Blog

La malveillance dans le métaverse : combattre les cybermenaces connues sur une nouvelle frontière

March 2, 2023
Pieter Danhieux

Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.

UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.

En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.

Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.

La réalité mixte s'accompagne d'un risque accru

Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.

Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.

La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.

Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.

Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.

Les contrats intelligents font face à des adversaires plus intelligents

La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.

Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.

Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.

Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.

Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit

Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.

Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.

Pourquoi le codage sécurisé sera crucial pour le succès du métaverse

Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.

Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.

Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.

Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Enabler 6: Regular Reporting to Leadership

Executive buy-in doesn't sustain itself. Enabler 6 shows how regular reporting keeps leadership engaged, informed, and invested in program success.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo
trust score