En décembre 2021, nous avons discuté des risques potentiels pour la vie privée du métaverse sur le blog PIA, le terme actuel pour ce qu’on appelait autrefois la réalité virtuelle. Cela ne semble peut-être pas si lointain, mais la technologie, et en particulier celle qui peut être utilisée pour vous identifier parmi un immense bassin d’utilisateurs inconnus, a parcouru un long chemin à cette époque.
Les chercheurs ont découvert que, lorsque vous utilisez des casques de réalité mixte, vous pouvez être identifié dans le métaverse avec une précision de plus de 94 % simplement par le mouvement de votre main. Et ce n’est que le début.
Si vous souhaitez explorer le métaverse sans être identifié contre votre gré, les mêmes chercheurs ont mis au point un plugin qui brouille vos attributs utilisateur. Il s’agit d’une solution efficace, bien que détournée, au manque de confidentialité dans l’itération actuelle du métaverse.
L’innovation du métaverse précède la confidentialité
À cette époque, le problème était en grande partie théorique, mais depuis lors, les chercheurs ont étoffé les bases des premiers commentaires. Par exemple, en juillet 2022, trois chercheurs travaillant au Center for Responsible Decentralized Intelligence de l’UC Berkeley ont enquêté sur ce qu’ils ont appelé plus tard le «Risques de confidentialité sans précédent du métaverse.” Le format de base consistait pour les sujets à accomplir une série de tâches dans une «salle d’évasion virtuelle». Pendant que les participants exécutaient ces tâches, les chercheurs ont analysé les actions et les réactions pour déterminer un certain nombre de caractéristiques personnelles clés. Une personne qui a participé à la recherche, le pionnier de la réalité virtuelle Louis Rosenberg, a écrit un article pour VentureBeat résumant la découverte la plus importante:
les chercheurs ont pu utiliser mes interactions dans la salle d’évasion pour prédire ma taille, la longueur de mes bras (envergure), ma latéralité, mon âge, mon sexe et des paramètres de base sur mon niveau de forme physique, y compris à quel point je pouvais m’accroupir vers le bas et à quelle vitesse je pouvais réagir aux stimuli. Ils ont également été en mesure de déterminer mon acuité visuelle, si j’étais daltonien et la taille de la pièce avec laquelle j’interagissais, et de faire des évaluations de base de mon acuité cognitive. Les chercheurs auraient même pu prédire si j’avais certains handicaps.
L’expérience a également permis aux chercheurs d’établir l’emplacement d’un participant. Rosenberg note que même l’utilisation d’un VPN n’aurait pas préservé ces informations privées : les applications métaverses envoient généralement un ping à plusieurs serveurs, ce qui permet d’utiliser une sorte de triangulation pour établir l’emplacement physique de l’utilisateur.
Dans un autre article, Rosenberg a expliqué comment les données personnelles pouvaient se traduire par de nouveaux types de pratiques prédatricesy compris les placements de produits virtuels et les porte-parole virtuels.
Vos données sont à saisir dans le métaverse
Mais des travaux plus récents de chercheurs de l’UC Berkeley et d’ailleurs révèlent que les problèmes de confidentialité du métaverse sont encore plus profonds que ne le suggère ce qui précède. Il s’avère que le flux de données le plus élémentaire produit par les interactions avec un monde virtuel – les données de mouvement simples – est suffisant pour identifier un utilisateur avec une très grande précision.
Seuls trois points de données sont nécessaires : le mouvement de la tête de l’utilisateur et de chaque main. Les chercheurs ont découvert qu’un utilisateur peut être identifié de manière unique parmi un groupe de plus de 50 000 personnes avec une précision de 94 % à partir de 100 secondes de données de mouvement. Avec 10 secondes de données, leur système a tout de même atteint une précision de 73 %. Commentaires de Rosenberg:
Encore plus surprenant, la moitié de tous les utilisateurs pouvaient être identifiés de manière unique avec seulement 2 secondes de données de mouvement. Atteindre ce niveau de précision nécessitait des techniques d’IA innovantes, mais encore une fois, les données utilisées étaient extrêmement rares – seulement trois points spatiaux pour chaque utilisateur suivi au fil du temps.
En d’autres termes, chaque fois qu’un utilisateur met un casque de réalité mixte, saisit les deux manettes standard et commence à interagir dans un monde virtuel ou augmenté, il laisse derrière lui une trace d’empreintes digitales qui peuvent les identifier de manière unique.
Ces résultats soulèvent naturellement la question : peut-on faire quelque chose pour préserver la vie privée dans le métaverse, ou sommes-nous sur le point d’entrer dans un monde numérique où nous pouvons toujours être suivis ? Rosenberg n’a aucun doute:
La confidentialité du métaverse est possible, mais peu probable sans lois
Il est essentiel que nous réglementions ce domaine, exigeant que des tiers nous informent ouvertement chaque fois que nous interagissons avec des agents axés sur l’agenda contrôlés par des algorithmes intelligents. Ceci est particulièrement important si ces algorithmes surveillent également nos réactions, par exemple en évaluant notre posture, notre respiration et même notre tension artérielle, permettant aux agents conversationnels d’ajuster habilement leur stratégie de messagerie en temps réel. Ce niveau extrême de manipulation interactive se produira à moins qu’il ne soit formellement restreint.
Élaborer des réglementations et les faire adopter est un processus lent et difficile – regardez combien de temps il faut pour obtenir des protections de la vie privée même de base aux États-Unis, et à quel point les entreprises ont férocement fait pression contre le RGPD de l’UE.
En fait, ce qu’on appelle le Cadre de confidentialité et de sécurité XRSI a été publié en 2020. Il est basé sur un large éventail de normes, de lignes directrices et de meilleures pratiques connexes. Il intègre les exigences de confidentialité tirées du RGPD, des directives de l’Institut national des normes et de la technologie, de la loi sur les droits éducatifs et la confidentialité de la famille et de la règle de protection de la confidentialité en ligne des enfants. C’est un document intéressant, mais il n’est pas clair qu’il ait eu un impact sur la protection de la vie privée dans le métaverse depuis sa publication.
Comment protéger votre vie privée dans le métaverse
En attendant que les législatures rattrapent le retard technologique, il existe peut-être une autre approche. Inspirée par la popularité du « mode incognito » sur les navigateurs Web, l’équipe de l’UC Berkeley a développé un plug-in open source côté client qui cherche à obtenir un résultat similaire pour l’utilisation du métaverse.
L’idée de base est simple : ajouter de petites quantités de bruit numérique aux attributs utilisateur sensibles qui peuvent être extraits des flux de données métavers, comme décrit ci-dessus. En effet, les flux de données «mentent» sur la personne qui utilise le système, la faisant paraître plus grande, plus lente, plus âgée, etc. qu’elle ne l’est réellement.
Le degré de bruit peut être ajusté, de sorte que les situations qui nécessitent des degrés de précision des données plus élevés – par exemple les jeux – puissent toujours fonctionner avec au moins une protection minimale de la vie privée. Pour les applications particulièrement sensibles, des niveaux élevés d’obscurcissement des données peuvent être appliqués. En utilisant cette approche, il est même possible d’atténuer l’impact du problème de triangulation des serveurs en retardant artificiellement les paquets de données pour masquer les vrais temps d’aller-retour.
C’est une approche intelligente qui vous aide à obtenir plus de confidentialité dans le métaverse, mais avec l’inconvénient évident d’exiger l’installation d’un plug-in sur le système client – ce que tous les utilisateurs ordinaires ne souhaitent pas ou ne peuvent pas faire. Le fait que quelque chose d’aussi sophistiqué que l’obscurcissement des données personnelles soit nécessaire est une indication des défis qui nous attendent si nous souhaitons préserver notre vie privée dans les mondes virtuels.
Image sélectionnée créée avec Diffusion stable.
