content/fr-fr/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Que sont la réalité augmentée (RA) et la réalité virtuelle (RV) ?

La réalité augmentée et la réalité virtuelle sont liées, mais présentent des singularités. Comme son nom l’indique, la réalité augmentée « augmente » le monde réel en ajoutant des éléments numériques – visuels, sonores ou sensoriels – à une vue réelle. L’un des exemples les plus célèbres de RA des dernières années est le célèbre jeu Pokémon Go.

À l’opposé, au lieu d’ajouter des éléments au monde réel, la réalité virtuelle crée son propre cyberenvironnement. La réalité virtuelle s’expérimente généralement via une interface, comme un casque ou des lunettes, plutôt que par le visionnage d’un contenu sur un écran.

La réalité mixte (RM) ressemble à la RA, mais va plus loin en projetant du contenu numérique 3D spatialement présent et réactif. Avec la RM, les utilisateurs peuvent interagir avec des éléments et des environnements physiques et virtuels et les manipuler. Par exemple, une balle virtuelle peut rebondir sur une table ou une cloison réelle.

Le terme générique englobant la RV, la RA et la RM est la réalité étendue (RE). Le marché global des solutions matérielles, logicielles et des services de RE prend de l’ampleur chaque année. Cependant, l’essor rapide de ces technologies pose également la question des problèmes de confidentialité et de sécurité qu’elles soulèvent.

Problèmes de sécurité et de confidentialité de la réalité augmentée

Problèmes liés à la RA

L’un des dangers majeurs perçus de la réalité augmentée concerne la confidentialité. La confidentialité d’un utilisateur est exposée parce que les technologies RA peuvent voir ce que l’utilisateur fait. La RA collecte un grand nombre d’informations sur l’identité et les actions de l’utilisateur, plus encore que les réseaux sociaux ou d’autres technologies. Une telle collecte pose problème et soulève des questions :

  • Si des cybercriminels parviennent à accéder à un appareil, la perte potentielle de confidentialité sera considérable.
  • Comment les entreprises de RA utilisent-elles et protègent-elles les informations collectées sur leurs utilisateurs ?
  • Où stockent-elles les données de réalité augmentée ? Localement sur un appareil ou dans le cloud ? Si les informations sont envoyées vers un cloud, sont-elles chiffrées ?
  • Les entreprises de RA partagent-elles ces données avec des tiers ? Mais comment s'en servent-ils ?

Contenu non fiable

Les navigateurs de RA facilitent le processus d’augmentation, mais le contenu est créé et fourni par des applications et des fournisseurs tiers. Ceci soulève la question du manque de fiabilité car la RA est un secteur relativement récent et les mécanismes de génération et de transmission de contenu authentifié évoluent constamment. Les cybercriminels qualifiés peuvent remplacer la RA d’un utilisateur par la leur, pour tromper les gens ou leur fournir de fausses informations.

Différentes cybermenaces peuvent discréditer un contenu, même si sa source est authentique. Parmi ces menaces figurent l’usurpation d’identité, le sniffing et la manipulation de données.

Piratage informatique

Compte tenu de l’absence de fiabilité potentielle du contenu, les systèmes de réalité augmentée peuvent être un outil efficace pour tromper les utilisateurs dans le cadre des attaques d’ingénierie sociale. Par exemple, les cybercriminels peuvent déformer la perception de la réalité des utilisateurs avec de faux signaux ou visuels qui les incitent à exécuter des actions profitables aux pirates.

Programme malveillant

Les cybercriminels de RA peuvent intégrer du contenu malveillant dans des applications via de la publicité. Les utilisateurs crédules peuvent cliquer sur des publicités donnant accès à des sites Web de prise d’otage ou à des serveurs RA infectés par des programmes malveillants qui hébergent des virus non fiables, ébranlant ainsi la sécurité de la RA.

Vol d’informations d’identification réseau

Les criminels peuvent voler des informations d’identification réseau provenant d’appareils portables exécutant Android. Pour les détaillants qui utilisent des applications d’achat en réalité virtuelle et augmentée, le piratage peut être une cybermenace. De nombreux clients ont déjà leurs informations de cartes de crédit et de paiement mobile enregistrées sur leur appareils dans leurs profils utilisateurs. Les cybercriminels peuvent y accéder et vider leurs comptes puisque le paiement mobile est une procédure tout à fait transparente.

DÉNI DE SERVICE

Autre risque de sécurité RA : le déni de service Par exemple, des utilisateurs qui s’appuient sur la RA pour travailler peuvent soudainement cesser de recevoir leur flux d’informations. Ceci se révèle particulièrement problématique pour les professionnels qui exploitent la technologie pour exécuter des tâches dans des situations critiques, où l’absence d’accès aux informations pourrait avoir des conséquences graves. Par exemple, un chirurgien peut soudainement perdre l’accès aux informations en temps réel vitales sur ses lunettes de RA, ou un chauffeur peut soudainement ne plus voir la route parce que le pare-brise de RA se transforme en écran noir.

Attaques dites de l'homme du milieu

Les pirates de réseau peuvent écouter les communications entre le navigateur de RA et le fournisseur de RA, les propriétaires de canaux de RA et les serveurs tiers. Ceci peut entraîner des attaques dites de l’homme du milieu.

Ransomwares

Les cybercriminels peuvent accéder à l’appareil de réalité augmentée d’un utilisateur et enregistrer son comportement et ses interactions dans l’environnement de RA. Ils peuvent ensuite le menacer de publier ces enregistrements s’il ne verse pas de rançon. Ceci peut être embarrassant ou bouleversant pour les personnes qui ne souhaitent pas que leur jeu ou autres interactions de RA soient publiés.

Dommages physiques

Les dommages physiques constituent l’une des principales vulnérabilités de sécurité de la RA pour les appareils de RA portables. Certains appareils portables sont plus résistants que d’autres, mais tous présentent des vulnérabilités physiques. Préserver leur fonctionnalité et leur sécurité, par exemple en ne laissant personne marcher avec un casque qui peut être facilement perdu ou volé, est un aspect essentiel de la sécurité.

Sécurité des systèmes de RA

Dangers et problèmes de sécurité de la réalité virtuelle

Les menaces de sécurité liées à la RV diffèrent légèrement de celles lies à la RA car la RV se limite aux environnements fermés et n’implique pas d’interactions avec le monde physique réel. Néanmoins, les casques de RV couvrent toute la vision de leur utilisateur, ce qui peut être dangereux si des cybercriminels prennent le contrôle de l’appareil. Ils peuvent par exemple manipuler le contenu de manière à provoquer des étourdissements ou des nausées chez l’utilisateur.

Problèmes liés à la RV

À l’instar de la RA, la confidentialité des systèmes de RV est problématique. La nature hautement personnelle des données collectées est un problème majeur associé à la RV. Il s’agit par exemple de données biométriques comme les analyses de l’iris ou de la rétine, les empreintes digitales et de la main, la géométrie du visage et les empreintes vocales. Exemples :

  • Suivi des doigts : dans le monde virtuel, un utilisateur peut faire des gestes comme dans le monde réel, par exemple utiliser ses doigts pour saisir un code sur un clavier virtuel. Cela signifie cependant que le système enregistre et transmet les données de suivi montrant les doigts saisissant un code PIN. Si un cybercriminel capture ces données, il sera en mesure de recréer le code PIN de l’utilisateur.
  • Suivi du regard : certains casques de RV et de RA peuvent également inclure le suivi du regard. Ces données peuvent être précieuses pour des personnes malveillantes. Le fait de savoir précisément ce qu’un utilisateur regarde peut révéler des informations importantes à un cybercriminel, qui peut les capturer pour recréer les actions de l’utilisateur.

Il est quasi impossible d’anonymiser les données de suivi de RV et RA parce que les individus présentent des schémas de mouvement uniques. En utilisant les informations comportementales et biologiques collectées dans les casques de RV, les chercheurs ont identifié des utilisateurs présentant un haut degré de précision. Un problème de taille si les systèmes de RV viennent à être piratés.

Tout comme les codes postaux, les adresses IP et les empreintes vocales, les données de suivi de RV et RA doivent être considérées comme des « informations d’identification personnelle ». En effet, d’autres parties peuvent les utiliser pour identifier un individu ou tracer son identité, seules ou combinées avec d’autres informations personnelles ou d’identification. La confidentialité de la RV constitue ainsi un problème significatif.

Ransomwares

Les cybercriminels peuvent également injecter des fonctionnalités dans les plateformes de RV pour inciter les utilisateurs à fournir des informations personnelles. Comme avec la RA, cela ouvre la voie aux attaques de ransomware, avec des acteurs malveillants qui sabotent les plateformes avant de demander une rançon.

Fausses identités ou deepfakes

Les technologies du Machine Learning permettent de manipuler des voix et des vidéos dans la mesure où elles ressemblent toujours à la séquence d’origine. Si un cybercriminel accède aux données de suivi de mouvement d’un casque de RV, il peut potentiellement les utiliser pour créer une réplique numérique (parfois appelée deepfake) et ainsi mettre en péril la sécurité de la RV. Il peut alors la superposer avec l’expérience de RV de quelqu’un d’autre pour lancer une attaque d’ingénierie sociale.

En plus de la cybersécurité, l’un des dangers les plus importants de la réalité virtuelle réside dans le fait qu’elle bloque complètement la connexion visuelle et sonore de l’utilisateur avec le monde extérieur. Il est toujours important d’évaluer en premier lieu la sécurité physique de l’environnement de l’utilisateur. Cela s’applique également à la RA, où les utilisateurs doivent avoir conscience de leur environnement, en particulier dans les contextes plus immersifs.

Parmi les autres problèmes en lien avec la RV que la critique décrit parfois comme inconvénients figurent les exemples suivants :

  • Potentiel de croissance
  • Conséquences sur la santé, comme le sentiment d’étourdissement, les nausées ou la non-conscience spatiale (après un usage étendu de la RV)
  • Perte de connexion humaine

Exemples de RA et de RV

Les applications de la réalité augmentée, virtuelle et mixte sont diverses et se multiplient. En voici quelques-uns :

  • Jeu : des jeux de tir en vue subjective aux jeux de stratégie, en passant par les jeux de rôles d’aventures. Le jeu de RA le plus célèbre est probablement Pokémon Go.
  • Sports professionnels : pour les programmes d’entraînement qui aident à la fois les professionnels et les amateurs.
  • Voyage virtuel : voyages virtuels dans des parcs d’attractions comme des zoos, des parcs de safari, des musées... sans quitter son canapé.
  • Santé : pour permettre aux professionnels de la santé de se former, par exemple avec des simulations d’opérations.
  • Film et TV : pour améliorer l’expérience ressentie lors du visionnage de films et d’émissions.

Cette technologie est également utilisée dans des domaines plus sérieux. Par exemple, l’Armée américaine l’utilise pour améliorer numériquement des missions de formation destinées aux soldats. En Chine, la police l’utilise pour identifier les suspects.

Aucun problème de confidentialité

Oculus est l’un des casques de RV les plus connus et l’une des entreprises qui développe le jeu en RV à grande échelle. Facebook en a fait l’acquisition en 2014. En 2020, Facebook a annoncé que les connexions à la plateforme de réseau social seraient nécessaires pour les prochains casques de RV. Ce développement a engendré de vives discussions sur la confidentialité d’Oculus.

Une telle décision a été critiquée par rapport à la façon dont Facebook collecte, stocke et utilise les données, ainsi qu’au potentiel ciblage publicitaire supplémentaire et à l’obligation d’utiliser un service non choisi par certains. Elle a entraîné une multitude de publications par des utilisateurs soucieux du respect de leur vie privée et de la sécurité d’Oculus, indiquant qu’ils n’utiliseraient plus leurs casques Oculus, même si les commentateurs avaient le sentiment que cela ne freinerait pas le développement d’Oculus sur le long terme.

Conseils : comment utiliser des systèmes de RV et de RA en toute sécurité

Évitez de divulguer des informations trop personnelles

Ne divulguez aucune information trop personnelle ou dont la publication n’est pas nécessaire. C’est une chose de configurer un compte avec votre adresse email, mais ne renseignez vos informations de carte de crédit qu’en cas d’achat.

Consultez les politiques de confidentialité

Il est parfois facile d’ignorer les politiques de confidentialité des données ou les conditions d’utilisation trop longues. Mais cela vaut la peine de savoir comment les entreprises opérant les plateformes de RA et de RV stockent vos données et ce qu’elles en font. Par exemple, partagent-elles vos données avec des tiers ? Quel type de données partagent-elles et collectent-elles ?

Utilisez un réseau privé virtuel (VPN)

L’un des moyens de protéger votre identité et vos données sur le Web consiste à utiliser un service de VPN. Si vous devez divulguer des informations sensibles, l’utilisation d’un VPN peut vous protéger contre la corruption. Le chiffrement avancé et une adresse IP modifiée vous permettent de préserver la confidentialité de vos données et de votre identité. Avec les avancées dans les domaines de la RV et de la RA, le modèle du VPN va probablement s’étendre à ces réalités technologiques.

Restez à jour :

Pour vos casques de RV et vos appareils portables de RA, maintenez absolument votre firmware à jour. En plus d’ajouter de nouvelles fonctionnalités et d’améliorer les fonctions existantes, les mises à jour contribuent à corriger les failles de sécurité.

Utilisez un logiciel antivirus complet

De manière générale, le meilleur moyen de naviguer en ligne en toute sécurité consiste à utiliser une solution de cybersécurité proactive comme Kaspersky Total Security, qui fournit une protection efficace contre les différentes menaces en ligne de type virus, malwares, ransomwares, spywares, phishing et autres menaces de sécurité Internet émergentes.

Articles connexes :

Quels sont les risques liés à la confidentialité et à la sécurité des systèmes RV et RA ?

Quels sont les principaux dangers des systèmes de réalité virtuelle et augmentée ? En savoir plus sur la sécurité et la confidentialité des systèmes RA et RV, y compris les problèmes de confidentialité d’Oculus.
Kaspersky Logo