Le métavers va permettre aux pirates d’accéder à une kyrielle de données confidentielles

Le métavers va permettre aux pirates d’accéder à une kyrielle de données confidentielles

09/08/2022 Non Par Arnaud Lefebvre

Selon une nouvelle étude, il est nécessaire d’accorder davantage d’attention à la protection de la vie privée dans le cadre des technologies 3D du métavers.  Pour aboutir à cette conclusion, des experts de l’UC Berkeley (UCB) aux États-Unis et de l’Université technique de Munich (TUM) en Allemagne ont testé un jeu de réalité virtuelle nommé « Espace Room ». L’objectif de leur étude intitulée « Exploring the Unprecedented Privacy Risks of the Metaverse » était de mieux comprendre le volume de données confidentielles auxquelles un assaillant peut accéder via le métavers.

Une foule de données privées disponibles pour les attaquants potentiels

L’étude des chercheurs Vivek Nair (UCB), Gonzalo Munilla Garrido (TUM) et Dawn Song (UCB) a examiné l’usage de la réalité virtuelle d’un groupe de 30 personnes. De cette manière, les scientifiques ont pu créer un cadre afin d’évaluer et analyser les menaces potentielles à la vie privée.

Durant leur expérience, les universitaires ont pu identifier plus de 25 types de données confidentielles accessibles aux pirates potentiels. Ils se sont en outre rendu compte que ces attributs de données seraient difficiles ou même impossible à obtenir via des applications web ou mobiles traditionnelles.

Cela fait plusieurs années que l’on connaît la richesse des informations disponibles via la réalité augmentée et les logiciels de réalité virtuelle. Il y a quelques années, le média New Scientist avait qualifié le jeu Ingress, développé par Google puis par Niantic Labs, de « Mine d’or de données ». Cet accès à une foule de données privées est la raison pour laquelle les entreprises de monétisation des données telles que Meta n’ont aucun problème pour investir des milliers de dollars pour développer du matériel et des applications de réalité augmentée et de réalité virtuelle.

Depuis l’époque des modems commutés, les problèmes de confiance et de sécurité des interactions ont été un défi pour les services en ligne. Et maintenant que les grandes entreprises technologiques entrevoient la possibilité de créer un nouveau Second Life avec leur propre contrôle d’accès, de nombreux experts alertent les clients sur le fait que via ces technologies, la confidentialité sera problématique.

Le métavers comprend également des problèmes de sécurité matérielle. Selon une étude récente sur les dispositifs de réalité augmentée et de réalité virtuelle, les sites internet des fournisseurs pullulent de failles de sécurité potentielles. Par ailleurs, leurs logiciels ne possèdent pas de fonctionnalités d’authentification multifactorielle et leurs politiques de confidentialité sont obtuses.

Suivi des données comportementales et biométriques sans précédent

The Everest Group a livré récemment un rapport intitulé « Taming the Hydra: Trust and Safety in the Metaverse ». Dans celui-ci, la société de conseil et de recherche explique que les technologies avancées, principalement les casques de réalité virtuelle et les lunettes intelligentes, suivront les données comportementales et biométriques à une échelle sans précédent.

Actuellement, les technologies numériques sont capables de suivre et capturer des données relatives aux expressions faciales, aux mouvements des mains et aux gestes. The Everest Group souligne en outre que les données privées et sensibles traversant le métavers à l’avenir incluront des informations du monde réel en rapport avec les habitudes des consommateurs et des données physiologiques.

Collecte des données et pratiques d’inférence

Les chercheurs américains et allemands ont identifié plusieurs points de données potentiels disponibles via les appareils de réalité virtuelle, explique le site The Register. Les mesures des données privées concernent :

  • La télémétrie spatiale avec des données telles que la hauteur, la longueur du bras, la distance interpupillaire et les dimensions de la pièce ;
  • Les spécifications de l’appareil avec des informations telles que le taux de rafraîchissement, le taux de suivi, la résolution, le champ de vision de l’appareil, le processeur graphique ou GPU et le processeur ou CPU ;
  • Le réseau
  • Les observations comportementales telles que les langues, la voix, le temps de réaction, la vision rapprochée et à distance, la vision des couleurs, l’acuité cognitive et la forme physique.

Il est ensuite possible, via ces mesures, de déterminer plusieurs inférences en rapport avec le sexe, la richesse, l’origine ethnique, l’âge et les handicaps d’un utilisateur de réalité virtuelle.  Selon l’étude, la précision des attaques et l’intérêt que les entreprises avides de données portent au metavers montrent que la collecte des données et les pratiques d’inférence au sein des environnements de réalité virtuelle deviendront sous peu davantage omniprésentes dans notre quotidien.

Les chercheurs ont toutefois souligné que ces attaques relevaient de la théorie. Ils n’ont pour l’heure aucune preuve démontrant que certaines parties y ont recours actuellement. Les scientifiques estiment néanmoins qu’une entreprise collectant des données pourrait obtenir beaucoup plus d’informations sur les utilisateurs en réalité virtuelle que via des applications mobiles. Dans ce contexte, il est logique que ce type d’entreprise pivote vers la réalité virtuelle, expliquent-ils.

Une interprétation différentes des règles de confidentialité dans le métavers

Les trois chercheurs ont en outre expliqué que les applications métavers suivaient tous les mouvements corporels d’un utilisateur pour ensuite les diffuser toutes ces données vers un serveur. De cette manière, il est possible d’établir une représentation de l’utilisateur pour les autres utilisateurs dans le monde.

Toutefois, dans le cadre d’une application mobile, une entreprise ne serait pas en mesure d’affirmer qu’elle a besoin du suivi des mouvements de l’utilisateur. Mais pour le métavers, ce suivi fait partie intégrante de l’expérience.

Par conséquent, même si en théorie les mêmes règles de confidentialité s’appliquent pour le métavers, leur interprétation pourrait différer en raison des besoins fondamentaux en données différents de la plateforme.

Le métavers désanonymisera tout utilisateur de réalité virtuelle

Les chercheurs ont toutefois précisé que certains des 25 attributs de données pouvaient être déterminés via des téléphones portables ou d’autres services en ligne. Néanmoins, les applications métavers sont une mine d’or pour cette collecte de données.

Toutes ces catégories de données peuvent être collectées simultanément, en seulement quelques minutes, ont-ils expliqué.

Étant donné qu’il est nécessaire de combiner plusieurs attributs pour établir des inférences, la présence de toutes ces méthodes de collecte simultanément et au même endroit fait que la réalité virtuelle représente un risque unique en termes de capacité de déduction précise des attributs des données utilisateur.

Enfin, les scientifiques ont précisé que le volume considérable d’informations disponibles via le métavers était suffisant pour désanonymiser tout utilisateur de réalité virtuelle, ce qui n’est pas le cas avec les applications mobiles ou les sites internet.