La malveillance dans le métaverse : combattre les cybermenaces connues sur une nouvelle frontière
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
L'avènement du métaverse, le chouchou numérique du moment, ajoute une nouvelle surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale. Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu où règne la fumée et les miroirs.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
