Skip to main content
8 Fév, 2023

Le Métaverse ajoute de nouvelles dimensions à la cybersécurité du Web 3.0

Le Métaverse ajoute de nouvelles dimensions à la cybersécurité du Web 3.0

, , , , , , , , , , , , , , ,

Avec davantage d’entreprises investissant dans le Web 3.0 cette année, notamment dans la blockchain, les jeux et le métavers, le jeu du chat et de la souris va se poursuivre, mais avec plus de dimensions.

Les amateurs de science-fiction entendent « metaverse » et pensent à « Snow Crash » (Le Samouraï Virtuel) de Neal Stephenson ou à « Neuromancer » de William Gibson.

En matière de sécurité, la meilleure référence pour cet environnement numérique émergent, qui devrait générer une valeur de 5 000 milliards de dollars d’ici 2030, pourrait en fait être « Roadside Picnic », un roman sur un paysage surréaliste et périlleux rempli de points chauds toxiques où les chasseurs de trésors recherchent des bibelots et des icônes mystérieux et puissants à vendre sur le marché noir. Qu’est-ce qui peut bien se passer ?

Le métavers présente des risques pour les utilisateurs et les créateurs

Le metaverse est en train de devenir un monde numérique en 3D pour l’achat, la vente, le recrutement et la formation, sans frontières géographiques et actuellement sans règles ni réglementations claires. Pour les opportunités commerciales, il existe de nombreux fils conducteurs invisibles, des zones toxiques et des vecteurs d’attaque qui en font une zone dangereuse pour les entreprises.

Selon John Tsangaris, responsable de la sécurité technique au sein de la société d’informatique Optiv, les métavers et le web 3.0 présentent deux grandes menaces pour la sécurité.

Manque d’éducation des utilisateurs

Avec les nouvelles technologies, l’expérience d’intégration des utilisateurs est axée sur la fonction et les cas d’utilisation plutôt que sur la sécurité. Pendant ce laps de temps, entre le moment où l’on découvre comment l’utiliser et celui où l’on apprend à l’utiliser en toute sécurité, le potentiel d’attaques par ingénierie sociale est énorme.

La croissance et l’innovation priment sur la sécurité

Le développement du métavers précède la sécurité, comme c’est le cas pour toutes les formes de croissance technologique. Lorsque la sécurité fait partie du débat, elle est souvent intégrée ou ajoutée après coup.

« C’est vraiment un problème d’ingénierie sociale », a déclaré John Tsangaris. « Au cours des 30 dernières années, nous avons connu de nombreux événements technologiques au cours desquels une nouveauté est sortie et nous nous sommes tellement concentrés sur les fonctionnalités que la sécurité n’a même pas été envisagée. Avec le metaverse, nous assistons à la même chose. »

Joseph Williams, associé directeur d’Infosys consulting pour la cybersécurité, représentant de la société au Metaverse Standards Forum et ancien conseiller en politique technologique du gouverneur de Washington Jay Inslee, a déclaré que cette situation est endémique dans la culture d’entreprise.

« Une grande partie de ce que les marques font dans le métavers est le fait de créatifs au sein de l’entreprise et, d’après mon expérience, les responsables de la sécurité informatique ne sont pas invités à la danse, de sorte que les créatifs créent ces expériences de métavers pour la marque », souligne Joseph Williams. « La cybersécurité arrivera tardivement, et nous essaierons rétroactivement de protéger ces actifs. Les spécialistes de la cybersécurité doivent faire le point sur ce qui se passe avec leurs actifs et les données collectées. D’après mon expérience, les créatifs sont phénoménaux pour inventer ces choses mais très peu pour comprendre les obligations légales qui y sont attachées. »

Si les responsables de la cybersécurité voient le risque, ils vont de l’avant

La société de gestion de l’exposition Tenable a publié un récent rapport sur le métavers qui détaille les implications en matière de sécurité auxquelles les experts en informatique et en cybersécurité réfléchissent, notamment les problèmes de configuration, l’expansion du paysage des menaces et la blockchain.

L’étude, menée en octobre et novembre 2022, a interrogé 1 500 professionnels de la cybersécurité, de DevOps et de l’informatique aux États-Unis, au Royaume-Uni et en Australie. Dans l’étude :

  • Près des trois quarts des personnes interrogées (74 %) ont déclaré que les écoutes par avatar invisible ou les attaques de type  » homme dans la pièce  » sont très ou assez susceptibles de se produire dans le métavers.
  • Quelque 77 % des personnes interrogées pensent qu’il est très ou assez probable que le clonage de la voix, des traits du visage et le détournement d’enregistrements vidéo à l’aide d’avatars puissent se produire dans le métaverse.
  • Seuls 48% se disent confiants dans leur capacité à endiguer les menaces dans le métaverse.
  • Pas moins de 93 % ont admis qu’ils avaient besoin d’un plan de cybersécurité solide avant de proposer des services dans le métavers.

Pourtant, l’étude a également révélé que :

  • Quelque 86 % des personnes interrogées ont déclaré qu’elles seraient à l’aise pour partager les informations personnelles identifiables des utilisateurs entre les services du métavers.
  • Moins d’un tiers (28 %) des entreprises mondiales ont déclaré avoir développé des initiatives de métavers au cours des six derniers mois.
  • Plus de la moitié (58 %) des répondants ont déclaré qu’ils prévoyaient de faire des affaires dans le métavers dans les six prochains mois.
  • Moins de la moitié (44 %) ont déclaré qu’ils voyaient dans les métavers des opportunités pour améliorer l’engagement des clients, tandis que 41 % ont déclaré qu’ils y voyaient un moyen d’améliorer la formation et 41 % ont déclaré que les métavers amélioreraient la collaboration.

L’un des problèmes est qu’il existe un très grand nombre de « métavers » différents », a déclaré le co-auteur de l’étude, Satnam Narang, ingénieur de recherche senior chez Tenable. « Il y a des projets dans le domaine des jeux, de la blockchain, sur des plateformes comme Sandbox et Decentraland, et bien d’autres, donc le défi avec autant de métavers différents est de comprendre où les entreprises affluent. »

Comme avant, mais en 3D

En fin de compte, avec des défis autour d’exploits tels que le spear phishing (1), les malwares et les ransomwares, le métavers va étendre l’éternel jeu du chat et de la souris en matière de cybersécurité, a noté John Williams, soulignant que le métavers et le Web 3.0 comportent également des restrictions légales et des zones grises qui existent dans le Web 2.0.

  1. Le spear phishing désigne en sécurité informatique une variante de l’hameçonnage épaulée par des techniques d’ingénierie sociale

« En général, toutes les lois qui s’appliquent dans la vie réelle s’appliquent dans le métavers », insiste Joseph Williams. « Mais là où ça devient un peu délicat, c’est le concept de lien juridique : Si vous êtes dans le métavers, dans quel pays vous trouvez-vous ? Cette question n’est pas réglée en ce qui concerne le commerce sur Internet. Si je harcèle sexuellement quelqu’un en Californie, il existe un ensemble de lois qui s’appliquent et qui ne s’appliqueraient pas si je le faisais, disons, au Cambodge. Les règles de preuve et les sanctions varieront. »

Comme le web, les métavers sont accompagnés d’un caveat emptor pour les utilisateurs. Le Caveat emptor est une expression latine signifiant littéralement « que l’acheteur soit vigilant ». Elle est employée en droit pour signifier que pour pouvoir bénéficier d’une garantie, d’un remboursement ou d’un dédommagement, l’acheteur d’une marchandise ou d’un service doit lui-même apporter la preuve que le vendeur a commis une fraude.

John Tsangaris a noté que les nouvelles zones d’attaque pour les acteurs malveillants comprennent les wearables et les expériences 3D qui pourraient être exploitées pour des attaques psychologiques et des subterfuges traumatiques. Les crimes spécifiques au Metaverse autour des NFT et des faux investissements liés aux crypto-jetons représentent un danger évident.

« La partie éducation est à la traîne », souligne John Tsangaris. « Le métavers et ses composants sont si nouveaux que nous avons une énorme disparité entre l’éducation et la mise en œuvre. Nous devons rendre l’interface simple et sûre et éduquer l’utilisateur pour qu’il puisse la rencontrer au milieu. »

Risques pour la réputation de la marque en 3D

Joseph Williams a expliqué que les types de programmes de blockchain et de métavers dans lesquels Adidas, Nike et Starbucks se sont engagés comportent des risques, car les transactions nécessitent une connexion à l’identité tangible des utilisateurs dans le monde réel.

« Un gros risque cybernétique va être cette connexion », a-t-il dit. « Il est déjà assez difficile de sécuriser le monde réel. Si j’achète quelque chose chez Amazon, que c’est entièrement numérique et que cela doit ensuite être livré physiquement, les informations relatives à ma livraison constituent un risque de cybersécurité que j’étends dans le métavers. »

Les entreprises trempent un orteil dans le métavers pour jauger les vertus de l’expérience, mais même cela a des implications cybernétiques.

« Si vous avez une mauvaise activité dans le métavers attachée à votre marque, est-ce que cela va venir dans le monde physique avec un effet négatif ? » conclut Joseph Williams. « Sur la base de ce qui se passe dans les médias sociaux, je pense que l’on peut prédire que ce sera le cas. La protection de votre marque est probablement la plus grande chose dont vous devez vous soucier dans le métavers – et non la création de la marque dans le métavers. »

https://www.techrepublic.com/article/metaverse-adds-new-dimensions-cybersecurity/