Qu’il s’agisse de réunions virtuelles, d’expériences client immersives en 3D ou même de visites de locaux, le Metaverse est sur le point de transformer le mode de fonctionnement des entreprises.
Gartner prévoit que d’ici 2026, un quart d’entre nous passera au moins une heure par jour dans le Metaverse pour le travail, les courses, l’éducation, les réseaux sociaux et/ou le divertissement. Certaines marques comme Nike et Coca-Cola y sont déjà présentes et y ont recours pour stimuler la notoriété de la marque et l’achat de produits physiques.
Avec un tel buzz autour du Metaverse, on comprend mieux pourquoi de plus en plus d’entreprises commencent à s’y intéresser. Mais réfléchissent-elles aux risques ? Ne faut-il pas imaginer une méthode de sécurité différente du monde physique pour le monde virtuel ?
L’obstacle à la sécurité du Metaverse tient à ses fondations. Le Metaverse repose sur la technologie blockchain d’où les graves lacunes de sécurité que nous avons déjà constatées sur les places de marché NFT et les plateformes blockchain telles qu’OpenSea, Rarible et Everscale. Au vu de la quantité d’activités malveillantes qui exploitent déjà les services basés sur la blockchain, il ne faudra pas attendre longtemps avant de voir les premières attaques dans le Metaverse. Il est probable qu’elle se basera sur l’autorisation et que les comptes d’utilisateurs seront détournés. C’est pourquoi nous nous attendons à ce que les problématiques d’identité et d’authentification occupent une place centrale dans le débat.
Cependant, c’est délicat, car les gens pourraient vouloir avoir plusieurs identités dans le Metaverse, une pour les conversations professionnelles et une autre pour les achats et les loisirs personnels. L’opération est d’autant plus complexe qu’il n’existe pas d’identité unique permettant d’affirmer qu’il s’agit bien de vous. La réponse pourrait se trouver dans la chaîne d’identité. La blockchain nous aidera-t-elle alors à comprendre à quel endroit nous effectuons des transactions et avec qui ? C’est un défi de taille. Et comme les technologies blockchain sont décentralisées et non réglementées, il devient très difficile de lutter contre le vol d’actifs virtuels ou de prévenir le blanchiment d’argent.
Redéfinir la réalité
Un autre défi majeur en matière de sécurité réside dans les espaces sécurisés nécessaires pour exercer des activités. Imaginez que vous êtes en appel Zoom ou Teams. C’est un espace de réunion privé, mais qu’en sera-t-il dans le Metaverse ? Comment savoir si une personne assise sur une chaise n’est pas en fait un avatar et que nous avons un imposteur parmi nous ? Il nous faut être capables de discerner entre le vrai et le faux, et disposer d’un espace sûr pour les réunions et les transactions sera crucial.
Au début de l’Internet, les cyber acteurs mal intentionnés ont profité de la méconnaissance de la technologie par le commun des mortels pour créer des sites malveillants qui se faisaient passer pour des banques afin d’obtenir des informations financières. Les escroqueries par phishing de ce type existent toujours, même si les formes d’ingénierie sociale sont aujourd’hui plus sophistiquées. Le Metaverse est en quelque sorte un tout nouvel Internet, et on peut être sûr que le manque de connaissance du public, tant des entreprises que des consommateurs, sera exploité.
Il est intéressant de noter que chaque transaction effectuée sur la blockchain est entièrement traçable. Cela deviendra donc beaucoup plus important, notamment lorsqu’il s’agira de disposer d’une piste d’audit de ce qui a été abordé et de toute décision prise dans un contexte commercial. Mais il reste une question sur la manière dont ces informations passent du monde virtuel au monde physique. Un contrat sera t-il être juridiquement contraignant dans le Metaverse ? Ou devront-ils être transférés dans le monde physique pour être signés, puis renvoyés ?
Des chercheurs ont découvert des failles de sécurité dans les projets blockchain et crypto qui font partie du Metaverse. Les vulnérabilités qu’exploitent les cybercriminels se concentrent sur les failles des Smart Contracts qui permettent aux hackers de pirater et de drainer les plateformes de crypto-monnaies et sur les vulnérabilités des applications au sein des plateformes blockchain ; elles permettent aux hackers d’attaquer les plateformes et de détourner le solde des portefeuilles des utilisateurs. Nous risquons de foncer tête baissée dans le Metaverse sans tenir compte de ce type d’implications.
Une grande partie des préoccupations concernant la sécurité dans le Metaverse sont exacerbées par l’énorme pénurie de compétences dans le secteur de la cybersécurité. Selon l’étude 2021 (ISC)² Cybersecurity Workforce Study, il nous manque près de 3 millions de professionnels de la cybersécurité et la main-d’œuvre mondiale actuelle doit augmenter de 65 % pour défendre efficacement les actifs critiques des organisations. Ce pourcentage est susceptible de connaître une hausse considérable si l’on considère également le nouvel espace virtuel.
Ça vaut vraiment le coup ?
Les autres risques de cybersécurité au sein du Metaverse abondent, comme les cyberattaques via l’utilisation de dispositifs de réalité augmenté ou virtuelle vulnérables, qui servent de porte d’entrée à des malwares évolutifs et à des violations de données. Ces appareils collectent par essence de grandes quantités de données et d’informations sur les utilisateurs, comme les données biométriques, les rendant ainsi attractifs pour les pirates. Les réfractaires au Metaverse s’inquiètent également de plus en plus de la confidentialité des données. En effet, des données sont collectées par des moyens tels que Second Life, risquant ainsi de violer la vie privée des utilisateurs.
On peut se poser la question de l’intérêt du Métavers si cela présente autant de risque, malheureusement, une entreprise (quelle que soit sa taille) qui ne fait pas le choix du Métaverse pourrait se retrouver dans une situation où elle devrait rattraper un retard et potentiellement perdre du business. Il est cependant possible de procéder à une transition lente, comme beaucoup l’ont fait pour la migration vers le cloud. Il y aura toujours des risques et pour ceux qui les prennent et qui réussissent, les retombées seront très positives. En fin de compte, les entreprises ne pourront pas le faire elles-mêmes, mais devront s’associer à des organisations qui travaillent dans ce domaine. Le Metaverse va concerner tout le monde, et il est indéniable que des fausses manœuvres seront commises, semblables à celles qui ont été faites aux premiers jours d’Internet.
Les 3 principales questions de sécurité liées à votre entrée dans Metaverse :
1 – C’est pour bientôt. Les chefs d’entreprise et les professionnels de la sécurité se doivent d’en parler et de bien comprendre les implications que cela représente.
2 – Examinez la manière dont vous gérez actuellement vos services dans le monde réel et déterminez si ces services correspondent d’une manière ou d’une autre au Metaverse. Vous constaterez peut-être que certains d’entre eux ne le sont pas et ne sont même pas sécurisés dans ce monde, par exemple les appareils mobiles, les tablettes, le cloud et le multi-cloud.
3 – Apprenez à effectuer correctement votre identification et votre authentification. Les entreprises doivent améliorer leur stratégie autour de ces deux questions. Les gens ont tendance à faire les choses sans penser à la sécurité, alors qu’elle devrait être leur priorité.
_________________________
Par Adrien Merveille, expert cybersécurité chez Check Point Software