Le métavers présente de multiples possibilités pour les entreprises, mais laisse aussi planer de lourdes menaces, notamment en ce qui a trait à la sécurité des usagers et aux fraudes. Comment éviter que ce monde virtuel devienne un far west? Et quels sont les véritables risques?

Inventé par l’auteur de science-fiction Neal Stephenson il y a plus de 30 ans, le métavers est le premier monde virtuel à connaître une évolution aussi importante du point de vue économique. Il n’est donc pas étonnant que Facebook ait été renommé «Meta» en 2021 et ait injecté, juste cette année-là, 10 milliards de dollars dans le projet.

Meta n’est pas la seule entreprise à réserver d’importants montants à ce monde virtuel. La banque J.P. Morgan y a investi un milliard de dollars en 2022, devenant ainsi la première institution du secteur bancaire à ouvrir des locaux dans le métavers. Cet investissement dans un cybermonde où les individus utilisent une «identité numérique» pour faire des achats et interagir socialement attire déjà des sociétés comme Epic Games et Apple.

L’immobilier dans le métavers est même devenu un secteur porteur. En 2021, le prix moyen d’une parcelle de terrain virtuel a doublé, passant de 6 000 à 12 000 $1. En juin 2021, un fonds d’investissement immobilier numérique a dépensé la coquette somme de 913 000 $ pour s’offrir un terrain numérique.

Évidemment, les investissements importants et cette croissance de la valeur des actifs virtuels attirent les fraudeurs. En matière de gestion des risques, les règles existantes dans le métavers ne diffèrent pas de celles qui règnent dans le monde réel. Les risques de fraude, de vol d’identité et de blanchiment d’argent sont non seulement présents, mais ils sont même plus grands, en raison de l’absence de cadre juridique et réglementaire.

Un far west virtuel en matière de fraude

Le développement de nouvelles activités économiques, comme l’acquisition de terrains virtuels ou les transactions fondées sur des chaînes de blocs, favorise la création de nouvelles pratiques de la part des fraudeurs, qui rivalisent d’ingéniosité pour mettre la main sur les données des utilisateurs ou des entreprises.

Des informations personnellesmal protégées

Dans le monde virtuel, les utilisateurs fournissent une quantité importante d’informations personnelles privées qui pourraient être considérées comme classiques (nom, adresse postale, numéro de carte bancaire). Mais beaucoup de nouvelles informations peuvent dorénavant être collectées. Ainsi, grâce aux casques de réalité virtuelle qui permettent d’accéder au métavers, on peut recueillir des données biométriques telles que la couleur de la peau ou l’image des iris des yeux de la personne qui navigue. Des données comportementales peuvent aussi être récoltées. Par exemple, des informations sur l’augmentation de la fréquence cardiaque de l’utilisateur ou sur la dilatation de ses pupilles face à une situation rencontrée dans l’univers virtuel seraient disponibles. Ces données pourraient servir à un apprentissage de la gestion des émotions par un opérateur ou au développement du marketing émotionnel.

L’un des dangers liés à la prolifération de données personnelles sur le Web consiste en la prise de contrôle de comptes (en anglais, account takeover ou ATO), qui est une fraude classique dans le métavers. Cette pratique est considérée comme une forme de vol d’identité en ligne. Grâce à toutes les informations obtenues sur un utilisateur, le cybercriminel obtient illégalement un accès non autorisé à son compte.

Dossier Métavers

  1. Dossier Métavers – Faut-il s’intéresser au métavers?
    Technologie Dossier Métavers – Faut-il s’intéresser au métavers?
  2. Dossier Métavers – Travaillera-t-on réellement dans le métavers?
    Technologie Dossier Métavers – Travaillera-t-on réellement dans le métavers?
  3. Dossier Métavers – Le Québec cherche sa place dans le métavers
    Technologie Dossier Métavers – Le Québec cherche sa place dans le métavers
  4. Dossier Métavers – Le métavers : entre rêve et cauchemar
    Technologie Dossier Métavers – Le métavers : entre rêve et cauchemar

Des informations privées dangereusement disponibles

De plus en plus d’entreprises organisent ou envisagent d’organiser leurs conseils d’administration dans le métavers. Cette pratique permet de réunir autour d’une table virtuelle tous les administrateurs, quel que soit l’endroit où ils se trouvent réellement. Par exemple, Wallife, une start-up italienne axée sur la protection des données individuelles, a organisé son premier conseil d’administration virtuel en juillet 2022. Son président, Fabio Sbianchi, a ensuite confirmé que toutes les futures réunions de la jeune pousse seront organisées en réalité virtuelle, afin d’explorer de nouveaux modes de collaboration entre les membres.

Si le métavers facilite l’organisation de réunions entre des personnes situées à divers endroits dans le monde, il représente également un risque concernant l’information échangée durant ces rencontres. Celle-ci peut être récoltée par des moyens informatiques qui équivaudraient à des micros glissés dans le plafond des salles de réunion.

Les cryptoactifs, eux aussi sous la loupe

Le métavers ne se dissocie maintenant plus des cryptomonnaies. Ces dernières peuvent, par exemple, servir à acheter des produits et des services, ou être utilisées à des fins spéculatives, notamment pour effectuer des opérations sur une plateforme de négociation de cryptoactifs. Économiquement, les cryptomonnaies (comme le Bitcoin, l’Ethereum, le Ripple ou le Litecoin) n’ont aucune valeur en elles-mêmes; celle qui leur est conférée est largement dictée par le jeu de l’offre et de la demande sur le marché.

La première émission de cryptoactifs (en anglais, initial coin offering ou ICO) est une opération de collecte de fonds menée sur Internet. Au Canada, un grand nombre de ces émissions sont lancées sur Ethereum, une chaîne de blocs décentralisée ouverte à tous et dont l’utilisation ne fait l’objet d’aucun contrôle. Les ICO visent à financer des projets technologiques en démarrage. Les investisseurs reçoivent alors des actifs numériques ou jetons (tokens) dont la valeur et l’utilisation éventuelles sont étroitement liées au succès du projet financé.

Par leur mode de fonctionnement, les ICO constituent un terrain propice pour l’orchestration de nombreuses fraudes. Par exemple, certains émetteurs peuvent utiliser les fonds recueillis pour poursuivre d’autres objectifs que ceux énoncés dans la présentation du projet, et parfois même, des objectifs illégaux. L’absence de réglementation de ces opérations financières prive les investisseurs de toute protection juridique.

En 2021, l’Autorité des marchés financiers a reçu neuf fois plus de signalements de tentatives de fraude impliquant des cryptoactifs qu’en 20202. Selon cet organisme, les fraudes dénoncées sont commises majoritairement par des réseaux structurés qui opèrent à partir de l’extérieur du Canada.

En plus de ces fraudes, les cryptoactifs peuvent être utilisés dans le cadre d’actes frauduleux3 plus classiques. Selon la théorie du triangle de l’acte frauduleux, trois étapes doivent être franchies pour réussir une fraude. La première étape consiste à réaliser la fraude. Le détournement d’actifs ou le vol d’argent sont des exemples d’actes frauduleux. La deuxième étape est la dissimulation, qui représente l’acte ayant pour objectif de cacher la fraude. Cela peut prendre la forme de fausses écritures comptables ou de la destruction de fichiers informatiques. Enfin, la troisième étape est la conversion des bénéfices mal acquis en actifs utilisables par le fraudeur. Dans cette perspective, l’usage de cryptoactifs ouvre de nombreuses possibilités pour franchir cette étape, car les mouvements d’argent peuvent traverser les frontières nationales et les cryptoactifs peuvent facilement être transformés en argent réel.

Selon le rapport de l’Association of Certified Fraud Examiners4, l’essor de la technologie de la chaîne de blocs et le fait que de plus en plus d’organisations intègrent l’utilisation des cryptomonnaies dans leurs opérations régulières donnent aux individus de nouvelles occasions de commettre des fraudes. Les façons les plus courantes d’utiliser les cryptomonnaies sont les suivantes : versement de pots-de- vin et de dessous-de-table en cryptomonnaies (48%) ou conversion d’actifs détournés en cryptomonnaies (43%).

Miser sur la cybersécurité

Aujourd’hui, la sécurité des transactions et la protection des données personnelles dans le métavers ne sont pas encore assurées. Il est dangereux de penser que les techniques existantes pour protéger les utilisateurs s’appliqueront efficacement dans le monde virtuel. L’absence de réelle protection légale ou d’organismes de réglementation spécifiques fait de ce monde virtuel un endroit où la créativité devra être le maître mot des professionnels de la cybersécurité.

La meilleure façon de prévenir la fraude est de l’anticiper en développant de nouveaux outils et, surtout, de nouveaux comportements. Il est essentiel que les dirigeants d’entreprise soient conscients que les attaques informatiques dans le métavers mettront à profit de nouvelles techniques. À l’heure actuelle, la réglementation est inexistante. Les choses risquent cependant d’évoluer rapidement. De grands progrès devront être faits pour garantir la sécurité des individus et des entreprises qui auront recours à ce métavers révolutionnaire.

Article publié dans l'édition Hiver 2023 de Gestion 

Notes

1- «Opportunities in the metaverse – How businesses can explore the metaverse and navigate the hype vs. reality» (document en ligne), J.P. Morgan, 2022, 17 pages.

2- «Cryptoactifs : forte hausse du nombre de signalements de fraude» (document en ligne), Autorité des marchés financiers, 9 mars 2022.

3- Kranacher, M.-J., Riley Jr, R. A., et Wells, J., Forensic accounting and fraud examination, New York, John Wiley & Sons, 2011, 560 pages.

4- «Occupational fraud 2022: A report to the nations» (document en ligne), Association of Certified Fraud Examiners, 2022, 96 pages.