Le métavers met la vie privée des utilisateurs en danger.
Le métavers met la vie privée des utilisateurs en danger,
bien plus que les applications mobiles, les casques et les lunettes intelligentes vont pouvoir récolter une quantité énorme de données
Dans un article intitulé "Exploring the Unprecedented Privacy Risks of the Metaverse", des experts de l'Université technique de Munich (TUM) en Allemagne et de l'UC Berkeley (UCB) aux États-Unis ont testé un jeu de réalité virtuelle (RV) de type "escape room" afin de mieux comprendre la quantité de données auxquelles un attaquant potentiel pourrait avoir accès. À travers une étude de 30 personnes sur l'utilisation de la RV, les chercheurs - Vivek Nair (UCB), Gonzalo Munilla Garrido (TUM) et Dawn Song (UCB) - ont créé un cadre pour évaluer et analyser les menaces potentielles pour la vie privée. Ils ont identifié plus de 25 exemples d'attributs de données privées accessibles aux attaquants potentiels, dont certains seraient difficiles ou impossibles à obtenir à partir d'applications mobiles ou web traditionnelles. L'objectif de leur article, ont-ils déclaré est de faire la lumière sur les risques étendus de la réalité augmentée/réalité virtuelle en matière de vie privée et d'encourager d'autres chercheurs à chercher des solutions. D’après ces experts, il convient de réfléchir davantage, ou du moins de réfléchir un peu, à la protection de la vie privée dans le métavers promis des mondes de réalité virtuelle 3D connectés.
La richesse des informations disponibles grâce aux matériels et logiciels de réalité augmentée (RA) et de réalité virtuelle (RV) est connue depuis des années. Par exemple, un article paru en 2012 dans New Scientist décrivait Ingress, un jeu de réalité augmentée de Niantic Labs, une entreprise dérivée de Google, comme "une mine d'or de données". De même, les questions de confiance et de sécurité liées à l'interaction sociale en ligne contrarient les services en ligne depuis l'époque des modems téléphoniques et des tableaux d'affichage, avant même l'apparition des navigateurs web. Et maintenant qu'Apple, Google, Microsoft, Meta et d'autres acteurs voient une chance de refaire Second Life sous leur propre contrôle, les sociétés de conseil rappellent à nouveau à leurs clients que la vie privée sera un problème.
« Les technologies avancées, notamment dans les casques VR et les lunettes intelligentes, vont suivre les informations comportementales et biométriques à une échelle record. Actuellement, les technologies numériques peuvent capturer des données concernant les expressions faciales, les mouvements de la main et les gestes. Par conséquent, les informations personnelles et sensibles qui fuiront à travers le métavers à l'avenir comprendront des informations du monde réel sur les habitudes et les caractéristiques physiologiques des utilisateurs », explique The Everest Group dans son récent rapport : "Apprivoiser l'hydre : confiance et sécurité dans le métavers".
Le problème de la sécurité se pose également
Non seulement la vie privée est un problème non résolu dans le métavers, mais la sécurité matérielle laisse également à désirer. Une étude récente sur le matériel de réalité augmentée et virtuelle, intitulée "Security and Privacy Evaluation of Popular Augmented and Virtual Reality Technologies" (évaluation de la sécurité et de la confidentialité des technologies populaires de réalité augmentée et virtuelle), a révélé que les sites Web des fournisseurs présentaient de nombreuses vulnérabilités potentielles en matière de sécurité, que leur matériel et leurs logiciels manquaient d'authentification multifactorielle et que leurs politiques de confidentialité étaient obscures.
L'étude énumère les points de données spécifiques accessibles aux attaquants de toutes sortes (matériel, client, serveur et utilisateurs adverses.) Il convient de noter que le terme « attaquant », tel que défini par les chercheurs, englobe non seulement les acteurs externes de la menace, mais aussi les participants et les entreprises qui les dirigent.
Les points de données potentiels identifiés par les chercheurs comprennent : Télémétrie géospatiale (taille, longueur du bras, distance interpupillaire et dimensions de la pièce) ; spécifications du dispositif (fréquence de rafraîchissement, fréquence de suivi, résolution, champ de vision du dispositif, GPU et CPU) ; réseau (bande passante, proximité) ; observations comportementales (langues, maniabilité, voix, temps de réaction, vision de près, vision de loin, vision des couleurs, acuité cognitive et condition physique). À partir de ces mesures, diverses déductions peuvent être faites sur le sexe, la richesse, l'origine ethnique, l'âge et les handicaps d'un participant à la RV.
« La précision et la dissimulation alarmantes de ces attaques et la poussée des entreprises avides de données vers les technologies métaverses indiquent que les pratiques de collecte de données et d'inférence dans les environnements RV deviendront bientôt plus omniprésentes dans notre vie quotidienne », conclut le document.
« Nous voulons commencer par dire que ces "attaques" sont théoriques et que nous n'avons aucune preuve que quelqu'un les utilise actuellement, même s'il serait assez difficile de savoir si c'est le cas. De plus, nous utilisons les 'attaques' comme un terme d'art, mais en réalité, si cette collecte de données devait être déployée, le consentement serait probablement enfoui dans un accord quelque part et serait en théorie tout à fait irréprochable », ont écrit Nair et Munilla Garrido dans un courriel.
Cependant, les deux chercheurs affirment qu'il y a des raisons de croire que les entreprises qui investissent dans le métavers le font au moins en partie dans l'espoir que la publicité après-vente compensera les pertes, comme les 12,5 milliards de dollars dépensés par le groupe Reality Labs de Meta l'année dernière pour un revenu de seulement 2,3 milliards de dollars.
« Maintenant, en supposant qu'une entreprise de cette taille sache calculer une facture de matériel, cette approche de réduction des pertes doit être une décision stratégique dont ils pensent qu'elle finira par s'amortir. "Et si nous regardons qui sont ces entreprises et quelles méthodes de revenus elles ont déjà perfectionnées, nous supposons qu'il sera au moins quelque peu tentant de déployer ces mêmes méthodes pour récupérer les pertes de matériel. Mais là encore, il s'agit de spéculations », ont soutenu Nair et Munilla Garrido.
« Tout ce que nos recherches montrent, c'est que si une entreprise voulait faire de la collecte de données, elle pourrait obtenir beaucoup plus d'informations sur les utilisateurs dans la RV qu'elle ne pourrait le faire à partir d'applications mobiles par exemple, et que pivoter vers la RV serait parfaitement logique dans ce contexte », ont-ils ajouté.
À la question de savoir si les règles existantes en matière de protection de la vie privée traitent de manière adéquate la collecte de données dans les métavers, les deux experts ont répondu que oui, à moins que ces règles ne concernent que les applications mobiles. « Mais nous avons un défi unique en ce qui concerne les applications metaverse, dans la mesure où il y a une raison plausible de diffuser ces données vers des serveurs centraux. Fondamentalement, les applications métavers fonctionnent en suivant tous les mouvements de votre corps et en transmettant toutes ces données à un serveur afin qu'une représentation de vous-même puisse être rendue aux autres utilisateurs du monde entier… Ainsi, par exemple, alors qu'une entreprise pourrait difficilement prétendre que le suivi de vos mouvements est nécessaire pour son application mobile, il s'agit en fait d'une partie intégrante de l'expérience métaverse ! Et à ce moment-là, il est beaucoup plus facile d'argumenter que les journaux à ce sujet doivent être stockés pour le dépannage, etc. Donc, en théorie, même si les mêmes lois sur la protection de la vie privée s'appliquent, elles pourraient être interprétées de manière radicalement différente, car les besoins fondamentaux en données de la plateforme sont si différents », ont-ils expliqué.
Nair et Munilla Garrido reconnaissent que certains des quelque 25 attributs collectables qu'ils ont identifiés dans leurs recherches peuvent être obtenus par le biais de téléphones mobiles ou d'autres interactions en ligne. Mais les applications du métavers représentent un guichet unique pour les données.
« Nous sommes dans une situation où toutes ces catégories d'informations peuvent être collectées en une seule fois, en quelques minutes. Et parce que vous devez combiner plusieurs attributs pour faire des inférences (par exemple, la taille et la voix pour déduire le sexe), la présence de toutes ces méthodes de collecte de données au même endroit et au même moment est ce qui fait de la RV un risque unique en termes de capacité à déduire les attributs des données de l'utilisateur avec une grande précision », ont-ils expliqué. Le simple volume d'informations disponibles dans le métavers suffit à anonymiser tout utilisateur de RV, affirment-ils. Ils affirment que ce n'est pas le cas pour les applications ou les sites web.
L'objectif de leur article, ont-ils déclaré est de faire la lumière sur les risques étendus de la RA/VR en matière de vie privée et d'encourager d'autres chercheurs à chercher des solutions. Ils en ont déjà un en tête : un plugin pour le moteur de jeu Unity appelé MetaGuard. Le nom indique clairement la source de la menace pour la vie privée. « Pensez-y comme un "mode incognito pour la RV". Il fonctionne en ajoutant du bruit, à l'aide d'une technique statistique connue sous le nom de confidentialité différentielle, à certaines mesures de suivi VR, de telle sorte qu'elles ne sont plus assez précises pour identifier les utilisateurs, mais sans avoir d'impact significatif sur l'expérience utilisateur. Comme le mode incognito dans les navigateurs, c'est quelque chose que les utilisateurs pourraient activer et désactiver et ajuster à leur guise en fonction de l'environnement et de leur niveau de confiance », écrivent Nair et Munilla Garrido.
Sources : arXiv, SSRN
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Répondre avec citation
Partager