Selon le cabinet McKinsey, plus de 120 milliards de dollars ont été investis dans le déploiement de technologies et d’infrastructures destinées au métavers au cours des cinq premiers mois de l’année dernière. Ses extraordinaires cas d’usage annoncés, des cours d’université virtualisés aux opérations chirurgicales effectuées sur des patients à l’autre bout du monde ont suscité la curiosité de nombreuses entreprises. Mais si le métavers représente de nombreuses opportunités, il crée de nouveaux types de cybercrime selon Interpol et soulève de nouveaux défis de sécurité et plus encore de sûreté.
Dans le monde numérique actuel, les incidents liés à des attaques par deepfakes sont déjà en progression : selon une récente étude, 66 % des personnes interrogées auraient assisté à des attaques de ce type l’année dernière, ce qui représente une hausse de 13 %. Face à ce nouveau paradigme, les organisations impliquées dans le déploiement ou l’utilisation du métavers devront donc être attentives aux contrôles mis en place afin d’identifier les utilisateurs, et déployer des solutions d’authentification irréprochables.
Pour assurer l’authentification dans la réalité virtuelle, des technologies sophistiquées de suivi oculaire, des expressions faciles et haptiques pourraient servir à enregistrer les interactions d’un utilisateur avec le dispositif.
Mais comment serons-nous en mesure de déterminer si la personne avec laquelle nous interagissons est bien celle qu’elle prétend être ? À terme, la plateforme pourrait devenir un lieu propice aux ransomwares et au blanchiment d’argent, les cryptomonnaies y étant d’ores et déjà activement utilisées. En continuant à s’appuyer sur des mots de passe comme principale forme d’authentification dans le monde virtuel, on ne ferait qu’inviter ce type de pratiques à proliférer.
Se préparer au métavers
L’authentification unique ne fonctionnera tout simplement pas dans le métavers. Celui-ci doit être considéré comme un lieu de vie, et non comme un service à usage unique. Ainsi, la mise en place d’un système d’authentification en continu basé sur différents facteurs comme par exemple la biométrie et la surveillance étroite du comportement des utilisateurs sera cruciale pour atténuer certaines problématiques de sécurité, tout en offrant une expérience transparente.
En outre, les principes de sécurité Zero Trust auxquels nous sommes désormais habitués dans le « monde réel » – à savoir la conviction que la confiance implicite représente forcément une vulnérabilité et qu’il faut systématiquement vérifier les appareils et utilisateurs – doivent être répliqués.
L’authentification numérique en continu d’un dispositif, et l’identité de l’être humain utilisant cet appareil apportent cette couche de sécurité supplémentaire au processus, et aident à détecter les anomalies produites par les imitations.
Mais au-delà des problématiques de sécurité liées à la technologie elle-même, la notion de sûreté dans le métavers doit également tenir compte des individus fréquentant cet univers. Toute activité malveillante pouvant être menée par des êtres humains dans le monde réel peut être reproduite dans le métavers. Par conséquent, qu’il s’agisse de réglementations décentralisées ou mises en œuvre au niveau gouvernemental, des mesures doivent être prises. Dans le cas contraire, nous risquons de nous retrouver avec des versions fragmentées du métavers obéissant chacune à leurs propres règlementations et politiques de sécurité.
Mais avant d’élaborer de nouvelles stratégies de cybersécurité, les systèmes protégeant actuellement des technologies essentielles pour le métavers –comme la 5G, l’Internet des objets ou l’intelligence artificielle – doivent être renforcés.
Apprendre de nos erreurs en matière de sécurité
Bien que le métavers reste une utilisation marginale d’Internet, il y a de quoi être optimiste quant à sa capacité à introduire de nouveaux modes d’interaction et à créer de tout nouveaux mondes virtuels où nous pourrons évoluer.
Néanmoins, cette capacité à transformer nos vies offre également une nouvelle opportunité séduisante pour les acteurs malveillants. Ses vulnérabilités existantes, héritées des anciennes technologies utilisées pour bâtir ce nouvel univers, pourraient être exploitées dans les milieux professionnels et personnels dans le but de profiter de, ou de causer du tort à des tiers.
Afin de gérer ce cyber risque, il nous faudra donc adopter plusieurs méthodes en parallèle les unes des autres, avec d’une part l’authentification numérique en continu, de Zero Trust et de collecte de données comme procédures standards.
____________________________
Par Rick McElroy, directeur de la stratégie de cybersécurité chez VMware