La malveillance dans le métaverse : combattre les cybermenaces connues sur une nouvelle frontière
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
L'avènement du métaverse, le chouchou numérique du moment, ajoute une nouvelle surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale. Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu où règne la fumée et les miroirs.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
%20(1).avif)
.avif)
