Cybersécurité et métavers : menaces virtuelles et réelles

/0 Commentaires/dans /par

Le terme métavers a été inventé par l’auteur américain Neal Stephenson dans son roman Le Samouraï virtuel (1992). Depuis, futuristes et cyberpassionnés l’ont utilisé pour décrire une vaste palette de mondes immersifs dans lesquels les humains se trouvent confrontés à toutes sortes de situations, simple rendez-vous, grande histoire d’amour, guerres meurtrières et intrigues sur des planètes lointaines.

Cette idée d’un « autre monde » dans nos ordinateurs, qui nous accompagne depuis plus de 60 ans, a d’abord pris vie dans des récits de science-fiction écrits par Laurence Manning en 1933, puis a trouvé une deuxième jeunesse en 1984 dans le grand roman Neuromancien de William Gibson. Des dizaines d’œuvres d’autres auteurs ont suivi et inspiré des projets de films comme les mondes obscurs de Matrix (1999) et le beaucoup moins sombre Ready Player One (2018). On trouve également un certain nombre de jeux virtuels très populaires comme World of WarcraftMinecraft et Fortnite.

Parallèlement, le métavers se subdivise en réalité augmentée (RA) et en réalité virtuelle (RV), et les équipements numériques disponibles se font de plus en plus nombreux : simples casques ou appareils portables, sièges haptiques, costumes, tapis ou semelles tactiles. On estime que la vente de ces équipements pourrait atteindre en 2022 environ 10 milliards de dollars US. Par ailleurs, Statista a récemment publié des prévisions révélant une croissance massive des ventes de casques, avec plus de 26 millions d’unités d’ici 2023. Et selon l’institut d’étude du marché mondial Brainy Insights, le chiffre d’affaires mondial va atteindre près de 1 billion de dollars US d’ici 2030.

Convergence dInternet, du métavers et des entreprises

La définition du « métavers » a également traversé des ajustements au-delà des constructions tridimensionnelles dans lesquelles des personnes réelles, représentées par des avatars animés, explorent des mondes virtuels et participent en ligne à des jeux massivement multijoueurs. Il existe aujourd’hui des designs pour des places de marché lucratives et des tours interactifs. Dans le courant de cette expansion, on trouve désormais des « cryptométavers » qui proposent aux utilisateurs d’acquérir et de détenir des cryptopièces et des jetons uniques permettant d’acheter des services et des produits, aussi bien virtuels que réels. Et il ne s’agit que de la partie émergée de l’iceberg : le plein potentiel du paysage économique du métavers reste encore méconnu.

Réalisant les rêves des utilisateurs et la promesse de revenus considérables, les gros investissements pleuvent de la part de grands noms comme Facebook/Meta Platforms et Microsoft/AltspaceVR. Toutes les sociétés de divertissement et tous les éditeurs de jeux numériques, quelle que soit leur taille, se précipitent pour proposer des contenus. Selon un article récent d’Axios, qui cite une étude réalisée par McKinsey, les investissements en lien avec le métavers devraient atteindre 120 milliards de dollars US en 2022, avec un total de dépenses atteignant 5 billions d’ici 2030.

À ce stade de son développement, le métavers est totalement dépendant d’Internet en termes de portabilité et d’adaptabilité. Bénéficiant déjà d’un réseau mondial d’ordinateurs et de serveurs en pleine croissance, il ne reste plus aux créateurs de cette multitude de mondes RA/RV qu’à proposer une plateforme fiable et d’incroyables designs. Parallèlement, les utilisateurs s’intéressent surtout à une rapidité optimale des connexions : dans le métavers, la vitesse est en effet essentielle pour réduire le risque de coups de frein en plein jeu. Cela ressemble au paradis sur terre, n’est-ce pas ?

Le danger qui hante nos rêves.

Le métavers cristallise les rêves des utilisateurs, des créateurs de contenus et des sociétés de médias sous des aspects palpitants et totalement nouveaux. Les fans de tous les blockbusters les plus récents, films ou émissions télévisées, vont explorer les mondes RA/RV créés pour eux. Les concepteurs ambitieux peuvent créer des espaces dans lesquels nos avatars se côtoient et interagissent dans d’incroyables royaumes tridimensionnels et dans des scénarios sans limite. C’est une nouvelle frontière pour le développement d’Internet, qui n’a rien à envier à la science-fiction, et c’est aussi un nouveau terrain de jeu pour tous ceux qui veulent assouvir leur soif d’équipements et de services.

Et le rêve va bien au-delà du simple jeu. De plus en plus d’étudiants participent à des cours virtuels interactifs dont les sessions proposent une immersion et une simulation totales. Le métavers abrite également réunions professionnelles, formation de salariés, rencontres familiales, visites immobilières virtuelles, safaris shopping, excursions mode et aperçus de villégiature partout où les développeurs peuvent poser une caméra.

Mais derrière le paravent, ce monde de rêve cache des dangers que l’on connaît bien : la question de la confidentialité, de la sécurité des utilisateurs (notamment en termes d’addiction et d’abus) et un risque élevé pour la sécurité en raison de la nouveauté de la technologie et de l’absence de protocoles de sécurité standard.

Outre la liste déjà impressionnante d’appareils IoT, la nouvelle catégorie RA/RV d’équipements numériques va ravir les hackers et autres prédateurs.

Explorez les futurs points de collision entre métavers et cybersécurité.

Lorsque la science-fiction devient réalité, nous restons sans voix. Face aux rabat-joies, les rêveurs gagnent. Les nombreuses contraintes qui freinaient le métavers, comme la technologie et le manque d’infrastructure, deviennent caduques. Désormais, nous avons une nouvelle responsabilité : protéger les énormes investissements et garantir la sécurité de tous.

Tandis que le nombre d’attaques par ransomware a baissé de 23 % de janvier à juin, selon la mise à jour semestrielle du Rapport SonicWall 2022 sur les cybermenaces, il dépasse toutefois déjà le total annuel pour 2017, 2018 et 2019. Tous ces nouveaux appareils IoT qui arrivent en ligne sont de surcroit plus vulnérables qu’on ne le pense et constituent de nouveaux vecteurs d’attaque pour les auteurs des menaces : les attaques de logiciels malveillants visant les appareils IoT ont grimpé de plus de 123 % cette année. Sans protection supplémentaire, les entreprises et leurs clients s’exposent à des attaques dévastatrices, surtout si les concepteurs et les fabricants ne respectent pas les protocoles unifiés de cybersécurité pour leurs équipements et leurs services.

Saisissez l’opportunité d’anticiper ce bond en avant. Réservez votre place pour MINDHUNTER 10, « Cybersécurité et métavers : menaces virtuelles et réelles » et découvrez les conseils des experts pour évoluer en toute sécurité dans les mondes virtuels et réels.

INSCRIVEZ-VOUS DÈS MAINTENANT

Pourquoi la 5G doit commencer par un accès sécurisé au réseau

/0 Commentaires/dans , /par

La toute dernière norme de connectivité cellulaire, la 5G, a fait passer les performances sans fil à la vitesse supérieure. Outre l’amélioration des débits, de l’efficacité et de la latence, la 5G sera en mesure de prendre en charge un nombre considérable d’appareils et de connexions simultanées.

L’architecture définie par logiciel de la 5G, et notamment la sécurité de la 5G, fait apparaître des cas d’utilisation qui n’étaient pas imaginables auparavant. La 5G est la première génération de technologie cellulaire conçue dans une optique de virtualisation et de technologie basée sur le cloud. Grâce aux technologies cloud, l’exécution des logiciels peut désormais être déconnectée du matériel physique spécifique en utilisant les technologies SDN (Software Defined Networking) et NFV (Network Function Virtualization).

La sécurité mobile a considérablement évolué depuis l’époque de la 4G, et la norme 5G actuelle offre de puissantes capacités de sécurité, telles que des fonctions d’authentification des utilisateurs, de chiffrement du trafic, de sécurisation du signal et de confidentialité des utilisateurs. Cependant, la technologie étant récente et en pleine évolution, il n’existe pour l’heure aucune définition officielle du concept de « sécurité 5G ».

Alors que les réseaux 5G sont encore en mode déploiement et expansion, l’introduction de produits et de services non testés et non vérifiés compatibles avec la 5G a permis aux pirates d’exploiter la nouvelle technologie et architecture.

Avec l’accélération de l’adoption de la 5G, les entreprises auront besoin de niveaux de sécurité réseau et de fiabilité plus élevés pour protéger à la fois leurs utilisateurs et leurs applications vitales. En voici quelques raisons :

  • La 5G favorise la transformation numérique, mais aussi de nouvelles opportunités pour la cybercriminalité.
  • La migration des applications et des fonctions réseau vers le cloud, parallèlement à la segmentation du réseau, ouvre de nouvelles surfaces d’attaque.
  • L’augmentation constante du nombre de terminaux et l’adoption de schémas de travail distribué ou à distance redéfinissent chaque jour le périmètre du réseau.
  • La visibilité des réseaux et des menaces conduit à une augmentation de la surface d’attaque, créant ainsi de nouveaux points d’entrée pour les pirates.
  • Ce périmètre de sécurité étendu et non défini est difficile à contrôler et à surveiller.

5G et accès sécurisé au réseau

La tâche des équipes de sécurité est colossale pour sécuriser leur réseau en vue de la 5G, y compris mettre en œuvre les bonnes stratégies pour les utilisateurs, les appareils et les applications. Les entreprises doivent adopter des modèles comme le ZTNA (Zero-Trust Network Access), qui permet aux équipes de sécurité de configurer des droits d’accès minimaux et granulaires, ainsi que l’authentification et l’autorisation de chaque utilisateur et appareil sur le réseau, ce qui réduit considérablement les risques d’infiltration de votre réseau par des pirates.

En mettant l’accent sur l’élimination de la confiance implicite et la nécessité de valider chaque demande d’accès, le ZTNA établit une nouvelle façon sécurisée de progresser. Un cadre Zero Trust garantit une visibilité et un contrôle complets de l’infrastructure 5G, y compris des appareils qui s’y connectent, des interfaces réseau, des applications et des charges de travail. La sécurité Zero Trust, associée à la visibilité des utilisateurs et des appareils, peut aider les entreprises à identifier rapidement les diverses menaces qui pèsent sur la sécurité et à y réagir.

Le ZTNA est suffisamment flexible pour être adapté à différents systèmes. L’architecture Zero Trust de la 5G est globale, intégrant le réseau d’accès radio, le réseau de transport et le réseau cœur, et comporte plusieurs couches. La sécurité des éléments logiques de l’architecture Zero Trust (selon la définition du NIST SP 800-207) établit la confiance dans l’identité et l’appareil de l’utilisateur, une visibilité améliorée de bout en bout et le contrôle de chaque appareil accédant au réseau à l’aide de n’importe quel modèle de déploiement cloud. Voici l’architecture Zero Trust logique pour la 5G (selon le NIST SP 800-207) qui peut être utilisée par les systèmes 3GPP :

This graphic illustrates zero trust architecture (zta) and policy components described in the article.

Ensemble, les composants PE (Policy Engine) et PA (Policy Administrator) forment le PDP (Policy Decision Point), qui prend des décisions appliquées par le PEP (Policy Enforcement Point). Les cadres de stratégies sont employés dans les systèmes 3GPP pour gérer l’accès aux ressources dans différents domaines de sécurité.

Tout en adoptant les principes de la sécurité Zero Trust pour la 5G, les entreprises peuvent améliorer la sécurité sous plusieurs angles :

  • Privilège minimum : permet un accès précis, associé à un contexte, aux fonctions du réseau 5G.
  • Validation de l’identité : définit l’identité pour englober tous les utilisateurs et les appareils ayant besoin d’accéder à des ressources protégées.
  • Segmentation du réseau : protège les données sensibles et les applications critiques en s’appuyant sur la segmentation du réseau, empêchant ainsi tout déplacement latéral.
  • Stratégies de sécurité : met en œuvre des stratégies de sécurité 5G précises pour un contrôle granulaire des données et des applications.
  • Validation continue : élimine la confiance implicite et valide en continu chaque étape de l’interaction numérique.
  • Protection des charges de travail de la fonction réseau cloud native (CNF) : protège la CNF s’exécutant sur un cloud public ou privé tout au long du cycle de vie Intégration continue/Déploiement continu.
  • Surveillance et audits : surveille toutes les interactions entre les utilisateurs, les appareils et les fonctions réseau à différentes couches.

La conclusion est la suivante : le ZTNA pour la 5G offre aux entreprises l’occasion de repenser la sécurité des utilisateurs, des applications et de l’infrastructure, et de s’assurer qu’elle est évolutive et durable pour les environnements modernes de type cloud, SDN et open source, tout en soutenant une voie plus fluide et efficace vers la transformation numérique.