Le métavers est l’un des sujets les plus brûlants de l’année 2022. Il n’y a pas si longtemps, ce concept n’était présent que dans l’esprit des pionniers du Web. Il a récemment pris de l’ampleur, car des technologies susceptibles de soutenir le métavers ont été développées et même lancées en tant que produits.
Cet engouement a conduit plusieurs entreprises technologiques réputées à revoir leurs priorités afin de tirer parti des opportunités commerciales potentielles du métavers. C’est dans ce contexte que Facebook a créé Meta, une société regroupant toutes ses applications, actant ainsi le fait que celles-ci feront éventuellement partie de son projet lié au métavers.
Comme pour la plupart des technologies qui reproduisent notre vie sociale, les hackers et les escrocs ont déjà trouvé des moyens d’exploiter le métavers à leur avantage et d’y lancer des attaques de phishing. Cet article de blog passe en revue les différents aspects du métavers, les façons dont ils peuvent être exploités à mauvais escient et comment vous pouvez vous protéger.
Qu’est-ce que le métavers ?
Il existe différentes versions et conceptions du métavers, allant du registre pratique au registre très idéaliste, et il est essentiel de les comprendre pour évaluer les risques associés. La version la plus terre à terre de ce concept est représentée par un groupe d’avatars numériques qui interagissent dans un jeu vidéo, en essayant d’imiter la vie normale.
L’application commerciale de ce concept permettrait d’organiser des réunions et des séances de brainstorming plus interactives. Le métavers permettrait aux employés d’y participer d’où qu’ils se trouvent dans le monde, sans avoir une caméra constamment pointée sur eux.
Les déclinaisons du métavers les plus extrêmes ne sont pas aussi étoffées que les applications commerciales actuelles du métavers telles qu’on peut les trouver chez Microsoft. Elles sont néanmoins utilisables, même si elles n’en sont qu’à leurs débuts. Plutôt que de reproduire des choses comme l’interaction humaine, ces versions montent d’un cran avec des actifs numériques.
Les cryptomonnaies et les jetons non fongibles (Non-Fungible Tokens, NFT) ont permis au métavers d’atteindre de nouveaux sommets. Des projets NFT spécifiques, tels que le Bored Ape Yacht Club, ont fait la promotion de leurs produits sous la forme d’avatars personnels dans le métavers. Le concept a été poussé encore plus loin avec la vente de terrains numériques, attribuant des parcelles spécifiques dans ce Nouveau Monde numérique.
Quelles sont les cibles des hackers dans le métavers ?
Si le métavers offre de nouvelles opportunités et crée des possibilités jamais imaginées auparavant, son mode de fonctionnement ressemble à ce que l’on connaît déjà. Dans le métavers, les gens ont toujours besoin de comptes, d’identifiants et de mots de passe, et ils possèdent des biens numériques.
Cela signifie que l.ingénierie sociale, le phishing et les sites Web usurpés sont toujours des méthodes que les hackers peuvent utiliser dans le métavers. Il existe toutefois quelques particularités liées à la nature de ce nouvel univers.
NFTs
Ces jetons « on-chain » sont utilisés pour représenter une grande variété d’actifs numériques : art, laissez-passer, communautés exclusives, titres de propriété de parcelles numériques, etc. Dans les dernières années, ces actifs ont connu des niveaux de volatilité sans précédent, tant positifs que négatifs. Ajoutons à cela la nature non réglementée des NFT, et cela en a fait des cibles attrayantes pour les hackers.
Portefeuilles de cryptomonnaies
Chaque projet lié au métavers intègre des cryptomonnaies permettant d’acquérir des actifs numériques. Ce concept, relativement nouveau pour de nombreux utilisateurs, a donné lieu à de nombreux comportements dangereux. Ces monnaies ne bénéficient pas de protections gouvernementales et sont souvent hébergées sur des bourses d’échange et des sites Web dont les mesures de sécurité sont insuffisantes.
Mots de passe
La plupart des activités dans le métavers sont validées par la possession de NFT ou de cryptomonnaies. Cependant, elles nécessitent toujours des comptes et des mots de passe « classiques ». Cela a conduit à un nouveau type d’attaques par phishing émanant de hackers se faisant passer pour des bourses d’échange de cryptomonnaies ou de faux acheteurs d’actifs numériques.
Se protéger des cyberattaques dans le métavers
Contrairement aux cyberattaques « classiques », les actifs visés ici ne sont absolument pas réglementés et ne sont souvent même pas intégrés dans les lois et les règlements. Cette absence de contrôle réglementaire signifie que vous n’aurez généralement pas de possibilité de recours si vous êtes victime d’une cyberattaque.
Il est donc de plus en plus nécessaire d’adopter des mesures de sécurité strictes pour évoluer dans le métavers.
Attaques par phishing
Les tentatives de phishing les plus courantes liées au métavers concernent les ventes de NFT. La plupart des utilisateurs mettent tous leurs NFT en vente sur des marketplaces comme OpenSea avec un prix plancher pour vendre l’actif automatiquement. De nombreux utilisateurs du métavers reçoivent quotidiennement un e-mail indiquant que la vente est terminée.
La possession de NFT est enregistrée sur une blockchain publique, ce qui signifie qu’il est possible d’envoyer des e-mails de phishing convaincants en incluant des images d’un NFT appartenant à la victime. Ces e-mails d’arnaque renvoient ensuite sur de faux sites Web pour conclure la transaction et voler le bien.
Comme pour n’importe quelle tentative de phishing, il est essentiel de bien vérifier les noms de domaine des e-mails, l’emplacement des logos et la conception des e-mails. Pensez également à survoler les liens insérés dans tout bouton sur lequel vous seriez amené à cliquer. Vous serez ainsi à l’abri des attaques par phishing, qu’elles soient liées au métavers ou non.
Cold wallets ou « portefeuilles froids »
Chaque actif numérique, qu’il s’agisse d’une cryptomonnaie ou d’un NFT, est lié à une clé de récupération. En cas de tentative de phishing ou si l’échange sur lequel l’actif est hébergé est piraté, les utilisateurs peuvent toujours récupérer leurs biens en utilisant la clé de récupération.
Les cold wallets sont des dispositifs physiques qui ne peuvent pas se connecter à Internet et dans lesquels il est possible d’héberger ces clés de récupération en toute sécurité. Ces dispositifs sont désormais accessibles à tous et sont absolument indispensables si vous envisagez d’évoluer dans le métavers.
Notre avenir est-il forcément lié au métavers ?
Les avis sur cette question sont très partagés. Alors que le métavers semblait être une valeur sûre il y a encore quelques mois, le récent krach des cryptomonnaies a rappelé à tous que ce type de projet peut être très volatile.
Tout ce qui implique des actifs numériques et des cryptomonnaies risque d’être repoussé de quelques années en raison de ces événements récents. Cela signifie que les déclinaisons du métavers seront probablement réservées, pour quelque temps encore, aux interactions professionnelles telles que les réunions, les brainstormings et les séances de team building. C’est le moment ou jamais de mettre à jour votre formation en sensibilisation à la cybersécurité en y incluant le sujet du métavers !
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Inscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.