2021 sur le phishing de marque de l’année dernière, la plateforme Roblox s’est classée au 8e rang des marques les plus imitées pour les attaques de phishing au cours du trimestre. C’est la première fois qu’une plateforme métavers se retrouve dans le top 10 de cette liste. Ce résultat est d’autant plus préoccupant que 50 % de la base d’utilisateurs de Roblox est âgée de moins de 13 ans. Le hameçonnage de marque implique que des acteurs malveillants se fassent passer pour des partenaires ou des représentants d’une marque et envoient de faux e-mails soigneusement rédigés. L’objectif est de convaincre les victimes de l’authenticité de l’e-mail afin qu’elles cliquent sur les liens malveillants ou les pièces jointes qu’il contient. Cela ouvre la voie à l’infiltration de leurs comptes et de leur système et au vol de leurs informations personnelles ou de leurs identifiants bancaires. Comme la popularité du métavers continue de croître, on peut supposer que les attaques de type « brand fishing » vont augmenter en fréquence.
Les escroqueries NFT
Les NFT sont au cœur du fonctionnement de l’économie du màtavers, et les escroqueries NFT sont omniprésentes depuis le début de la nouvelle année (lorsque les ventes mondiales de NFT ont franchi la barre des 4 milliards de dollars). L’une des arnaques NFT les plus courantes est le piratage de Discord, dans lequel de faux liens de monnayage sont postés sur le canal d’annonces d’un serveur Discord (qui est un réseau en ligne décentralisé de serveurs de chat). Le message propose une offre qui semble trop belle pour être vraie, par exemple en affirmant qu’une collection épuisée libère des NFT supplémentaires à titre de surprise. Dans d’autres cas, un faux lien Discord peut demander la phrase d’amorçage de la victime, qui est une séquence de mots confidentiels utilisée pour accéder à un portefeuille de cryptomonnaie.
Contrats intelligents malveillants
Selon Mark Cuban, entrepreneur milliardaire et partisan des crypto-monnaies, les contrats intelligents vont être la source la plus probable de fraude liée aux crypto-monnaies, ainsi que d’omissions délibérées, d’actions sournoises et de manque de clarté de la part des utilisateurs. Étant donné que toute personne disposant du savoir-faire nécessaire peut créer une blockchain, il existe un risque que de mauvais acteurs créent des contrats intelligents intentionnellement vulnérables. L’objectif serait d’inciter les victimes à conclure des contrats intelligents qui peuvent être facilement exploités. Les créateurs de la blockchain exploiteraient le marché en prenant le contrôle d’une grande partie de l’offre de pièces de la blockchain, ce qui gonflerait artificiellement la valeur de la pièce à mesure que l’offre disponible pour les autres investisseurs diminue. Ils mettraient ensuite leurs avoirs en vente avant que le marché ne puisse réagir. Un bug dans un contrat intelligent est également particulièrement difficile à détecter car les transactions sur une blockchain ne peuvent pas être annulées. La seule solution consiste à construire une nouvelle blockchain sur laquelle les utilisateurs pourront basculer.
Des lunettes AR et VR vulnérables
L’utilisation essentielle de lunettes de réalité virtuelle ou de réalité augmentée dans tout métavers fonctionnel risque également de constituer une entrave importante à la vie privée et à la sécurité des utilisateurs. Non seulement ces dispositifs collectent de grandes quantités de données sur les utilisateurs (y compris des informations biométriques), mais le métavers va probablement accroître la demande moderne de données sur les utilisateurs. Les dispositifs de RA collectent beaucoup plus d’informations sur qui est l’utilisateur et ce qu’il fait que n’importe quel réseau social ou autre forme de technologie. Cela signifie que si des pirates ont accès à l’appareil, la perte potentielle de vie privée sera considérable. À l’heure actuelle, il n’est pas très difficile pour les pirates de substituer le RA d’un utilisateur à l’un des leurs, puisque les mécanismes de génération et de transmission établis sont encore en cours de développement. Le manque de fiabilité potentiel du contenu permet également aux pirates de brouiller la perception de la réalité d’un utilisateur en créant de faux signes ou affichages qui l’incitent à effectuer des actions qui profitent aux pirates. Les RV collectent des informations très privées concernant l’utilisateur, telles que des données biométriques (comme des scans de la rétine), des données d’empreintes digitales, des cartographies du visage et des empreintes vocales. Les données de suivi de la RV et de la RA ne peuvent pas être rendues anonymes, car les mouvements des individus sont totalement distincts. Cela pose un sérieux problème si les dispositifs de RV sont piratés. Comme pour les appareils de réalité virtuelle, les pirates peuvent injecter des fonctions dans les plateformes de réalité virtuelle qui incitent les utilisateurs à donner des informations cruciales, créant ainsi un champ d’action pour les attaques par ransomware.
