Comment les pirates informatiques pourraient cartographier votre maison et autres menaces du Metaverse
Le Metaverse est défini comme un réseau de mondes virtuels connectés qui utilisent les technologies de réalité virtuelle (VR) et/ou de réalité augmentée (AR) pour offrir une expérience plus immersive aux utilisateurs. Bien que le concept existe depuis trois décennies (il provient du roman de science-fiction « Snow Crash ») et qu’il constitue la base de plateformes telles que Second Life, le Metaverse a gagné en popularité ces derniers mois grâce à des initiatives telles que Meta Quest 2, un dispositif de réalité virtuelle commercialisé par Meta (le nom actuel de la société anciennement connue sous le nom de Facebook).
Les avantages et les possibilités de ces mondes virtuels sont énormes : au-delà du pur divertissement, ils peuvent être utilisés pour améliorer la productivité du travail dans des environnements de travail à distance ou pour des tâches éducatives (e-Learning). Cependant, comme tout outil connecté, il comporte aussi des menaces potentielles en matière de cybersécurité. Les menaces auxquelles le Metaverse est confronté comprennent :
- L’hameçonnage ou phishing : terme de plus en plus populaire, le Metaverse et d’autres sujets connexes sont utilisés comme appât par les pirates informatiques pour conduire les utilisateurs vers des pages au contenu malveillant. Comme toujours, la formation à la cybersécurité joue un rôle clé pour nous aider à éviter d’être victimes d’attaques d’ingénierie sociale, mais la formation ne suffit pas et d’autres mesures sont nécessaires. Selon une enquête Pulse menée auprès d’experts en cybersécurité, 35 % d’entre eux estiment que la meilleure façon de protéger les entreprises contre l’hameçonnage dans le Metaverse est de mettre en œuvre des solutions de cybersécurité pour protéger les employés et les utilisateurs, tandis que 31 % affirment que les employés doivent également recevoir une formation et 18 % que les utilisateurs ont besoin d’une formation.
- L’enregistrement des mouvements de l’utilisateur : un défi relativement nouveau en matière de cybersécurité avec le Metaverse est que les appareils enregistrent des données utilisateur que la plupart des appareils n’ont jamais enregistrées auparavant, comme les mouvements du corps, de la tête, des mains et même des yeux, qui sont collectés par les casques VR. La combinaison de ces mouvements représente un ensemble unique pour chaque personne qui peut servir de signature. C’est pourquoi certaines entreprises font déjà des recherches pour utiliser ces paramètres biométriques dans les technologies d’authentification pour les espaces du Metaverse ou même à des fins commerciales, comme le fait Alexa en enregistrant les conversations des utilisateurs. Mais, comme toutes les données personnelles des utilisateurs, ces enregistrements des paramètres corporels nécessitent un traitement et une protection particuliers.
- L’enregistrement de l’environnement physique de l’utilisateur : les systèmes de suivi AR/VR de l’intérieur vers l’extérieur utilisent des caméras et des capteurs sous plusieurs angles sur le casque et des techniques similaires à la photogrammétrie pour obtenir une vue 3D de l’espace où se trouve l’utilisateur. Le logiciel combine l’environnement virtuel avec l’espace physique réel de l’utilisateur. Le problème est que, dans la pratique, ces capteurs génèrent des cartes en 3D de l’environnement, qui peuvent inclure le domicile ou le bureau de l’utilisateur. En théorie, ces cartes ne devraient pas quitter les appareils eux-mêmes, mais les entreprises finiront probablement par les enregistrer d’une manière ou d’une autre. Cela conduit à des scénarios qui englobent non seulement des risques en matière de cybersécurité, mais qui présentent également des risques pour la sécurité physique des utilisateurs : des cambrioleurs ou d’autres criminels pourraient utiliser ces cartes si elles sont mises en vente sur le Dark Web, par exemple.
- L’usurpation d’identité : les utilisateurs peuvent accéder aux espaces Metaverse avec leur vrai nom ou un avatar, mais dans les deux cas, des cyberacteurs malveillants pourraient s’emparer de leurs identifiants de connexion et se faire passer pour eux. Cela pourrait être particulièrement dangereux dans les environnements Metaverse d’entreprise, car ils pourraient obtenir des données sensibles, ou dans des scénarios où des achats ou des transactions financières sont effectués.
Face à ces menaces, les plateformes Metaverse ont le devoir de protéger les données des utilisateurs. Mais les utilisateurs et les entreprises qui utilisent le Metaverse doivent prendre conscience que leurs données sont susceptibles d’être utilisées par des tiers ou même exposées par des fuites de données. Pour cette raison, ils doivent être extrêmement prudents quant aux informations qu’ils y partagent. Ils doivent également être très attentifs à la manière dont ils accèdent aux mondes virtuels pour éviter les cas d’usurpation d’identité. Les entreprises doivent opérer un contrôle d’accès strict à leurs plateformes Metaverse conformément aux stratégies établies par la direction, les RH ou le service informatique et avec des identifiants qui doivent être liés à une authentification multifacteur (MFA) avancée et sécurisée.