lundi, 6 février 2023

Metaverse apporte une nouvelle génération de menaces pour défier les gardiens de la confidentialité et de la sécurité

Crédit : Dreamstime

Le métaverse arrive ; les organisations et les agences gouvernementales fédérales développent actuellement des mondes virtuels pour soutenir les services municipaux, les réunions et les conférences, la structure communautaire et le commerce.

Ils rendent également des applications spatiales autour des voyages, des ventes de voitures et de camions, de la production et de l’architecture dans ce que Citi prévoit être un marché de 13 000 milliards de dollars avec 5 milliards d’utilisateurs d’ici 2030.

« Tout simplement comme Internet, le commerce électronique, les réseaux sociaux, les smartphones et l’informatique à distance ont changé au cours des vingt dernières années les façons dont les entreprises gèrent et atteignent leurs employés et consommateurs, les organisations explorent maintenant le métaverse parce qu’elles y voient une extension des changements précédents », déclare Cathy Barrera, experte financière fondatrice de Prysm Group, qui s’associe au Wharton College pour l’enseignement de la formation des cadres programmes sur la société métaverse et les blockchains.

De nouveaux problèmes de confidentialité et de sécurité se produiront dans ces mondes 3D. Alors que les fournisseurs de plates-formes se bousculent pour la suprématie, anticipez des risques comparables dans le métaverse à ceux que nous avons vus sur les réseaux sociaux tels que le phishing, le pharming, l’usurpation d’identité, la désinformation et les incursions des ransomwares.

Il y aura également un nouvel effet sur la vie privée des consommateurs en raison du fait que la quantité d’informations riches et détaillées collectées par ces applications sont des cibles juteuses pour les criminels et les spécialistes du marketing. « Les technologies métaverses nécessiteront la collecte de beaucoup plus d’informations que celles actuellement collectées sur les réseaux sociaux, telles que la façon dont vous tournez la tête et la position de vos yeux juste pour placer correctement les écrans d’affichage », déclare Barerra.

Nouvelles frontières de la tromperie

Les délits criminels basés sur l’ingénierie sociale sont déjà répandus dans l’Internet 2.0 d’aujourd’hui. Les opérateurs de rançongiciels utilisent un excellent crochet pour inciter les individus à cliquer sur des liens dans les e-mails et des publicités nuisibles sont diffusées par et d’autres moteurs de recherche en ligne, sur les réseaux sociaux et même via des plateformes de vidéoconférence et de chat.

Maintenant, réfléchissez sur le Web immersif 3D dans lequel un avatar qui ressemble au responsable ou au patron du responsable demande à un comptable de déplacer de l’argent (une variante métaverse des escroqueries BEC d’aujourd’hui). Ou pensez aux fraudeurs qui piratent les comptes d’utilisateurs pour s’introduire dans les mondes du développement et siphonner les droits d’auteur.

Certains d’entre eux ont déjà lieu. Arkose Labs, une société de sécurité des comptes en ligne et d’évitement de la fraude, a rapporté qu’en 2021, les entreprises métaverses ont traité 80 % d’attaques de robots en plus et 40 % d’attaques humaines en plus que les autres services en ligne. Conçues pour contourner les défenses conventionnelles, ces attaques se sont concentrées sur le vol d’identité numérique pour mener à bien des fraudes par microtransaction, des spams, des escroqueries et une concurrence déraisonnable.

Alors que les professionnels de la sécurité indiquent l’authentification et accèdent aux contrôles pour se protéger contre le métaverse basées sur les escroqueries et les attaques, la variété croissante de plates-formes donnant accès au métaverse peut ou non disposer de systèmes sûrs et sécurisés pour reconnaître les escroqueries, déclare Paul Carlisle Kletchka, expert en gouvernance, risque et conformité (GRC) chez Lynx Innovation Partners, un fournisseur de services GRC.

« L’une des principales vulnérabilités est le manque de procédures ou de systèmes de sécurité standardisés en place sur l’ensemble des plates-formes », déclare-t-il. « En conséquence, les cybercriminels peuvent utiliser le métaverse à diverses fins telles que le vol d’identité, les escroqueries ou les attaques nuisibles contre d’autres utilisateurs.

 » Étant donné que les gens peuvent télécharger des programmes et des fichiers à partir du métaverse , il existe également un risque que ces fichiers contiennent des logiciels malveillants susceptibles d’infecter l’ordinateur ou le gadget d’un utilisateur et de se propager dans les systèmes de l’organisation.

 » Un autre danger est le piratage : étant donné que le métaverse en est encore à ses débuts phases de développement, il n’y a pas de lois ou de politiques composées spécifiquement pour le métaverse afin de protéger le droit d’auteur dans cet environnement numérique. »

Beaucoup plus d’informations à récolter et à sécuriser

C’est pourquoi les RSSI et les entreprises qu’ils soutiennent doivent faire face à ces nouveaux dangers pour leur organisation et les données de leurs utilisateurs, déclare Michael Bruemmer, responsable du système Global Data Breach Resolution chez Experian. Il prédit que le développement des métaverses ouvrira de nouvelles propriétés aux attaques.

Il cite également l’absence de normes et de lignes directrices, comparant les métaverses au « Wild West ». Au minimum, il souligne la faiblesse de l’authentification utilisée dans les plates-formes métavers publiques pour encourager les tout nouveaux utilisateurs à s’inscrire.

Bruemmer, auteur de la dixième édition annuelle 2023 des prévisions du marché des violations de données d’Experian, souligne également l’absence de mécanismes d’application pour les contrevenants à la vie privée, ce qui va de pair avec une absence de directives.

« Jetez un œil aux casques Oculus de Meta ou à l’investissement de Microsoft dans les services de chatbot. Considérez les données qu’ils collectent, qu’il s’agisse d’un nom d’utilisateur, d’un mot de passe, d’une carte de paiement, d’un identifiant d’appareil, du pouls, des mouvements, de ce que vous faites dans un environnement urbain, de l’historique de géolocalisation – tout cela est inconnu en ce qui concerne les politiques applicables. « 

L’expert en réalité virtuelle Louis Rosenberg explique dans un podcast Into the Metaverse comment ces informations riches et d’autres pourraient être rapidement exploitées pour affecter les acheteurs et accroître la polarisation comme celle que nous voyons actuellement sur les plateformes de médias sociaux.

Un chatbot activé par l’IA se faisant passer pour une simple autre personne dans un monde virtuel pourrait parler à un client potentiel d’une voiture flambant neuve qu’il a achetée.

Ce type de tromperie prédatrice peut faire des kilomètres plus loin que sur les plateformes sociales d’aujourd’hui en utilisant des algorithmes intelligents pour suivre le style de parole, les expressions faciales, le pouls, l’hypertension artérielle et la fréquence cardiaque de la cible afin qu’elle puisse appliquer « la persuasion ultime », a-t-il déclaré dans le podcast.

Yon Raz-Fridman, hôte de Into the Metaverse et PDG fondateur de Supersocial, un entrepreneur de mondes virtuels, déclare que son entreprise développe des solutions d’entreprise sur la plate-forme de jeu Roblox en raison de la longue histoire et de la structure d’expérience de Roblox pr vivacité et sécurité dans sa plate-forme.

Il déclare que son entreprise aide ses clients à créer leurs mondes virtuels pour nourrir les quartiers et la notoriété autour de leur marque et de leurs articles. Des ingénieurs et designers supersociaux ont développé la Nars Color Mission pour la marque de cosmétiques Nars, qui a fini par être l’expérience de beauté numéro un sur la plate-forme Roblox.

« L’énorme avantage de la structure sur la plate-forme Roblox est qu’elle est relativement sûr et stable « , déclare Raz-Fridman.

 » Lorsque les clients posent des questions sur la confidentialité et la sécurité, nous leur proposons les meilleures pratiques de la plate-forme afin qu’ils comprennent parfaitement certains des dangers potentiels et comment ils sont atténués par la plate-forme. Nous ne sommes pas propriétaires de la plate-forme, nous nous appuyons donc sur la sécurité et les politiques détaillées et gérées par Roblox. « 

La réglementation 3D sera différente de la 2D

Bien que visuelles et immersives, la majorité des expériences métavers d’aujourd’hui sont encore bidimensionnelles. Mais Bruemmer d’Experian prédit que 2023 finira par être l’année de la vérité artificielle (AR) et de la vérité virtuelle (VR) compatibles avec les casques, auxquelles les directives d’aujourd’hui ne s’appliqueront pas. Cependant, Liz Harding, avocate chargée de la protection de la vie privée, déclare que des lois plus récentes telles que le RGPD pourraient offrir au moins certaines lignes directrices, en particulier dans les mondes mondiaux.

Harding, qui est le vice-président des affaires technologiques et de la confidentialité des données personnelles à la loi Polsinelli entreprise et est certifié au Royaume-Uni et aux déclare que « avec les technologies métavers, il y a d’énormes questions autour de la juridiction.

 » Indique que je suis aux et que j’ai un collègue en Allemagne et nous sommes satisfaits dans le métaverse et les informations sont recueillies ou la conférence est enregistrée. Il sera difficile de faire valoir que les lois d’où la plate-forme est hébergée sont les seules lois qui s’appliquent, surtout si vous amenez sciemment des personnes de diverses juridictions dans ces interactions. »

Suivre où ces personnes sont physiquement situés et collectent leurs données de localisation exactes pour essayer de se conformer aux lois mondiales, peuvent déclencher une infraction si les mesures de conformité appropriées (telles que l’obtention d’une autorisation appropriée) ne sont pas prises, déclare Harding.

Il y a le la préoccupation de savoir quel type de quartier fournit quel type d’informations. La collecte de données médicales, RH et autres délicates entraînera des responsabilités supplémentaires en matière de respect de la vie privée.

Concentrez-vous sur les meilleures pratiques actuelles

Prêt ou pas, Gartner prévoit que les métaverses auront une influence considérable sur les expériences des employés d’ici 2030, couvrant tout, des transactions entre employés et consommateurs, la découverte, l’approvisionnement, l’intégration des membres du personnel, les activités de partenariat et la virtua l office, entre autres.

Certains d’entre eux seront des « mini-verses » spécialement conçus, tandis que d’autres comprendront des plates-formes partagées à grande échelle. Les fournisseurs de plates-formes comprenant Meta, Microsoft, Apple, Sony, Amazon AWS, Google, NVIDIA Omniverse et Impressive Games injectent actuellement des milliards de dollars dans des plates-formes et des casques pour dominer ce nouveau marché.

Pour sécuriser les utilisateurs et données dans cette frontière virtuelle émergente, le directeur technique de Globant, Pablo Lecea, recommande de se concentrer sur les meilleures pratiques déjà utilisées aujourd’hui.

Globant aide les entreprises à produire des expériences métavers depuis 15 ans, en utilisant la modélisation des risques, l’avancement protégé, des politiques de cryptage, d’authentification, de vérification, de collecte sécurisée des données et de stockage conformes aux lois en vigueur. Parmi ses nombreux services d’ingénierie, il fournit également des services de cybersécurité à ses clients.

Pour les ressources CISO, Lecea mentionne le forum Future of Privacy Online, qui promeut une politique et des contrôles plus puissants pour protéger les données sensorielles, audio , et des détails biométriques provenant d’appareils VR.

« Selon le Future of Personal Privacy Forum, une session de réalité virtuelle de vingt minutes peut collecter plus de deux millions de points de données spéciaux par utilisateur, alors qu’une session traditionnelle sur les réseaux sociaux collecte cinquante-cinq mille points de données par utilisateur », note-t-il. « Ces informations doivent être protégées, il est donc important d’avoir un cadre de sécurité pour établir ces applications. »

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici