Cet article fait partie d'un numéro spécial de VB. Lisez la série complète ici : Le métaverse - À quel point sommes-nous proches ?
Cet article fait partie d'un numéro spécial de VB. Lisez la série complète ici : Le métaverse – À quel point sommes-nous proches ?
Les cyberattaques, anciennes et nouvelles, trouveront inévitablement leur chemin dans le métaverse, soulignant la nécessité pour les mondes virtuels immersifs de fournir une sécurité renforcée dès leur création.
Cependant, la sécurisation du métaverse présentera de nouveaux défis par rapport aux plates-formes numériques existantes, selon les responsables et les chercheurs en cybersécurité. La surveillance du métaverse et la détection des attaques sur ces nouvelles plates-formes seront "plus complexes" que sur les plates-formes actuelles, selon Vasu Jakkal, vice-président de la sécurité, de la conformité et de l'identité chez Microsoft. Le géant de la technologie est l'un des principaux partisans du métaverse et a commencé à développer des plates-formes virtuelles immersives pour les entreprises et les consommateurs.
« Avec le métaverse, vous allez avoir une explosion d'appareils. Vous allez avoir une explosion d'infrastructures. Vous allez avoir une explosion d'applications et de données », a déclaré Jakkal à VentureBeat. "Et donc, cela n'a fait qu'augmenter votre surface d'attaque d'un ordre de grandeur."
Si les plates-formes métaverses manquent de sécurité et de confidentialité, elles connaîtront presque certainement un faux départ – ou pire – car les problèmes se transforment rapidement en un obstacle majeur à l'adoption, ont déclaré les experts. D'un autre côté, les plates-formes métaverses qui se concentrent sur la sécurité et la confidentialité en amont pourraient trouver une plus grande traction en conséquence.
"Cela a beaucoup à voir avec la marque et la confiance", a déclaré Caroline Wong, ancienne directrice principale de la sécurité chez Zynga et maintenant directrice de la stratégie de la cyberentreprise Cobalt. "Si un consommateur a le choix entre la plate-forme A - qu'il pense être sécurisée et privée et faisant tout ce qu'il faut - et la plate-forme B, qui, selon lui, entraînera probablement un piratage s'il s'y joint, alors le choix est clair."
Alors que le monde virtuel à venir permettra sans aucun doute de "belles expériences" pour les utilisateurs, reconnaître et relever le défi de la cybersécurité sera essentiel pour que le métaverse réussisse, a déclaré Jakkal.
"Ma liste de souhaits serait, ne pensons pas à la sécurité après coup. La sécurité doit être intégrée au métaverse [dès le début] », a-t-elle déclaré. "Nous avons une chance de bien faire les choses."
Connus et inconnus du métaverse
On ne sait pas encore exactement à quoi ressemblera la surface d'attaque dans le métaverse. Mais nous pouvons encore en savoir beaucoup sur les risques de sécurité potentiels du monde virtuel à venir, ont déclaré des experts à VentureBeat. Les problèmes existants liés à la sécurité du Web, des applications et de l'identité devraient surgir rapidement sur les plates-formes métaverses, à mesure que les attaquants saisissent les opportunités de fraude, de vol et de perturbation.
Pendant ce temps, les cyber-activités malveillantes qui ne sont possibles que dans un environnement virtuel immersif – telles que l'écoute invisible et la manipulation des utilisateurs pour leur infliger des dommages physiques réels – ont également été identifiées par les chercheurs comme des menaces possibles dans le métaverse.
Kavya Pearlman, anciennement directeur de la sécurité de l'information pour Linden Lab et son monde virtuel en ligne Second Life, a déclaré que les plates-formes de "réalité étendue" telles que le métaverse à venir sont une autre histoire en matière de cybersécurité. Pearlman s'est efforcé de sensibiliser le public à ce problème en tant que fondateur et PDG de l'Extended Reality Safety Initiative (XRSI), une organisation à but non lucratif axée sur la confidentialité, la sécurité et la sûreté dans les mondes virtuels.
« Vous pouvez utiliser [cette technologie] pour le plus grand bien. Mais vous pouvez aussi l'utiliser pour vraiment blesser l'humanité », a déclaré Pearlman.
Pour les plates-formes numériques 2D, a-t-elle déclaré, "la surface d'attaque est restée limitée aux nœuds, aux réseaux et aux serveurs". Mais avec le métaverse, "La surface d'attaque est maintenant notre cerveau."
Sécuriser les mondes virtuels
Des plates-formes telles que Second Life et les casques de réalité virtuelle (VR) existent depuis des années, tandis que les jeux en ligne tels que Fortnite et Roblox se sont transformés en univers virtuels majeurs. Mais pour le métaverse, 2021 a servi de tournant. Les géants de l'industrie technologique, dont Microsoft, Nvidia et bien sûr Facebook - qui a changé son nom en Meta - ont également soutenu le concept en 2021. Soudain, l'idée qu'une expérience virtuelle immersive pourrait vraiment être le successeur d'Internet a devenir plus qu'une simple notion de science-fiction.
Les visions du métaverse varient, et on ne sait pas encore à quel point les différents univers virtuels pourraient être interopérables les uns avec les autres. Mais même avec les inconnues, le moment est venu de commencer à s'attaquer aux implications de la cybersécurité du métaverse, ont déclaré un certain nombre d'experts à VentureBeat. Et cet effort doit commencer par les risques déjà prévisibles.
Josh Yavor, ancien responsable de la sécurité de l'entreprise de réalité virtuelle Oculus de Facebook, a déclaré que la chose la plus fondamentale à réaliser à propos de la sécurité du métaverse est qu'elle doit commencer par résoudre les problèmes existants du paysage numérique actuel.
"Aucun de ces problèmes ne disparaît", a déclaré Yavor, actuellement directeur de la sécurité de l'information de la cyberentreprise Tessian. « Il y a peut-être de nouveaux problèmes. Mais nous n'échappons pas aux problèmes actuels ou passés simplement en entrant dans le métaverse. Ces problèmes viennent avec nous, nous devons donc les résoudre.
Avec un potentiel pour soutenir toutes sortes d'activités économiques, les attaquants opportunistes sont sûrs de suivre l'argent dans le métaverse. Selon les experts en cybersécurité, il attirera sans aucun doute des acteurs de la menace allant des fraudeurs standard aux voleurs de crypto-monnaie et de biens virtuels, en passant par les opérateurs de ransomware motivés financièrement.
Et tout comme sur Internet aujourd'hui, l'ingénierie sociale visant à acquérir des informations sensibles sera une certitude dans le métaverse. Il en sera de même des tentatives d'usurpation d'identité - qui pourraient être portées à un nouveau niveau en supposant des avatars frauduleux dans des mondes virtuels. Si quelqu'un acquiert les informations d'identification de votre compte métaverse et assume ensuite votre avatar, cette personne pourrait potentiellement "devenir vous" dans le métaverse d'une manière qu'elle n'aurait jamais pu sur Internet, ont déclaré des experts.
Focus sur la sécurité de l'identité
Tout cela signifie que fournir une sécurité d'identité forte devrait être une préoccupation majeure pour les constructeurs de métaverses, a déclaré Frank Dickson, vice-président du programme pour la sécurité et la confiance au cabinet de recherche IDC. Une authentification d'identité robuste et continue sera essentielle, en particulier pour permettre les transactions dans le métaverse. Mais cela pourrait être compliqué par la nature immersive des plates-formes, a déclaré Dickson. Les formes typiques d'authentification multifacteur (MFA) ne seront pas nécessairement adaptées.
« Il faudra que ce soit plus qu'une simple MFA. Si vous êtes dans le métaverse, vous ne voudrez pas vous arrêter, sortir votre téléphone et saisir un code à six chiffres », a-t-il déclaré. "Nous allons donc devoir rendre cette authentification aussi invisible et transparente que possible, mais sans sacrifier la sécurité."
Le fait que le métaverse sera construit sur une technologie informatique distribuée, la blockchain, apporte des avantages de sécurité inhérents à cet égard. La blockchain est de plus en plus considérée comme une solution de sécurité d'identité car elle peut offrir des magasins décentralisés de données d'identité. La blockchain est beaucoup plus résistante aux cyberattaques qu'une infrastructure centralisée, a déclaré Tom Sego, fondateur et PDG de la cyberentreprise BlastWave.
Mais ce que la blockchain ne peut pas aborder, bien sûr, c'est l'élément humain qui est au cœur des menaces telles que l'ingénierie sociale, a-t-il noté.
Les attaques visant à exploiter les services Web exposés devraient constituer un autre problème majeur qui se répercute sur les plates-formes métavers. Les techniques actuelles utilisées dans les attaques zero-day telles que les scripts intersites, l'injection SQL et les shells Web seront tout aussi problématiques avec les applications virtuelles, a déclaré Sego.
Selon Kevin Bocek, vice-président de la stratégie de sécurité chez Venafi, spécialisé dans ce domaine, l'un des plus grands risques de sécurité du métaverse pourrait impliquer des identités de machine et des transactions API compromises. Mais d'abord, on peut s'attendre à toutes sortes de "crimes à l'ancienne", y compris la fraude, les escroqueries et même les vols, a déclaré Bocek.
"Je ne sais pas à quoi ressemblent les agressions dans le métaverse, mais des agressions se produiront probablement", a-t-il déclaré. "Nous sommes des humains, et les menaces susceptibles de surgir en premier sont celles qui nous concernent."
Menaces pérennes
En plus des attaques malveillantes, les constructeurs de métaverses devront également faire face à d'autres types de menaces qui ont tendance à être des problèmes permanents sur les plateformes numériques. Par exemple, comment protéger les jeunes utilisateurs du contenu réservé aux adultes.
"Au début, ce qui animait Internet, c'était la pornographie. Devinez ce qui va probablement apparaître dans le métaverse ? » a déclaré Dickson d'IDC. « Si la pornographie est votre truc, tant mieux. Mais assurons-nous que nos jeunes enfants n'y aient pas accès dans le métaverse.
En attendant, si l'histoire des médias sociaux peut nous apprendre quelque chose, c'est que le harcèlement sera une autre préoccupation à laquelle il faudra répondre pour que les utilisateurs se sentent en sécurité dans le métaverse. Et le problème pourrait être compliqué par des facteurs dans l'environnement virtuel lui-même.
Dans un monde virtuel, la capacité de "faire sortir quelqu'un de votre visage" est entravée, a déclaré Yavor. "Vous n'avez aucun sens de l'autonomie corporelle, et il n'y a aucun moyen de tendre le bras et de les garder littéralement à distance. Comment résolvons-nous cela ? »
Le problème, comme beaucoup d'autres, est "l'un des problèmes du monde réel qui doit être suffisamment résolu dans le métaverse pour que ce soit quelque chose qui soit une expérience acceptable pour les gens", a-t-il déclaré.
Ainsi, alors que certaines menaces pour les utilisateurs dans le métaverse ne seront pas nouvelles, beaucoup viendront avec des complexités supplémentaires et le potentiel d'un impact amplifié dans certains cas.
Risques pour la sécurité physique
Les chercheurs affirment qu'un certain nombre de nouveaux risques de sécurité dans l'environnement métaverse peuvent également être anticipés, certains avec un potentiel de conséquences physiques réelles.
L'arrivée des environnements virtuels immersifs change beaucoup la donne pour les attaquants, les victimes et les défenseurs, selon les chercheurs. Dans le métaverse, "une cyberattaque n'est pas nécessairement un code malveillant", a déclaré Pearlman de XRSI. "Cela pourrait être un exploit qui désactive votre limite de sécurité."
Ibrahim Baggili, professeur d'informatique à l'Université de New Haven et membre du conseil d'administration de XRSI, fait partie des chercheurs qui ont passé des années à étudier les risques potentiels des plateformes de réalité étendue pour les utilisateurs. En un mot, ce que lui et ses collaborateurs ont découvert, c'est que "les risques pour la sécurité et la confidentialité sont énormes", a déclaré Baggili dans un e-mail.
« En ce moment, nous regardons les écrans. Avec le métaverse, les écrans sont si proches de nos yeux que cela nous donne l'impression d'être à l'intérieur », a-t-il déclaré. "Si nous pouvons contrôler le monde dans lequel quelqu'un se trouve, alors nous pouvons essentiellement contrôler la personne à l'intérieur."
Une forme potentielle d'attaque, identifiée par Baggili et d'autres chercheurs de l'Université de New Haven, est ce qu'ils appellent l'attaque «manette de jeu humaine». Étudiés à l'aide de systèmes de réalité virtuelle, les chercheurs ont découvert qu'il était possible de "contrôler les utilisateurs immergés et de les déplacer vers un emplacement dans l'espace physique à leur insu", selon leur article de 2019 sur le sujet.
En cas d'attaque malveillante de ce type, "les risques de dommages physiques sont accrus", a déclaré Baggili à VentureBeat.
De même, une menace connexe identifiée par les chercheurs est l'« attaque chaperon », qui consiste à modifier les limites de l'environnement virtuel d'un utilisateur. Cela pourrait également être utilisé pour blesser physiquement un utilisateur, ont déclaré les chercheurs.
"L'intérêt de ces expériences immersives est qu'elles prennent complètement le dessus sur ce que vous pouvez voir et ce que vous pouvez entendre", a déclaré Cobalt's Wong, qui a suivi les travaux de XRSI et des chercheurs en sécurité dans l'espace XR. "Si cela est contrôlé par quelqu'un, il est tout à fait possible qu'il puisse vous inciter à tomber dans un escalier, à sortir d'une porte ou à entrer dans une cheminée."
Les autres menaces potentielles identifiées par les chercheurs de l'Université de New Haven incluent une « attaque par superposition » (qui affiche un contenu indésirable sur la vue d'un utilisateur) et une « attaque de désorientation » (pour confondre/désorienter un utilisateur).
Espionner dans le métaverse
Une autre race d'attaque, également avec des conséquences potentiellement graves, implique une écoute clandestine - ou ce que les chercheurs de l'université ont surnommé "l'attaque de l'homme dans la pièce". Dans une application VR, les chercheurs ont découvert qu'ils pouvaient écouter d'autres utilisateurs dans une salle virtuelle à leur insu ou sans leur consentement. Un agresseur "peut être là de manière invisible, observant chacun de vos mouvements mais aussi vous entendant", a déclaré Baggili.
Et si les chercheurs étudient le potentiel d'espionnage dans le métaverse, vous pouvez parier que les acteurs de la menace parrainés par l'État le sont également.
Toutes ces attaques ne sont possibles qu'en exploitant les vulnérabilités, bien sûr. Mais dans chaque cas, les chercheurs ont déclaré avoir découvert qu'ils pouvaient le faire.
"Les types d'attaques que nous avons illustrés dans nos recherches sont juste pour que nous puissions montrer, comme preuve de concept, que ces problèmes sont réels", a déclaré Baggili. Mais pour l'avenir, il pense qu'il est nécessaire de mener des études plus approfondies pour déterminer comment développer ces plates-formes de manière «responsable» du point de vue de la sécurité et de la sûreté.
D'autres chercheurs se sont concentrés sur les problèmes de sécurité avec les technologies de réalité augmentée (AR), qui devraient également jouer un rôle clé dans le métaverse. À l'Université de Washington, les chercheurs Franziska Roesner et Tadayoshi Kohno ont écrit dans un article de 2021 que les technologies AR à venir "pourraient s'interfacer explicitement avec le corps et le cerveau, avec des technologies sophistiquées de détection du corps et d'interface cerveau-machine".
"La nature immersive de la RA peut créer de nouvelles opportunités pour les applications contradictoires d'influencer les pensées, les souvenirs et même la physiologie d'une personne", ont écrit les chercheurs. "Alors que nous avons commencé à explorer la relation entre les technologies AR, les neurosciences, la sécurité et la confidentialité, il reste encore beaucoup à faire pour comprendre les risques et les atténuer."
Alertes dans le métaverse
Il y a d'autres choses fondamentales à régler pour sécuriser également le métaverse. L'un est la nécessité d'une attention particulière à la conception de l'interface utilisateur. De nombreuses mesures de sécurité et de confidentialité sur lesquelles s'appuient les environnements numériques actuels "n'existent pas dans un métaverse", a déclaré Yavor de Tessian. "En fait, le but du métaverse est de les faire ne pas exister."
Le navigateur Web en est un exemple. Si votre navigateur pense qu'un site sur lequel vous venez de cliquer pourrait être malveillant, il vous en avertira. Mais il n'y a pas d'équivalent à cela en VR.
Cela soulève une question clé, a déclaré Yavor : dans le métaverse, "comment fournissez-vous aux gens le contexte nécessaire autour des décisions de sécurité qu'ils doivent prendre ?"
Et plus loin : quand est-il même sûr d'interrompre un utilisateur qui est physiquement en mouvement pour lui faire savoir qu'il doit prendre une décision critique pour sa sécurité ? "Si vous obtenez soudainement une fenêtre contextuelle pendant que vous jouez à Beat Saber en VR, cela peut vous déséquilibrer et causer des dommages physiques", a déclaré Yavor.
Ce sont des questions sans réponse à l'heure actuelle - et les aspects techniques de la sécurité de l'information sont probablement plus faciles en comparaison, a-t-il déclaré. Pendant son séjour chez Oculus, "la partie la plus difficile était de savoir comment protéger les gens sans devenir trop gardien ou parent autoritaire ?"
L'essentiel : chaque constructeur de métaverse devra trouver un équilibre entre la mise en œuvre de mesures de sécurité au nom des utilisateurs et la possibilité pour les utilisateurs de prendre eux-mêmes des décisions en fonction des risques. "Encore une fois, la partie technique n'est pas difficile", a déclaré Yavor. "La conception et l'expérience utilisateur sont la partie incroyablement difficile."
Le point de vue de Meta
Dans la présentation fin octobre qui a dévoilé Meta et la vision de l'entreprise pour le métaverse, le PDG Mark Zuckerberg n'a pas directement mentionné les problèmes potentiels de cybersécurité. Mais il a discuté des problèmes connexes de confidentialité et de sécurité, qui, selon lui, seront cruciaux à résoudre dans le cadre de la construction responsable du métaverse. Meta est "conçu pour la sécurité, la confidentialité et l'inclusion, avant même que les produits n'existent", a déclaré Zuckerberg – appelant plus tard ces "blocs de construction fondamentaux" pour les plates-formes métavers.
"Tous ceux qui construisent pour le métaverse devraient se concentrer sur la construction responsable dès le début", a-t-il déclaré. "C'est l'une des leçons que j'ai intériorisées au cours des cinq dernières années - c'est que vous voulez vraiment mettre l'accent sur ces principes dès le départ."
En réponse aux questions sur la façon dont il aborde la sécurité, la confidentialité et la sécurité dans le métaverse, Meta a fourni une déclaration indiquant que la nécessité de résoudre les problèmes est l'une des principales raisons pour lesquelles l'entreprise a commencé à discuter du métaverse des années avant sa pleine réalisation.
"Nous en discutons maintenant pour nous assurer que toutes les conditions d'utilisation, les contrôles de confidentialité ou les dispositifs de sécurité sont adaptés aux nouvelles technologies et efficaces pour assurer la sécurité des personnes", a déclaré un porte-parole de Meta dans le communiqué, qui avait déjà été partagé avec autres médias. « Ce ne sera pas le travail d'une seule entreprise. Cela nécessitera une collaboration au sein de l'industrie et avec des experts, des gouvernements et des régulateurs pour bien faire les choses.
La prise de Microsoft
Début novembre, le PDG de Microsoft, Satya Nadella, a révélé les aspirations de l'entreprise à développer une "couche de plate-forme entièrement nouvelle, qui est le métaverse". La vision de Microsoft pour le métaverse implique de tirer parti de nombreuses technologies de l'entreprise, de son cloud Azure à ses solutions de collaboration telles que Teams, en passant par son environnement virtuel Mesh.
De même, les offres de métaverse de Microsoft tireront également parti de toutes les technologies de sécurité existantes de l'entreprise, des capacités de sécurité du cloud à la protection contre les menaces en passant par la gestion des identités et des accès, a déclaré Jakkal. "Je pense que tous ces blocs de base fondamentaux vont être importants pour le métaverse", a-t-elle déclaré.
Établir la confiance dans la sécurité, la confidentialité et la sûreté des plates-formes métavers devrait être une priorité absolue pour tous les constructeurs de monde virtuel, a déclaré Jakkal.
« Et il doit être très réfléchi, très complet et dès le départ. Pour moi, la confiance va être une plus grande partie du métaverse que toute autre chose », a-t-elle déclaré. « Parce que si vous n'y parvenez pas, nous aurons tellement de défis à relever et personne n'utilisera le métaverse. Je ne me sentirais pas en sécurité en utilisant le métaverse si [il manquait] les principes de confiance.
Compte tenu de l'ampleur du défi, la sécurisation du métaverse nécessitera en effet que de nombreuses parties prenantes travaillent en collaboration, en particulier dans l'industrie de la cybersécurité, a déclaré Jakkal. "Nous devons amener la communauté de la sécurité dans le métaverse", a-t-elle déclaré.
Les travaux sont en cours
Certaines entreprises du secteur se préparent déjà à aider à faire fonctionner le métaverse en toute sécurité. La société de services informatiques et de conseil Accenture a déjà commencé le développement de fonctionnalités de sécurité clés pour les plates-formes métavers, a déclaré le directeur général principal David Treat. Par exemple, la société développe un mécanisme permettant à deux avatars d'échanger en toute sécurité des « jetons », qui peuvent être soit des identifiants d'identité, soit des unités de valeur, sans retirer le casque, a-t-il déclaré.
"Nous investissons massivement dans la R&D pour nous assurer que nous savons comment faire fonctionner ces choses pour nos clients", a déclaré Treat, qui supervise le groupe d'incubation technologique d'Accenture, qui comprend ses activités de blockchain et de réalité étendue.
C'est l'une des façons dont l'utilisation de la technologie blockchain comme fondement du métaverse sera si puissante. Alors que le métaverse évolue de communautés disparates vers un monde virtuel interopérable, la blockchain contribuera à permettre de nouvelles constructions d'identité numériquement natives, a déclaré Treat.
"Nous devrons repenser l'authentification dans un monde entièrement numérique", a-t-il déclaré. Par exemple, si les gens se rencontrent socialement, vous pouvez ou non choisir de révéler qui vous êtes vraiment. La blockchain contribuera à rendre possible le partage ou la rétention en toute sécurité des informations d'identification vous concernant, a déclaré Treat.
Nouvelle compréhension
En fin de compte, la sécurisation du métaverse présentera non seulement de nouveaux problèmes, mais également de nouvelles complications pour les anciens problèmes. Le métaverse impliquera la création de quantités massives de données qui devront être surveillées pour détecter les attaques et protéger de manière proactive les utilisateurs, selon Pearlman.
"C'est une chose très complexe à aborder", a déclaré Pearlman, dont le travail passé a également consisté à conseiller Facebook sur les risques de sécurité des tiers. "Nous allons certainement avoir besoin d'une nouvelle compréhension de la manière de lutter contre ces cyberattaques dans le métaverse."
Mais sans aucun doute, il faudra le faire, selon les experts.
"Pour que nous ayons réellement des expériences sécurisées dans le métaverse, nous devons être en mesure de trouver un moyen d'établir la confiance dans le contenu, dans la sécurité de la plate-forme et dans les personnes avec lesquelles nous interagissons", dit Yavor. "Si nous créons une réalité virtuelle suffisamment convaincante, nous devons fournir les mêmes types de résultats pour la sécurité et la confidentialité qui existent dans la vie réelle."
Il y a des raisons d'espérer, cependant, a déclaré Wong. C'est en partie parce que l'industrie a au moins quelques années pour résoudre ces problèmes avant que le métaverse ne soit prêt pour les heures de grande écoute, a-t-elle déclaré.
Avec le métaverse, "il y a absolument le potentiel de créer de nouvelles économies et de connecter les gens de manière belle et significative", a déclaré Wong. "Je pense qu'une partie du succès consistera à résoudre les problèmes de sécurité et de confidentialité."
Jakkal a accepté. "J'espère que le métaverse apportera ces belles expériences à nos entreprises et à nos employés", a-t-elle déclaré. "Mais pour faire le bien, nous devons être en sécurité."
La mission de VentureBeat est d'être une place publique numérique permettant aux décideurs techniques d'acquérir des connaissances sur la technologie d'entreprise transformatrice et d'effectuer des transactions. Apprendre encore plus