En décembre 2021, nous avons abordé sur le blog de la PIA les risques potentiels du métavers en matière de protection de la vie privée, le terme actuel désignant ce que l’on appelait autrefois la réalité virtuelle. Cela ne semble pas si loin, mais la technologie, et en particulier celle qui peut être utilisée pour vous identifier parmi un immense groupe d’utilisateurs inconnus, a beaucoup évolué depuis.
Des chercheurs ont découvert que, lorsque vous utilisez des casques de réalité mixte, vous pouvez être identifié dans le métavers avec une précision de plus de 94 % par le simple mouvement de votre main. Et ce n’est qu’un début.
Si vous souhaitez explorer le métavers sans être identifié contre votre gré, les mêmes chercheurs ont mis au point un plugin qui brouille vos attributs d’utilisateur. Il s’agit d’une solution efficace, bien que détournée, au manque de protection de la vie privée dans l’itération actuelle du métavers.
L’innovation dans les métavers précède la protection de la vie privée
À l’époque, le problème était largement théorique, mais depuis lors, les chercheurs ont étoffé les premiers commentaires. Par exemple, en juillet 2022, trois chercheurs travaillant au Center for Responsible Decentralized Intelligence de l’université de Berkeley ont étudié ce qu’ils ont ensuite appelé les « risques sans précédent du métavers pour la vie privée ». Le format de base consistait pour les sujets à accomplir une série de tâches dans une « salle d’évasion virtuelle ». Au fur et à mesure que les participants accomplissaient ces tâches, les chercheurs analysaient leurs actions et leurs réactions afin de déterminer un certain nombre de caractéristiques personnelles essentielles. L’une des personnes ayant participé à la recherche, le pionnier de la RV Louis Rosenberg, a écrit un article pour VentureBeat résumant la découverte la plus importante :
les chercheurs ont pu utiliser mes interactions dans la salle d’évasion pour prédire ma taille, la longueur de mes bras (envergure), ma main, mon âge, mon sexe et des paramètres de base concernant ma condition physique, notamment la hauteur à laquelle je peux m’accroupir et la rapidité avec laquelle je peux réagir à des stimuli. Ils ont également pu déterminer mon acuité visuelle, si j’étais daltonien, la taille de la pièce avec laquelle j’interagissais, et procéder à des évaluations de base de mon acuité cognitive. Les chercheurs ont même pu prédire si je souffrais de certains handicaps.
L’expérience a également permis aux chercheurs d’établir la localisation d’un participant. Rosenberg note que même l’utilisation d’un VPN n’aurait pas permis de préserver ces informations privées : les applications métaverses interrogent généralement plusieurs serveurs, ce qui permet d’utiliser une sorte de triangulation pour déterminer l’emplacement physique de l’utilisateur.
Dans un autre article, M. Rosenberg explique comment les données personnelles pourraient se traduire par de nouveaux types de pratiques prédatrices, y compris le placement virtuel de produits et les porte-parole virtuels.
Vos données sont à prendre dans le métavers
Mais des travaux plus récents menés par des chercheurs de l’université de Berkeley et d’ailleurs révèlent que les problèmes de protection de la vie privée posés par le métavers sont encore plus profonds que ce qui précède ne le laisse supposer. Il s’avère que le flux de données le plus élémentaire produit par les interactions avec un monde virtuel – de simples données de mouvement – suffit à identifier un utilisateur avec une très grande précision.
Trois points de données suffisent : le mouvement de la tête de l’utilisateur et de chaque main. Les chercheurs ont constaté qu’un utilisateur peut être identifié de manière unique parmi un groupe de plus de 50 000 personnes avec une précision de 94 % à partir de 100 secondes de données de mouvement. Avec 10 secondes de données, leur système atteint encore une précision de 73 %. Rosenberg commente :
Ce qui est encore plus surprenant, c’est que la moitié des utilisateurs ont pu être identifiés avec seulement 2 secondes de données de mouvement. Pour atteindre ce niveau de précision, il a fallu recourir à des techniques d’intelligence artificielle innovantes, mais là encore, les données utilisées étaient extrêmement rares : seulement trois points spatiaux pour chaque utilisateur suivi dans le temps.
En d’autres termes, chaque fois qu’un utilisateur enfile un casque de réalité mixte, saisit les deux manettes standard et commence à interagir dans un monde virtuel ou augmenté, il laisse derrière lui une traînée d’empreintes numériques qui peuvent l’identifier de manière unique.
Ces résultats soulèvent naturellement la question suivante : peut-on faire quelque chose pour préserver la vie privée dans le métavers, ou sommes-nous sur le point d’entrer dans un monde numérique où nous pourrons toujours être suivis à la trace ? Rosenberg n’en doute pas :
La protection de la vie privée dans le métavers est possible, mais improbable sans lois
Il est essentiel de réglementer ce domaine, en exigeant des tiers qu’ils nous informent ouvertement lorsque nous interagissons avec des agents contrôlés par des algorithmes intelligents. Cela est particulièrement important si ces algorithmes surveillent également nos réactions, par exemple en évaluant notre posture, notre respiration et même notre tension artérielle, ce qui permet aux agents conversationnels d’ajuster habilement leur stratégie de messagerie en temps réel. Ce niveau extrême de manipulation interactive se produira à moins qu’il ne soit formellement restreint.
L’élaboration et l’adoption de réglementations sont des processus lents et difficiles – voyez le temps qu’il faut pour obtenir ne serait-ce que des protections élémentaires de la vie privée aux États-Unis, et le lobbying acharné des entreprises contre le GDPR de l’Union européenne.
En fait, le cadre XRSI de protection de la vie privée et de la sécurité a été publié en 2020. Il repose sur un large éventail de normes, de lignes directrices et de bonnes pratiques. Il intègre des exigences en matière de protection de la vie privée tirées du GDPR, des orientations du National Institute of Standards and Technology, du Family Educational Rights and Privacy Act et du Children’s Online Privacy Protection Rule. Il s’agit d’un document intéressant, mais il n’est pas certain qu’il ait eu un impact sur la protection de la vie privée dans le métavers depuis sa publication.
Comment protéger votre vie privée dans le métavers
Alors que nous attendons que les législateurs rattrapent leur retard technologique, il existe peut-être une autre approche. Inspirée par la popularité du « mode incognito » sur les navigateurs Web, l’équipe de l’université de Berkeley a mis au point un plug-in client open source qui vise à obtenir un résultat similaire pour l’utilisation des métavers.
L’idée de base est simple : ajouter de petites quantités de bruit numérique aux attributs sensibles de l’utilisateur qui peuvent être extraits des flux de données du métavers, comme décrit ci-dessus. En fait, les flux de données « mentent » sur la personne qui utilise le système, la faisant paraître plus grande, plus lente, plus âgée, etc. qu’elle ne l’est en réalité.
Le degré de bruit peut être ajusté, de sorte que les situations qui exigent un degré élevé de précision des données – par exemple les jeux – peuvent encore fonctionner avec une protection minimale de la vie privée. Pour les applications particulièrement sensibles, des niveaux élevés d’obscurcissement des données peuvent être appliqués. Grâce à cette approche, il est même possible d’atténuer l’impact du problème de triangulation des serveurs en retardant artificiellement les paquets de données afin de masquer les temps d’aller-retour réels.
Il s’agit d’une approche intelligente qui permet d’accroître la confidentialité dans le métavers, mais qui présente l’inconvénient évident de nécessiter l’installation d’un plug-in sur le système client, ce que tous les utilisateurs ordinaires ne sont pas forcément disposés à faire ou en mesure de faire. Le fait qu’il faille recourir à une technique aussi sophistiquée que l’obscurcissement des données personnelles donne une idée des défis qui nous attendent si nous voulons préserver notre vie privée dans les mondes virtuels.
