Pour faire simple, le métavers s’agit d’un monde virtuel, basé sur le web, où il est possible d’interagir, dans un espace tridimensionnel immersif. Il y est possible de sélectionner un avatar et de vivre littéralement une vie parallèle - avec une maison, une famille, une entreprise et même un emploi. En bref, le métavers n’est pas une entité unique mais rassemble des technologies telles que la réalité augmentée (AR), la réalité virtuelle (VR), les systèmes de contrôle industriel (IIoT) et la blockchain.

Ces diverses technologies commencent à intégrer et à aligner le domaine physique sur les personnages numériques, ouvrant de multiples voies aux cybercriminels pour cibler les individus, les entreprises et les communautés. Les experts s’accordent à dire que la cybercriminalité, qui coûtera 10 000 milliards de dollars par an aux entreprises d’ici 2025, ne fera qu’augmenter avec l’adoption du métavers.

L’absence de réglementation
L’identité d’un utilisateur dans le métavers est étroitement liée à son portefeuille crypto, qui contient des objets de collection ainsi que des devises réelles et virtuelles. Même si un portefeuille de crypto-monnaies n’est généralement pas piraté lorsque l’utilisateur se connecte aux expériences du métavers (tout comme la carte de crédit d’une personne n’est pas toujours piratée à chaque fois qu’elle est utilisée), il n’est pas impossible qu’un cyber attaquant arrive à trouver la véritable identité du détenteur du portefeuille et de l’effacer.

L’absence de réglementation signifie qu’il n’existe aucun moyen pour un utilisateur de s’adresser à une autorité de régulation. La plateforme est donc responsable de protéger l’utilisateur. L’absence de directives légales signifie également que la plateforme et les propriétaires ont l’obligation morale de s’en charger.

Le vol d’identité
Notre identité dans le métavers s’apparente à un avatar numérique créé et développé par nous-même, qui est censé être sûr et unique pour y associer des informations personnelles identifiables (IPI) et effectuer des achats dans le métavers. Si un cyber attaquant accède à un avatar, il a non seulement accès aux données financières, mais également à l’identité entière d’un individu. S’il choisit de se faire passer pour un consommateur, un vol d’identité de cette nature pourrait entraîner des problèmes sans précédent.

Les piratages biométriques
De même, l’utilisation de la réalité augmentée et virtuelle disposent de leurs propres vulnérabilités. Les casques VR et les gants haptiques sont l’une des nombreuses passerelles vers le métavers. Aujourd’hui, aucune réglementation relative à la vie privée n’englobe ces appareils, ce qui les rend drastiquement vulnérables. Un cyber attaquant qui y accède peut facilement utiliser les données biométriques - à savoir l’iris et les empreintes digitales - et accéder à des données très sensibles. Les régulateurs de notre monde réel doivent rendre les propriétaires responsables de ces fuites, car ils sont à l’origine de la plupart des données compromises. Le métavers n’en est qu’à ses premiers pas. Nous serons certainement confrontés aux mêmes défis que ceux rencontrés à l’aube du Web 2.

Le Zero Trust pour sécuriser le métavers
Le point de vue de la sécurité met l’accent sur le Zero Trust pour établir les premières bases du métavers et y construire des applications. Comme de nombreuses technologies sont mobilisées avec des protocoles disparates lors de la création d’avatars numériques, il est crucial de disposer de certains contrôles qui gèrent et vérifient en permanence leurs actions. La maturité du machine learning et de l’Intelligence Artificielle contribuera à réduire la cybercriminalité liée aux protocoles du métavers. Ces technologies permettront de créer une infrastructure sécurisée pour toutes les interactions entre métavers différents.

À mesure que l’expérience Web 3 évolue, les entreprises doivent envisager une approche composante par composante, pour sécuriser l’expérience des utilisateurs dans le métavers, comme par exemple :
• L’ajout de couches d’abstraction entre l’identité métavers des utilisateurs et les portefeuilles de crypto-monnaie respectifs ;
• L’authentification basée sur le contexte et la gestion des justificatifs d’identité solides ;
• La nomenclature des logiciels (SBOM), l’analyse de la composition des logiciels (SCA) et l’analyse de la vulnérabilité des artefacts propriétaires et open source ;
• Une infrastructure sécurisée pour le cloud et une gouvernance permanente ;
• La sécurisation des données au repos, des données en transit et des données en cours d’utilisation ;
• Un accès sécurisé au service Edge (SASE), une sécurité IP et une amélioration continue de la politique Zero Trust pour une infrastructure mature en matière de sécurité ;
• Une surveillance continue, une détection des menaces et une infrastructure de réponse automatisée.

Pour résumer, alors que le métavers continue de se développer, gardons en tête qu’Internet a également évolué avec ces mêmes questionnements. Nous sommes cependant plus aguerris qu’auparavant. La cybersécurité doit donc faire partie intégrante du processus d’adoption. Le métavers doit, lui aussi, s’appuyer sur une approche « Security by design ».