Pour rester informé(e) des dernières actualités de l'IT en Belgique francophone, lisez ceci • Comment / Pourquoi s'abonner ?

Métavers: combinaison ultime de technologies créant une super-surface d’attaque?

Pratique
Par · 03/06/2022
Partager

Atteinte à la vie privée ou à ce qui fait la caractéristique de l’être humain. Exploitation des données. Fraudes. Failles de sécurité des univers factices. Fausses identités. Failles dans les matériels et dispositifs immersifs. Failles dans la chaîne de validation de ladite identité, en ce compris via la technique de blockchain (certaines vulnérabilités ont déjà été exploitées en raison d’une volonté de simplifier ou d’“alléger” la chaîne de blocs). Piratage de crypto-actifs, de biens “possédés” dans le virtuel. Détournement d’avatars. Espionnage de données personnelles, en particulier biométriques et comportementales. Influences malveillantes exercées par des algorithmes invérifiables… 

On pourrait continuer cette énumération de risques potentiels, voire probables, quasi à l’infini.

Métavers: univers impitoyable?

L’avènement du métavers, de ces univers virtuels immersifs, peu ou prou interconnectés, constitue en effet un décuplement potentiel des risques de sécurité. Du moins si l’on n’y prend garde et si l’on ne prend pas, d’emblée, les mesures adéquates.

Tous les éléments qui sont jusqu’ici sujets à failles, détournement et vulnérabilités mettant à mal la sécurité des données, des identités, des infrastructures, de la vie privée, etc., restent non seulement d’actualité mais, pour reprendre les termes d’Axel Legay, professeur à l’Ecole Polytechnique et à l’Institut ICTEAM (Information and Communications Technologies, Electronics & Applied Mathematics) de l’UCLouvain, coordinateur de la coupole CyberWal (cyber-sécurité), sont “amplifiés en raison de la nature-même de cet univers. On peut en effet y faire des choses impossibles ou difficilement réalisables dans le monde réel. Et cela inclut certains types de partage de données, de réunions. Le but d’un métavers, c’est d’être plus accessible, sans frontière. La surface d’attaque grandit”. A la fois de par la nature des données qu’on y expose, des comportements qu’on y affiche, des potentiels d’attaques et de l’éventail des supports utilisables.

“Le métavers combine les vulnérabilités des matériels, des logiciels mais aussi des comportements humains. C’est la combinaison parfaite pour créer une super-surface d’attaque.

Sur le plan logiciels, le métavers, c’est une énorme interconnexion entre des logiciels qui ne sont pas toujours compatibles, un énorme défi pour sécuriser le tout.”

 

Le métavers permettra encore plus de granularité dans le suivi de nos comportements à travers le « full body tracking » et des objets collectant notre rythme cardiaque, détectant nos émotions, et nos moindres réactions, ouvrant une voie directe vers le subconscient. Source: MétaMédia.

 

Du point de vue des matériels, Axel Legay met en garde contre les portes dérobées et autres mécanismes de captation de données que l’on soupçonne (et fait d’ailleurs plus que soupçonner) de la part (notamment) des fabricants, chinois ou autres, peu regardants sur l’éthique.

oeil sécurité informatiqueSi les processeurs, les capteurs qui sont intégrés dans les casques deviennent supports de surveillance et de piratage, c’est toute une nouvelle dimension de mesure et d’analyse des comportements qui s’ouvre. “Or, chaque personne est unique. Le métavers, c’est la captation de vos paroles, de vos gestes, de tous vos comportements et la possibilité de dériver des enseignements de vos signaux biométriques. Une observation et analyse de 20 minutes de “comportement” d’un avatar, c’est quelque 20 millions de mouvements collectés. C’est l’empreinte génétique unique d’une personne. Une empreinte qu’on peut caractériser et qui est une signature unique.

En croisant et analysa nt ces 20 minutes de mouvements, on peut en déduire que quelqu’un soufre par exemple d’une maladie et, dès lors, qu’il ne peut pas être recruté ou qu’il n’aurait pas droit à la couverture sociale.” [Un scénario qui a d’ailleurs déjà commencé, à une échelle certes plus modeste, puisque, sur base d’une vitesse de frappe au clavier ou de l’analyse de l’élocution d’une personne lors d’une visio-conversation, on peut déjà diagnostiquer certains troubles et maladies…]

Autre exemple cité: “si un gamer prend tous les risques dans un jeu, cette information peut parfaitement être revendue à son organisme bancaire qui lui refusera un prêt à risque”. Ou encore, un comportement adopté dans le cadre d’un métavers pourrait être considéré comme révélateur qu’il pourrait être reproduit dans le monde réel. Une parole plus libre, un “geste déplacé” (les harcèlements, par exemple) pourraient peser lourd dans la balance de certaines décisions prises par de possibles employeurs. Comme c’est d’ailleurs déjà le cas par rapport aux propos tenus sur les réseaux sociaux…

 

Mark Hunyadi, philosophe et éthicien, professeur d’éthique des nouvelles technologies à l’UCLouvain: “Gare à l’observation de nos comportements. Nous sommes des cobayes. Le métavers, c’est, pour les plates-formes, une nouvelle manière d’habiter le monde pour satisfaire leurs appétits.”

Question(s) d’identité(s)

Comment s’identifier, authentifier son identité, pour évoluer dans le métavers alors même que l’on se “masque” derrière un avatar? Comment “verrouiller” le fichier numérique qu’est un avatar, et empêcher qu’il soit vérolé, modifié, volé, réutilisé illicitement?

Comment garantir que tel avatar appartient et correspond réellement à telle personne? 

La création et l’utilisation d’un avatar pourraient être liées à l’encodage d’un mot de passe, à la fourniture d’une donnée biométrique (lecture de l’iris dans le casque par exemple), à la preuve de possession d’un NFT, ou encore au recours… à la carte d’identité électronique. Mais comment garantir que toute la session d’interaction est bel et bien effectuée par la personne qui s’est authentifiée au départ?

L’une des réponses données veut que le contrôle biométrique intégré au casque (contrôle de l’image des yeux, historique des mouvements…) évitera une permutation d’utilisateur. Soit! Mais les casques sont-ils pour autant inviolables? La vulnérabilité des webcams est déjà chose largement démontrée. Nul doute que l’ingéniosité des hackers ne tente de mettre à mal l’intégrité des casques et de leurs différents types de capteurs… 

Et question d’ordre davantage juridique, la loi, l’usage enterrineront-ils le recours à des données biométriques pour l’identification, voire le “suivi”? Pour rappel, les données biométriques, notamment la reconnaissance faciale, sont soumises aux mêmes règles que des données de type médical. Leur utilisation est certes possible selon les dispositions du RGPD mais à condition qu’il y ait consentement – explicite et non contraint…

Autre solution possible évoquée par certains: crypter les avatars.

Autre écueil: rien n’empêche potentiellement un internaute (“métavernaute”?) de multiplier les avatars sous les traits desquels il évolue dans divers métavers. Comment réconcilier ses multiples instances virtuelles avec une seule identité réelle et authentique? La question est moins absurde qu’il n’y paraît dans la mesure où on peut donner à un avatar non seulement une apparence mais des “traits de caractère” et donc des comportements différents. Et que, intelligence artificielle “aidant”, un avatar risque à terme de vivre sa propre vie, de développer des traits distinctifs “augmentés” qu’aura acceptés (de son plein gré ou non) son double physique…

Quid si un avatar – qui n’est jamais qu’un… fichier numérique – est dérobé, modifié (dans ses comportements, préférences etc.) à l’insu de son “propriétaire”? Quid si le kidnappeur d’avatar l’utilise à des fins peu légales? Comment prouver que “non, ce n’était pas moi” qui ai perpétré tel ou tel acte?

Où déposer plainte pour vol ou falsification d’avatar? Comment apporter la preuve qu’une action effectuée par un avatar volé ne peut pas être attribuée à son titulaire authentique d’origine?

Unicité et multiplicité d’identité(s)

Selon le contexte virtuel dans lequel il évolue, un individu pourra choisir un avatar, une identité numérique, spécifique à ce contexte précis. Rien n’empêche en théorie et jusqu’ici un utilisateur de se créer plusieurs avatars. Comment “réconcilier” leurs comportements, leurs caractéristiques, comment savoir qu’il s’agit toujours de la même personne?

Certes, cette variabilité est compréhensible mais on achoppe ici sur une contradiction. D’une part, la nécessité de pouvoir réconcilier ces multiples identités virtuelles potentielles. Et, d’autre part, éviter qu’un hébergeur ou prestataire de métavers “indélicat” puisse reconstituer le puzzle des caractéristiques de chaque identité virtuelle en vue d’identifier, de caractériser l’individu bien réel, et exploiter ses données, sa “véritable” identité à des fins potentiellement inacceptables – ou non acceptées. 

En jeu, bien entendu, la vie privée. Car le fait est que les “indices” laissés par le comportement de chaque avatar dans chaque métavers ne devraient être exploitables que selon certaines conditions, pour des finalités convenues d’avance. En toute transparence. Se pose donc la question de la ségrégation des identités virtuelles, tout en pouvant garantir leur authenticité.

Preuve s’il en est que la manière dont l’identité d’un utilisateur sera authentifiable, sécurisée, sans porter atteinte à sa vie privée, est une condition essentielle dans les métavers.

Sérier les accès ?

L’un des arguments que l’on attribue au “Web3” est de permettre aux usagers, citoyens et internautes de reprendre la maîtrise de leurs décisions, de leurs données…

Heureuse perspective mais, concrètement, comment un utilisateur pourra-t-il – aisément – indiquer que tel type de données ou de “signal” qu’il sème derrière lui lors de ses pérégrinations dans le(s) métavers ne pourra être utilisé, exploité, que par tel ou tel acteur?

C’est déjà difficile, voire impossible, en tout cas laborieux, aujourd’hui. Sans parler du fait qu’on ne lit pratiquement jamais les “petites lettres” et que l’exercice d’acceptation ou de rejet des cookies est déjà, à lui seul, quasi un parcours du combattant…

cadenas rouge ouvertCela risque de le rester, voire de devenir encore plus difficile demain. Même si, comme le souligne le professeur Axel Legay de l’UCLouvain, “il est possible de spécifier et d’implémenter techniquement les restrictions d’accès qu’on veut imposer au prestataire mais sans aucune garantie que la société commerciale à qui on a affaire le fera réellement. Ce sera nettement plus compliqué dans le métavers que dans le cadre, par exemple, du “portefeuille numérique” que le Secrétaire d’Etat Mathieu Michel veut déployer en Belgique d’ici la fin de l’année.”

Si l’usage se fait sur base d’une authentification blockchain, la protection et la caractérisation des autorisations d’accès ne seront en principe pas plus difficiles selon que l’on évolue dans un seul ou dans plusieurs métavers. A la différence près que les différents métavers en question n’utiliseront pas forcément la même technologie de chaîne de blocs – avec toutes les différences de niveau ou mécanisme de protection que cela peut impliquer.

Mais à supposer que tout soit regroupé dans un seul super-métavers (comme l’ambitionne par exemple Meta), “vous auriez l’obligation de savoir ce que vous dites à x et à y, et sur quels types de blocs chaque section de métavers est basée – bloc privé, bloc public?”

La question, ici, est donc de savoir comment compartimenter ce qu’on fait dans tel ou tel métavers, ou section de métavers – en espérant qu’un acteur “à la Facebook” n’amalgame pas tout, de toute façon, comme la société l’a fait en mixant Facebook, WhatsApp & co…

“Au minimum, il faudra prendre comme précaution de ne pas utiliser le même mot de passe [ou autre sésame] pour chacune des identités utilisées dans les divers métavers”.

En ayant de plus à l’esprit que le gestionnaire de ce métavers, sur base des indices révélés par les comportements de l’utilisateur, pourra vous réidentifier plus aisément encore qu’aujourd’hui….

La maîtrise des données

La masse de données qui pourront être captées, surveillées, exploitées dans les univers virtuels 3D et/ou immersifs étant appelée à exploser et à prendre des dimensions encore nettement plus révélatrices que ce que l’on connaît actuellement, comment faire en sorte que la maîtrise des données puisse malgré tout être possible par les utilisateurs? Et selon quel mécanisme qui n’exige pas d’être un expert es-numérique?

Comment permettre à chacun de moduler les droits d’utilisation de tel ou tel type de donnée ou de paramètre, selon le profil, la nature ou les finalités de chacun des acteurs présents ou pilotant les métavers fréquentés? Comment déterminer que tel ou tel acteur (marque, prestataire de service…) pourra accéder à tel degré et granularité d’information? Qu’en telle ou telle circonstance, il sera possible de réduire voire d’interrompre le potentiel de surveillance et de captation? 

Source: Research and Markets.

Qui dit “maîtrise” des données parle aussi de transparence, de visibilité et de potentiel de vérification de l’authenticité ou de l’inviolabilité des données. Ou encore de capacité à déterminer pourquoi tel algorithme utilisé par exemple pour évaluer ou pour négocier la valeur d’un “objet” virtuel (habit d’avatar, terrain, oeuvre d’art…) a pris telle ou telle décision. “Dans certaines circonstances”, souligne Matei Mancas, fondateur de la start-up montoise Ittention et chercheur à l’ISIA Lab de l’Institut Numediart de l’UMons, “il sera essentiel qu’un être humain puisse accepter ou non la décision de l’IA.”

Exemple? La recommandation que formulerait une IA lors d’une session immersive de formation d’un professionnel de santé. 

“D’autant plus que la vérification des fausses informations, déjà difficile par exemple dans l’univers des réseaux sociaux, devient encore plus ardue dans le métavers, où il est plus difficile de distinguer le virtuel du réel. Lors d’une transaction dans le virtuel, quand une société achètera par exemple un espace, il faudra vérifier ce qui se passe, ce qu’elle obtient réellement en échange. Il faudra pouvoir “ouvrir” les données, prévoir une capacité de modération…”

Dans le contexte d’une formation, il sera toujours possible de débriefer off-line, une fois la session terminée. Mais dans des cas d’interactions nécessairement temps réel, comment procéder?

L’Intelligence Artificielle qui sera une composante incontournable des métavers et de l’animation des univers virtuels doit faire l’objet d’une analyse et d’un usage prudents. 

Dans le champ du marketing, certains par exemple mettent déjà en garde contre l’usage qui sera fait des données. L’analyse et le décorticage des comportements, gestes, réactions (captées par des dispositifs biométriques), types de transactions ou d’échanges en apprendront beaucoup sur chaque individu. Les pratiques de ciblage que l’on connaît déjà aujourd’hui prendront dès lors une toute autre dimension. Et elles seront quasi totalement pilotées par des algorithmes. Certes des algorithmes conçus initialement par la main humaine – qui devra donc, idéalement, tenir compte de contraintes éthiques – mais ces algorithmes, désormais, sont auto-apprenants, se morphent au gré des données qu’ils s’auto-injectent. Gare dès lors, prévenait Katie Bremme, directrice Editions numériques pour France Télévisions, lors d’une conférence Cap Digital, aux excès potentiels de l’“AI micro targeting”. “Il faudra trouver un nouvel équilibre ou tracer une nouvelle frontière entre ce qui relève des recommandations par l’être humain et la personnalisation poussée à l’extrême, décidée par les algorithmes…”

Open source et fédération de serveurs

Fabien Bénétou, consultant rattaché au Labo d’innovation du Parlement européen, prêche, à titre personnel, en faveur d’un métavers open source, dans la mesure où cela permet d’avoir une meilleure visibilité et un meilleur contrôle sur l’usage qui est fait des données.

Les métavers, de par leur nature-même, supposent l’existence d’une infrastructure d’hébergement et de gestion centralisée (même si elle est distribuée). Le tout est de savoir si l’on a une visibilité sur ce qui s’y passe. De savoir qui contrôle cette infrastructure.

“Avec la source libre, il devient possible de savoir ce qui est fait des données. Il est possible d’auditeur les logiciels open source. Si un bout de code renvoie les données vers un destinataire douteux, on peut en être averti. Et, le code étant ouvert, on peut le modifier pour éviter une dérive dans l’exploitation des données.”

Une solution intermédiaire qu’il juge intéressante vient du modèle de fédération ouverte. Ce qu’on appelle déjà des “fédivers” – contraction entre fédération et univers.

A noter que, très récemment, l’EDPS (European Data Protection Supervisor) (1) a lancé la phase-pilote de deux nouvelles plates-formes de réseau social – EU Voice et EU Video -, toutes deux basées sur le concept de réseau social ouvert et sur les solutions logicielles Mastodon et PeerTube. Objectif: “contribuer à la stratégie de l’Union européenne en matière de données et de souveraineté numérique afin de favoriser l’indépendance de l’Europe dans le monde numérique.
[…] EU Voice et EU Video ne s’appuient pas sur des transferts de données personnelles vers des pays n’appartenant pas à l’Union européenne ou à l’espace économique européen. On ne trouve aucune publicité sur ces plates-formes, aucun profilage d’individus. Les mesures mises en oeuvre permettent notamment aux individus de choisir et de maîtriser la manière dont leurs données personnelles sont utilisées.”
______________
(1) L’EDPS (CEPD en français – Contrôleur européen de la protection des données) est l’autorité de contrôle indépendante. Dépendant de l’Union européenne, elle a pour mission d’assurer que les institutions et organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles politiques.

Les premières manifestations en sont par exemple le réseau social Mastodon ou la fédération Matrix. Le principe? Une “fédération” de serveurs constituant par exemple un réseau social. Il repose sur des logiciels libres, des briques fonctionnelles qui ont recours à des protocoles d’échange pour communiquer, se “fédérer”. On peut ainsi trouver, dans un tel réseau utilisé pour du chat, des serveurs privés, publics, personnels qui dialoguent les uns avec les autres.

Tout individu peut créer son serveur, dialoguer avec les autres membres du réseau, disposer d’une “instance” clairement identifiée, être l’administrateur de son propre serveur, décider de ne partager qu’une partie de son identité avec tel ou tel interlocuteur (uniquement son nom et son adresse mail ou les différentes facettes de son identité 3D… Cela permet de gérer ses préférences et, quand on utilise telle ou telle plate-forme, de ne pas autoriser n’importe qui à faire n’importe quoi avec ses données.

Aux yeux de Fabien Bénétou, il y a donc une place, au niveau des Etats, pour ce genre de plate-forme ouverte, “sans forcément investir des sommes énormes. L’un des rôles du lab d’innovation du Parlement européen peut notamment être de tester ce genre de plate-forme à petite échelle.” Pour en valider l’opportunité avant une reproduction à plus grande échelle.

La sécurité des objets virtuels eux-mêmes

Tout objet virtuel créé – que ce soit un avatar, ses oripeaux (“skins”, habits…), une oeuvre d’art, un sac Hermès, un terrain ou un immeuble situé le long de telle ou telle avenue “hype” dans les métavers -, tous ces objets ne sont jamais que des fichiers numériques. Quid si leur intégrité est compromise, si du code est détourné, si le fichier est volé? 

On a déjà pu constater ces derniers temps que la bulle spéculative qui s’est créée autour des NFT a tendance à se dégonfler, que des individus qui avaient acheté à prix d’or des objets virtuels, parfois d’une affligeante banalité, n’ont pu les revendre que pour une misère.

“Parfois”, commente Philippe Laurent, avocat auprès du cabinet MVVP, “des objets virtuels tels que des singes virtuels dans le métavers s’achètent plus chers que ce que vaut votre maison ou votre appartenant. Et ces sommes sont investies d’un claquement de doigt, sans le moindre exercice d’évaluation, sans intermédiaire jouant le rôle de tiers de confiance. Souvent les gens ne savent pas ce qu’ils achètent…” Le buzz, le hype et la spéculation jouent à fond.

Quid en cas de dévaluation brutale, de vol, de détournement? Des fortunes se perdent sans recours possible.

Le juriste met également en garde contre les conséquences potentiellement majeures d’une simple erreur d’un “bit” lorsque l’on saisit une adresse blockchain. “Trompez-vous d’un seul chiffre ou d’une seule lettre et votre argent s’évapore…” Ou, pour le même résultat, faites attention à une fausse adresse bitcoin que vous enverrait quelqu’un que vous croyiez être de confiance… Résultat: votre transfert de crypto-monnaie prendra une direction inconnue.

Vous râlez déjà en devant introduire des mots de passe complexes, que dire des adresses de portefeuille (bitcoin ou autre) du genre 1ZOus28RBGabu6CMQhOI0bFTml5bIlHH7?

Sceau de garantie

A qui confier ses transactions, objets, propriétés, données, “traces” comportementales dans le métavers? Peut-on imaginer un métavers “éthique”, “propre”, respectueux avant tout des intérêts des utilisateurs – et non plus des intérêts des “plates-formes” ou des annonceurs?

En plus de la notion de métavers “ouvert”, dans un esprit open source, deux idées se font jour et semblent, dans une certaine mesure s’opposer. D’une part, les DAO – organisations autonomes décentralisées – qui ont pour but de supprimer la notion d’intermédiaires et dans lesquelles certains voient d’ailleurs les bases d’une nouvelle démocratie.

De l’autre, ceux qui avancent l’idée de “tiers de confiance“.

Si l’on réduit le périmètre d’un métavers à une solution créée par une entreprise pour un nouveau mode de travail et de collaboration, on peut imaginer que ce “tiers de confiance” soit l’entreprise elle-même, voire le fournisseur de l’architecture de métavers qu’elle utilise, l’une ou l’autre étant garant de l’authenticité des intervenants, des interactions et transactions.

Quid dans un contexte de métavers non “privé”, pour des utilisations récréatives, créatives, voire dépassant les frontières d’une société, d’un pays, ou encore qui serait un vaste entrelacement de plusieurs univers virtuels thématiques (des espaces de gaming, de travail, de récréation, d’achats… entre lesquels on évolue librement, sous la forme d’un avatar répondant à des traits et à une identité uniques ou multiples)? Quel pourrait alors être ce “tiers de confiance”? Certainement pas un Meta, dont le capital confiance est largement dévalué. Dans le cadre d’un dossier publié récemment par le réseau d’entrepreneurs français InfoCherche, plusieurs “profils” sont évoqués. En ce compris… les Etats ou une société ayant bonne réputation et/ou pignon sur rue – du genre Ubisoft ou IBM.

Raison invoquée par InnoCherche pour désigner les “Etats souverains” comme tiers de confiance? “Ils sont, de facto, les garants ultimes en matière de cyberdéfense”.

Pourquoi le nom d’Ubisoft est-il proposé? Parce que la société “réfléchit à une évolution de la gouvernance de ses jeux pour passer à un business model décentralisé basé sur une DAO. Cela montrerait l’idée qu’une refonte d’un Internet sur des bases éthiques solides et transparentes pourrait attirer de nouveaux acteurs et pas seulement gouvernementaux.”

Et d’ajouter un peu plus loin: “Si les Etats démocratiques ne prennent pas en compte ce côté régalien de distribution et de défense d’une identité numérique pour tous – à l’image de ce qui a été fait avec succès en Estonie avec la X-Road -, on peut entrevoir que les éditeurs de jeux joueront un rôle prépondérant. Forts d’une culture et d’un business model basés sur l’’écoute de leur communauté et, donc, bien différents de celui des GAFAM et affichant, comme Ubisoft, une gouvernance propre, transparente et éthique, ils sont plus légitimes que Facebook comme promoteurs ou tiers de confiance pour essayer de construire ce futur métavers.”

Une position ou interprétation qui laisse toutefois dubitatif, cela revenant malgré tout à faire confiance à des entités commerciales, aux finalités mercantiles. Sans compte que le morcellement entre métavers et tiers de confiance constituerait toujours un obstacle.

Ajoutons enfin que l’idée-même de “tiers de confiance”, qu’il soit régalien ou non, entre en collision frontale avec la notion de DAO puisque la confiance y est assurée par l’équilibre et le respect des valeurs de tous les membres de la communauté…

Quelle protection juridique?

Les questions qui se posent déjà en matière de protection juridique dans le métavers sont légion. Quelques exemples?

Est-ce qu’il y aura encore un domaine public dans le métavers ?

Comment est gérée la propriété intellectuelle d’un avatar? Ou les droits sur un objet virtuel?

balance, justiceUn avatar a-t-il des droits? Peut-on “poursuivre” un avatar pour comportement déviant ou abusif? Vous y voyez une question stupide? Certes, en principe, seul le “propriétaire” de l’avatar, la personne qui l’a créé pour la personnifier dans le métavers, devrait être responsable.

Encore faut-il pouvoir relier avatar et “propriétaire”, comme on l’a déjà vu. Exemple de difficulté: si l’accès à un métavers et à la capacité de créer un avatar est simplement lié à la création d’un compte pour lequel la seule vérification effectuée est la fourniture d’une adresse de courriel, quid si cette adresse est bidon ou anonyme, créée sur l’une de ces plates-formes cloud passoires?

Toujours pour cette question de “responsabilité de l’avatar”, quid si le profil numérique créé à l’origine par l’utilisateur a évolué de lui-même, grâce aux algorithmes auto-apprenants, adoptant, inventant de nouveaux comportements, qui n’auront pas forcément été validés explicitement par le “propriétaire”?

Qui par ailleurs pour “réguler” les métavers?

A qui appartiennent les métavers – pas l’infrastructure mais les créations, interactions…? A ceux qui les créent, à ceux qui mettent les outils de création à disposition? Ces créations sont-elles protégeables? Le droit d’auteur s’applique-t-il aux “skins” dont on habille son avatar? Tentative de réponse de Philippe Laurent, avocat spécialisé en IT et propriété intellectuelle, attaché au cabinet MVVP: “Lisez les conditions générales de vente.” Vérifiez ce que prévoit le prestataire, l’hébergeur. “S’agit-il d’un simple droit d’utilisation? Les conditions générales de vente détermineront la “propriété” des avatars”.

Quid des NFT, ces Non Fongible Tokens, qu’on peut revendre, qui peuvent potentiellement passer d’un métavers à l’autre, répondant à des conditions juridiques différentes? “C’est actuellement la jungle”, estime Philippe Laurent. “Les gens ne savent pas ce qu’ils achètent.”

A ses yeux, avec le métavers, c’est la notion-même de droit des biens qui va être remise en question.

“Possession vaut titre”. C’est la règle – du moins dans la vie réelle. Qu’en est-il dans le virtuel? “Comment apporter la preuve que vous possédez l’objet virtuel? Possèdera-t-on un sac, une chaussure, un terrain, un immeuble virtuel? Devra-t-on, à terme, introduire la notion de notaire dans le métavers? Ce rôle a été imaginé, dans le monde réel, pour se protéger, éviter les transferts de biens qui se faisaient en se tapant simplement dans la main…” Qu’en sera-t-il demain dans le virtuel? Doit-on prévoir des tiers de confiance pour métavers? La blockchain et le principe des “smart contracts” suffiront-ils? Quid des métavers qui ne s’appuieront pas sur la blockchain?

Comment les acteurs – qu’ils soient prestataires, créateurs, utilisateurs – des métavers peuvent-ils espérer protéger, d’un point de vue juridique, leurs données, droits, identité(s), authenticité des transactions, etc.?

Impossible de répondre, dans l’état actuel des choses, à cette question. Tout d’abord, parce que la notion-même de métavers est encore floue. Comme celle d’ailleurs d’“avatar”, cette “personnification dans le monde virtuel, qui est potentiellement appropriable comme tout actif numérique et virtuel”, souligne Philippe Laurent.

Ensuite, parce qu’il s’agit d’un amalgame de technologies et d’éléments qui, eux-mêmes, chacun de son côté, implique déjà une complexité. “Le cloud, l’intelligence artificielle, la blockchain, les crypto-actifs, tous ces éléments qui interviennent dans le métavers sont déjà, en soi, juridiquement compliqués.

D’un point de vue vie privée, par exemple, le travail s’annonce colossal en raison de la complexification. Chaque fois qu’en matière numérique et de virtualisation, on monte d’un cran, on monte en puissance en termes de traitement des données.

Dans le métavers, chaque mouvement, chaque action dans le monde virtuel est captée par le casque. Cela génère un volume considérable de données. A donner le vertige. Des données retraçables à tout moment, même si toutes n’ont pas été enregistrées.

Des données qui, de plus, touchent de plus en plus à l’intime. Qui aura accès aux données d’un avatar lié à un profil? Un pseudo sera-t-il utilisable? Comment lever la protection de pseudonymisation pour déterminer qui se cache derrière l’avatar, par exemple en cas de comportement asocial, délictuel? Comment poursuivre de tels comportements se déroulant dans le métavers?”

Autre aspect de cette complexité qui rend encore incertaine la manière dont le juridique va se saisir du sujet: “les implémentations de métavers toucheront tous les secteurs. Or, ils répondent à des systèmes régulatoires différents, en termes de droit d’auteur, de droits de reproduction, de droit des marques…”.

A lire également à ce sujet l’article de Philippe Laurent listant, sans être exhaustif, les différentes législations ou projets de réglementation qui pourraient s’appliquer au métavers.

Régulation et législation – oui, peut-être, quoique… ?

L’Europe peut-elle, devrait-elle, proposer, imposer un cadre légal spécifique, “encadrer” le métavers?

En substance, la position d’Axel Legay (UCLouvain) est de mettre en garde contre une démarche similaire à celle qui a vu naître le RGPD. A trop vouloir réguler, réglementer, le risque est de faire office de repoussoir pour tous les acteurs extra-européens. 

protection, sécurité, privacy, vie privéeLe risque, c’est évidemment, le côté insaisissable des responsabilités. Une loi peut toujours imposer certaines choses, souligne Axel Legay, mais le problème, c’est la capacité à prouver qu’il y a eu vol de données, comportement illicite, non respect des engagements ou des prétendues barrières techniques. La fameuse charge de la preuve…

Et si le principe d’un ou plusieurs métavers créant un monde virtuel globalisé s’impose, si l’on transcende ainsi encore un peu plus les frontières nationales, voire continentales, comment intervenir face à des pays aux législations disparates? “La seule chose potentiellement envisageable serait de séparer les continents, les pays. Mais comment faire? Un concert virtualisé dans le métavers ne serait-il accessible qu’aux seuls Européens?”

A tout le moins, avant de s’aventurer dans un métavers, mieux vaut donc savoir qui en est le concepteur, le maître des clés d’accès, le concepteur des règles… parce que – simple rappel – “les GAFAM, les BATX, les Samsung de ce monde, n’ont pas la même perception de la vie privée que nous”.

D’où l’intérêt que certains voient à une prise de position et à la définition d’une stratégie, tout au moins d’un cadre, au niveau européen. Voir notre article “Et l’Europe dans tout ça?” ainsi que l’interview que nous a accordée Henri Verdier, ambassadeur français au numérique.

Partager

Envie d’apporter votre voix dans le débat ?

Les commentaires sont réservés à nos abonnés.

Déjà inscrit(e) ?