Quelles solutions pour sécuriser le métaverse ?

L'architecture des données du web2 au web3 est très différente, les applications web3 censées être ouvertes, souveraines, non-dépositaires et régies par la communauté. Pour l'instant le metaverse est en construction, ci-dessous quelques éléments de réflexion.

Plusieurs niveaux de sécurité sont à distinguer lorsque l’on parle de la sécurité du métavers : l’accès à ces plateformes, la sécurité lorsque l’on parcourt ces plateformes, la sécurité des informations concernant les individus, ou encore la sécurité dans les transactions réalisées sur ces plateformes. Ces différents aspects ne sont pas nouveaux, et constitutifs de la confiance numérique qui sera un élément clé de l’essor de ces univers virtuels. Nous voyons ainsi la convergence de problématiques de sécurité physique et sécurité cyber lorsque l’on parle de la sécurité globale du métavers. On peut ainsi tout à fait imaginer une transposition des équipes telles que police ou gendarmerie dans la défense de l’ordre sur le métavers, dans une continuité des rôles de modérateurs apparus à l’époque des forums ou des réseaux sociaux.

Selon Magellan Consulting, les solutions pour sécuriser l’accès à ces univers sont probablement des solutions déjà existantes pour sécuriser les composants de notre présence numérique, avec une vigilance particulière à porter à la conformité de ces mécanismes de connexion et authentification avec les recommandations souvent émises par les agences gouvernementales telles que l’ANSSI en France par exemple ou la CNIL, tant sur les bonnes pratiques liées aux mots de passe que le recours à différents facteurs pour authentifier un utilisateur (notamment la combinaison de facteurs logiques et physiques : mot de passe, avec confirmation sur téléphone ou par paramétrique biométrique : ce que je sais – le mot de passe, ce que j’ai – le téléphone, ce que je suis – les éléments biométriques).

En termes d’enjeux, nous allons certainement observer une attention accrue portée à la sécurité des transactions et à la protection des données personnelles dans ces univers, afin de pouvoir garantir la légitimité des échanges (entre individus, avec des enseignes de méta-commerce – évolution du ecommerce vers le méta-commerce, ou entre des institutions et des individus par exemple), leur traçabilité et leur véracité.

Ces enjeux ont conduit les premiers acteurs du métavers à se tourner assez naturellement vers les technologies de blockchain, et notamment le recours aux crypto-monnaies permettant de garantir traçabilité et sécurité renforcée dans un monde virtuel sur des actifs non forcément tangibles. La protection des données personnelles est intrinsèquement liée aux réglementations en vigueur au sein d’états ou de communautés d’états. Nous avons vu de nets progrès dans ce domaine depuis l’entrée en vigueur du RGPD par exemple, au sein de l’Union Européenne. Les décisions autour du Digital Services Act (DSA) et Digital Markets Act (DMA) sont également des pistes encourageantes pour les volets de régulation et de contrôle autour des données personnelles et du rôle croissant d’un nombre limité d’acteurs privés dans de nombreuses facettes de notre vie numérique.

Web3

L’architecture des données du web2 au web3 est très différente, les applications web3 censées être ouvertes, souveraines, non dépositaires et régies par la communauté. Ces dApps stockent des données sur un réseau décentralisé où les utilisateurs individuels se verraient garantir la propriété, la confidentialité et les droits de propriété intellectuelle. Dans une telle architecture d’informatique distribuée et de stockage décentralisé, il serait presque impossible de censurer ou de manipuler ces données, car il y aurait une intervention manuelle minimale et les contrats intelligents exécuteraient automatiquement les processus en fonction de déclencheurs définis.

Un métaverse ne dépend pas pour l’instant de la technologie web3. Cependant, l’espoir à long terme est que différents métaverses pourront s’interconnecter, les utilisateurs se déplaçant librement de l’un à l’autre. La vérification d’identité deviendra essentielle. Réauthentifier avant d’avoir accès à chaque métaverse différent est l’approche web2 qui conserve tous les problèmes et insécurités existants de la gestion des identités. Une approche web3 des registres distribués des identités résoudrait ce problème. Le fournisseur de métaverse n’aura pas besoin d’une base de données d’identité pour ses utilisateurs (répétée par chaque fournisseur de métaverse différent) ; chaque utilisateur portera effectivement sa propre authentification sous une forme de jeton émis par l’application d’identité distribuée web3.

Le concept d’identité web3 est que les données personnelles ne sont pas la propriété d’une seule société ni stockées à un seul endroit. Les données sont divisées en plusieurs parties et stockées sur de nombreux serveurs différents. En tant que tel, il est plus sûr que de tout stocker dans une seule base de données, les criminels auraient besoin de localiser et de compromettre simultanément chaque serveur différent. Il va donc être important d’avoir un bon framework web3 structuré pour permettre de déverrouiller les implications réelles ou la valeur réelle du métaverse avec la blockchain. Il devient de plus en plus important que tous les futurs métaverses soient construits sur la technologie blockchain pour assurer la vérification d’identité. Ce n’est pas que les menaces seront très différentes de ce qu’elles sont déjà, mais les risques posés par ces menaces seront bien plus graves. Considérez l’intimidation en ligne, qui existe sur Internet d’aujourd’hui. Imaginez les dommages psychologiques qui peuvent être causés si l’identité et l’apparence de votre meilleur ami sont détournées dans un métaverse social.

De nombreux aspects du métaverse vont à l’encontre des réflexions actuelles sur la confidentialité. La reconnaissance faciale est susceptible d’être utilisée pour la vérification continue de l’identité de la personne portant le casque qui est toujours la personne identifiée et authentifiée. L’intelligence artificielle, liée à la reconnaissance faciale, est susceptible d’être utilisée dans la vérification continue de l’âge pour l’entrée dans des métaverses pour adultes ou de jeu avec restriction d’âge. Il y aura beaucoup de problèmes et de difficultés à surmonter. À moins d’être contrôlé et patrouillé, un métaverse pourrait devenir un lieu anarchique et sans loi et les réglementations devront être appliquées en temps réel en raison de l’immédiateté des menaces.