Environ 2 millions de personnes se connecteront à des casques de réalité virtuelle chaque mois en 2020. Les revenus du secteur de la réalité virtuelle, ou RV, devraient passer de 12 à 100 milliards de dollars au cours des cinq prochaines années. Dans la course au développement des applications de RV les plus populaires et à la captation de la demande des consommateurs, les développeurs de logiciels de RV et les entreprises ne mettent pas toujours en œuvre des mesures pour protéger les consommateurs contre le piratage. Souvent, les produits sont publiés alors qu’ils sont encore en cours de développement.
Abe Baggili, professeur de cybersécurité à LSU, est l’une des premières personnes au monde à étudier la sécurité des systèmes de réalité virtuelle immersive, ou réalité X, et à proposer des solutions à ce secteur en pleine évolution pour protéger les personnes qui utilisent ces nouveaux produits.
« Tout le monde doit être conscient que toute technologie comporte des risques de sécurité. Une fois que quelqu’un a accès à votre appareil, il peut potentiellement vous voler votre argent en accédant à vos comptes bancaires et de carte de crédit et faire des ravages dans votre vie », a déclaré M. Baggili, qui est professeur au département d’informatique et au Center for Computation & Technology de la LSU.
Ses nouvelles recherches sont publiées dans Computers & Security.
M. Baggili et ses étudiants en cybersécurité, dont l’auteur principal Martin Vondráček, qui est maintenant chercheur en sécurité et étudiant en doctorat à l’Université de technologie de Brno, en République tchèque, ont testé une application XR de divertissement et sociale populaire, principalement utilisée par les gens pour regarder des films avec d’autres dans un environnement virtuel, afin de voir s’ils pouvaient pirater les casques et les ordinateurs des utilisateurs.
Les chercheurs ont découvert que c’était possible et qu’ils ont pu prendre le contrôle du casque VR d’un utilisateur, regarder son écran, allumer son microphone et installer un virus sur son ordinateur, le tout à son insu. Lorsqu’un autre utilisateur entrait dans la pièce virtuelle et interagissait avec l’utilisateur infecté à son insu, il était lui aussi infecté, de la même manière que les virus se propagent entre les personnes dans la réalité.
En outre, les chercheurs ont pu entrer dans la pièce virtuelle à l’aide d’un dispositif différent et non détecté et agir comme un voyeur invisible virtuel.
« Personne ne s’attendrait à voir un intrus invisible dans son salon réel, observant ses activités et ses moindres mouvements. Cette intrusion peut perturber la vie privée des gens à un niveau très personnel », a déclaré M. Baggili.
Les enfants et les jeunes gravitent autour de ces applications et casques de réalité virtuelle et les utilisent, ce qui rend la mise en place de mesures de sécurité encore plus importante.
« Les appareils de RV et de RX collectent de nombreuses informations personnelles telles que la structure de la pièce physique dans laquelle vous vous trouvez ainsi que les mouvements de vos yeux, de vos mains et de votre corps. Ces informations peuvent être utilisées pour vous causer, à vous et à votre famille, un préjudice physique, émotionnel et financier », a-t-il déclaré.
En piratant un casque VR et une caméra, les chercheurs ont pu désorienter les utilisateurs, supprimer les limites physiques pour les faire se heurter à des murs ou tomber dans des escaliers en réalité.
Heureusement, la société qui a développé l’application de RV testée par Baggili et ses étudiants dans cet article a accepté toutes les recommandations fournies par les chercheurs dans la divulgation responsable. Les développeurs et les scientifiques peuvent désormais utiliser les outils mis au point par les chercheurs pour créer des logiciels de RV sécurisés.
« Les vulnérabilités que nous avons découvertes auraient pu être évitées. Dans le cadre de nos recherches, nous avons mis en place plusieurs outils d’analyse et d’attaque, des exemples d’exploits et des signatures de vulnérabilités. Nous avons choisi de les publier sous forme de logiciels libres et gratuits afin d’améliorer l’état de l’art de la détection et de la prévention des vulnérabilités dans la RV », a déclaré Vondráček.
En outre, les applications de réalité virtuelle sont utilisées dans l’éducation, les soins de santé, les infrastructures critiques et la défense militaire.
« Cette recherche est essentielle pour identifier les faiblesses de sécurité dans les applications populaires de la RV. Il faut que les législateurs et les organisations connaissent les dommages potentiels qu’elles peuvent causer et exigent des entreprises qui développent ces nouvelles technologies qu’elles trouvent le bon équilibre entre sécurité, vie privée et sûreté, avant l’adoption massive », a déclaré Kavya Pearlman, fondatrice et chercheuse en sécurité de l’information de l’organisation mondiale à but non lucratif de développement de normes, XR Safety Initiative, ou XRSI.
Comment rejoindre le métavers en toute sécurité ?
« Soyez diligent et comprenez que les nouvelles technologies ont des conséquences positives et négatives. Ne lui faites pas toujours confiance et utilisez-la comme un scientifique : faites des expériences, soyez très critique vis-à-vis de la technologie que vous utilisez et essayez de comprendre ce qu’elle fait de vos données », a déclaré M. Baggili.
Malheureusement, il n’existe pas beaucoup de plateformes sur lesquelles les utilisateurs peuvent s’informer sur ces nouvelles technologies et la plupart des informations que les gens voient proviennent des entreprises qui vendent des produits de RV, qui n’attirent naturellement pas l’attention sur les risques potentiels pour la vie privée et la sécurité.
« Nous réagissons à cela en portant nos recherches à l’attention du public dans les médias mondiaux. Nous espérons qu’elle contribuera à sensibiliser le public à la RV, à ses atouts mais aussi aux dangers qui y sont associés », a déclaré M. Baggili.
