Dark background with blue code overlay
Blog

Tendances de sécurité à aborder dès maintenant, sur notre chemin vers le métavers

Jonathan Singer

Written by

Jonathan Singer

December 28, 2021

metaverse.png

Le métavers. C'est un sujet majeur. Nous en sommes même arrivés au point où les principaux médias d'information en parlent. Mais de quoi s'agit-il ? Et pourquoi un CSO devrait-il s'y intéresser ?

Le métavers constitue globalement la prochaine itération de l'Internet. Si la presse traditionnelle affirme parfois que personne ne sait à quoi il ressemblera, cela n'est que partiellement vrai. De nombreuses personnes savent à quoi ressembleront certaines de ses parties, parce qu'elles travaillent actuellement à leur construction. Et beaucoup d'autres ont une vision assez solide de ce à quoi il doit ressembler pour fonctionner.

Pour en avoir une idée, nous pouvons le comparer à l'émission américaine Alter Ego, un concours de talents (semblable à « The Voice ») qui permet aux personnes qui se sentent gênées par leur apparence physique de chanter en se « cachant derrière » leur avatar. Disons-le franchement, c'est plutôt cool. Et cela nous donne un aperçu de ce à quoi le métavers va ressembler. Comme l'écrivait Kevin Kelly, de Wired, dans un article à ce sujet en 2019 : « lorsque [le métavers] sera terminé, notre réalité physique fusionnera avec l'univers digital. »

Matthew Ball est un investisseur en capital-risque (simplification excessive s'il en est), qui a rédigé une introduction et un cadre approfondis du métavers. Je vais le citer ici :

« Le métavers est un vaste réseau de mondes et simulations en 3D persistants et en temps réel, qui soutiennent la continuité de l'identité, des objets, de l'histoire, des paiements et des droits, et peut être expérimenté de manière synchrone par un nombre effectivement illimité d'utilisateurs, chacun avec un sentiment individuel de présence. »

J'ai décomposé cette définition pour souligner quelques défis que le métavers risque de soulever pour les CSO et leurs équipes. 

Définition

Défis

Le métavers est un réseau étendu

authentification, stratégies d'accès, programmes malveillants, chiffrement et trafic sécurisé, sécurité DNS, attaques des applications Web

de mondes et simulations en 3D,

disponibilité, attaques DDoS, « Flash Crowds »

persistants

compromis entre sécurité et performances, sécurité des API, protection des flux, lutte contre le piratage

et en temps réel

fraude, sécurité physique/des accès, sécurité matérielle/IoT, intégrité du contenu

qui soutiennent la continuité de l'identité,

enregistrement sécurisé, fourniture d'identifiants, autorisation

des objets,

chiffrement, informations à caractère personnel, prévention des fraudes, droits de propriété intellectuelle

de l'histoire, 

informations à caractère personnel, chiffrement

des paiements, 

informations à caractère personnel, chiffrement, prévention des fraudes, conformité PCI, segmentation en unités, risques liés aux paiements

et des droits,

chiffrement, informations à caractère personnel, prévention des fraudes, droits de propriété intellectuelle, sécurité des paiements

et peut être expérimenté de manière synchrone par un nombre effectivement illimité d'utilisateurs, chacun avec un sentiment individuel de présence. »

« Flash Crowds », MFA, sécurité à grande échelle

(Mes excuses à Matthew…)

Cet exercice est un peu ironique, bien sûr, mais le fait est que l'avènement du métavers va élargir considérablement l'écosystème des menaces. Ainsi, pensez bien que le métavers est plus qu'un exercice créatif pour les responsables de la sécurité. C'est l'avenir ; un avenir que vous devez idéalement commencer à planifier dès à présent.

La sécurité des jeux vidéo offre un aperçu du métavers

Pour se préparer au métavers et à tout ce qui nous attend d'ici là, nous recommandons à tous les CSO, quel que soit leur secteur, de se familiariser avec les défis de l'industrie des jeux vidéo en matière d'audience et de sécurité.

En effet, le jeu vidéo est déjà en train de fournir et d'influencer une portion importante des technologies fondamentales du métavers. Au-delà des technologies, les modèles commerciaux de ce secteur sont également adaptés et exploités dans d'autres secteurs. Les secteurs de la vidéo, de la musique, du sport, du fitness, de la médecineet de la formation industrielle (entre autres) empruntent déjà des éléments au jeu, créant ainsi un microcosme utile pour l'avenir du métavers.

L'industrie des jeux vidéo rencontre généralement quatre grandes catégories de problèmes de sécurité :

1. Piratage de comptes

2. Vol de propriété intellectuelle (exfiltration de données)

3. Tricherie

4. Menaces contre la disponibilité (DDoS, etc.)

Ici, nous nous concentrerons sur le piratage de comptes, car cette catégorie illustre bien les tendances de sécurité à surveiller d'ici l'avènement du métavers. Chez Akamai, nous bénéficions d'une forte visibilité sur les problèmes rencontrés dans l'univers des jeux vidéos. J'ai écrit un article interrogeant comment et pourquoi les hackers ciblent l'industrie des jeux vidéoet mes collègues d'Akamai ont rédigé deux rapports « État des lieux d'Internet » récents sur la sécurité des jeux vidéo : la sécurité est l'affaire de tous et Pandémie et jeux vidéo. Chacun d'entre eux examine plusieurs aspects nécessaires pour maintenir les systèmes en ligne et en fonctionnement malgré les efforts incessants des hackers. « La sécurité est l'affaire de tous » présente également les résultats d'une enquête sur les joueurs passionnés, menée par Akamai en partenariat avec l'organisation internationale de conférence de jeux vidéo DreamHack (aujourd'hui devenue ESL Gaming), afin de mieux comprendre le ressenti des joueurs concernant la sécurité de leurs jeux et leur rôle dans la sécurisation de leurs propres comptes de jeu. Parmi les principales conclusions de l'étude :

  • Les hackers s'y intéressent pour l'argent (évidemment !), or bien souvent la valeur ne réside pas dans les informations à caractère personnel, mais dans le compte lui-même. C'est un point important, et qui le restera tout autant dans le métavers. Il y a dix ans, la valeur principale de tout compte se trouvait dans les numéros de carte de crédit, ainsi que toute information susceptible d'aider un hacker à accéder à un compte bancaire. Maintenant, les comptes eux-mêmes ont de la valeur ; cette valeur étant le temps de jeu et les éléments acquis dans le jeu. Les comptes affichant un temps de jeu important et de nombreux équipements peuvent permettre à des acheteurs de comptes volés de jouer à un niveau élevé sans avoir fourni le moindre effort. Les produits intégrés au jeu peuvent également être vendus sur des marchés tiers pour en tirer de l'argent. Cette forme de valeur virtuelle se reflète déjà dans la communauté des investissements avec l'achat de NFT. Au fur et à mesure que le monde et votre entreprise avancent vers le métavers, la sécurisation des comptes et des accès restera une priorité absolue.

  • Les hackers sont fortement concentrés sur des secteurs tels que les jeux vidéo, où la communauté d'utilisateurs a des revenus disponibles et effectue souvent des transactions. Les jeux vidéo sont une cible de premier plan. Au cours de la dernière année, nous avons vu les attaques sur le Web augmenter de 340 % et les attaques d'identifiants de 224 %. Ces campagnes de credential stuffing sont souvent couronnées de succès. Notre enquête DreamHack/ESL menée auprès de 1 253 joueurs passionnés (81 % d'entre eux jouant chaque jour) nous a appris que 52 % avaient vu au moins un de leurs comptes piraté et que 70 % d'entre eux avaient déjà vu sur Internet des comptes piratés en vente. Considérez la situation actuelle des comptes de jeux vidéos comme un indicateur pour le traitement des futurs comptes du métavers dans un grand nombre de secteurs et de services.

  • Les clients ont besoin de votre aide. Notre enquête réalisée avec DreamHack/ESL a également révélé que 76 % des personnes interrogées estimaient que les éditeurs de jeux vidéo étaient responsables de la sécurité des comptes. Cependant, il s'agissait d'une question à choix multiples : 67 % de ces mêmes répondants ont indiqué que les joueurs aussi avaient leur propre part de responsabilité. Au fur et à mesure que toutes les entreprises transfèrent leurs activités dans le métavers, le partenariat avec vos utilisateurs et vos collaborateurs autour de la sécurité des comptes occupera une place plus importante dans l'expérience client et la relation avec la marque, élargissant ainsi de fait le rôle de la sécurité dans l'entreprise. 

Tandis que nous avançons vers le métavers, la surface d'attaque de votre organisation va considérablement augmenter. Pour que cet « autre monde » continue à tourner, les stratégies de sécurité entre tous les secteurs devront être mieux alignées, et les concurrents et leurs fournisseurs de sécurité devront peut-être tous collaborer pour sécuriser les informations de compte des utilisateurs. En attendant, les responsables de la sécurité qui procèdent à un état des lieux de leurs pratiques de sécurité des comptes et qui envisagent de nouvelles façons de collaborer avec leurs utilisateurs, et de former ces derniers, seront mieux préparés à gérer les autres complexités à venir. 

Découvrez ce qu'Akamai rend possible dans le secteur du jeu vidéo.

 



Jonathan Singer

Written by

Jonathan Singer

December 28, 2021