Les Jeux Olympiques de Pyeongchang n’ont pas fait exception: une fois de plus, les hackers étaient de la partie. Ils ont même frappé avant même le début de la compétition en s’invitant à la cérémonie d’ouverture : un malware baptisé Olympic Destroyer a alors attaqué simultanément le réseau Pyeongchang2018.com, celui des stations de ski et ceux des serveurs d’Atos, le prestataire informatique de l’événement. Ce ver informatique s’est ensuite propagé automatiquement à travers les partages réseaux Windows, rendant le site officiel des JO et la connexion du wifi du stade inutilisable, empêchant la retransmission de l’événément, bloquant les portes automatiques et ascenseurs de plusieurs infrastructures hotellières,…Cet épisode démontre bien tous les enjeux que représente un événement sportif international pour des pirates informatiques, quelques soient leurs motivations, et les conséquences d’une attaque informatique le ciblant spécifiquement. A l’approche des grands évènements qu’accueillera la France en 2023 et 2024, il convient de s’interroger sur les risques cyber pesant sur les grands tournois et compétitions majeurs.

 

1 Les évenements sportifs, des cibles de choix ….

Attendus par des supporters du monde entier, les grands évènements sportifs cristallisent les passions et génèrent un business de plusieurs centaines de milliards d’euros par an. Les tentations des criminels, activistes et terroristes sont exacerbées par leur portée, qu’ils souhaitent s’arroger une part de cet énorme gâteau, diffuser massivement leurs messages idéologiques, ou mener leurs actions sur ce nouveau terrain de jeu.

La numérisation du sport est une formidable opportunité. Les nouvelles technologies améliorent les performances et l’entraînement des athlètes, améliorent l’expérience sensorielle des spectateurs, et aident aux décisions des juges et arbitres. Mais chaque nouvelle opportunité apporte son lot de nouvelles menaces. Ces technologies numériques, objets connectés, systèmes industriels et temps-réels, présentent tous une inéluctable surface de vulnérabilité. Les derniers JO l’ont bien montré : 12 millions d’attaques par jour repértoriées à Pékin en 2008, 212 millions de connections frauduleuses à Londres en 2012, et 200 évènements à risque à Sotchi la même année.

Les attaques sont larges, du vol de données confidentielles sur les athlètes au blocage du système de diffusion des résultats. Par exemple, la Coupe du Monde de Football au Brésil en 2014 a été le théâtre d’une large gamme d’attaques informatique : vol et diffusion de données confidentielles du ministère des Affaires étrangères et de bases de données liées à l’événement, attaques en déni de service, DDos ou de défiguration de sites Web, attaques sur les distributeurs de billets de banque, trafic de téléphone portables, fraude sur les billets d’accès au stade, faux sites de pari sportif… De même les JO de Rio en 2016 ont été la cible de ransomwares téléchargés par le biais de sites sensés présenter les résultats des compétitions, campagnes de phishing ciblées, compromission de spots Wifi non sécurisés permettant l’injection de chevaux de Troie bancaires… Plus récemment, le groupe de hackers russes Fancy Bears a dévoilé une liste de footballeurs ayant bénéficiés d’une autorisation d’usage de produits à des fins thérapeutiques pendant la Coupe du Monde 2010 en Afrique du Sud.

 

2 Pour des auteurs aux profils et motivations variés …..

Les motivations peuvent bien sûr être pécunières, l’augmentation du volume de transactions financières liées à un grand événement sportif constituant un vecteur d’attraction.

Le retentissement médiatique mondial d’un grand événement sportif, ainsi que la notoriété des sportifs de haut niveau, font aussi l’effet d’une caisse de résonnance pour les différentes idéologies véhiculées par les hacktivistes. Le sport devient dans ce cas un support à l’expression de contestations politiques ou sociétales. Le pays organisateur focalise l’attention de ses ennemis idéologiques, politiques ou économiques, pour lesquels l’échec de la compétition constitue un moyen de déstabilisation efficace. De même le Qatar, pour l’organisation de la Coupe du Monde de la FIFA en 2022, est déjà la cible d’Etats rivaux.

Enfin, un événement sportif international représente aussi une cible de choix pour des groupes terroristes, qui peuvent choisir de mener leurs actions dans le cyberespace. Les menaces de Daesh proférées avant les JO de Rio ont ainsi été prises très au sérieux par les autorités.

 

3 …capables de lancer des attaques de natures multiples.

Une première catégorie d’attaques vise d’abord l’organisation de l’événement, à commencer par les infrastructures et notamment les stades. Des dizaines de milliers de personnes se retrouvent au même moments dans ces batiments de plus en plus automatisés, connectés, et gérés par des systèmes informatiques complexes de type « Building Management Systems ». Ascenseurs, climatisation, systèmes de sécurité physique, systèmes de vidéo et audio diffusion, systèmes d’aide à l’arbitrage, Wifi public… tous présentent des failles de sécurité pouvant faciliter des cyber-attaques. Les scénarios imaginables sont nombreux : sabotage de l’air conditionné ou de l’infrastructure électrique du stade ; prise de contrôle des systèmes d’affichage pour la diffusion d’images de propagande ; piratage des Wifi publics visant le vol de données ou l’injection de malwares; leurrage ou déni de service des équipements de mesure de la performance sportive ou des systèmes d’aide à l’arbitrage… Des attaques à visée terroriste sont également envisageables à l’extérieur des stades : induction de panique dans un stade (alerte à la bombe ou message d’évacuation générale) suivi d’un attentat suicide ou d’une bombe à la sortie du stade, hacking des systèmes de vidéo-surveillance, de détection de métaux / explosifs pour faciliter l’entrée d’individus armés…

De même, les infrastructures d’acceuil constituent également des cibles de choix car elles sont de plus en plus numérisées et que leur sécurité informatique laisse souvent à désirer. Ainsi, une douzaine de clients du Lakeside Alpine Hotel, en Autriche, ont été bloqués dans leurs chambres par un ransomware fin 2016. On peut ainsi imaginer un sabotage de la qualité de l’eau courante, de la génération ou de la distribution électrique, des climatisations, ou des attaques informatique sur les infrastructures médicales… Car une cyber-attaque peut toucher tout équipement numérisé, même le plus anodin, même non connecté à Internet, et les cibles les plus critiques ne sont parfois pas celles auxquelles on pense immédiatement, d’autant que les moyens techniques nécessaires ne sont pas d’une complexité extrême vu le peu de protection de certains systèmes.

Une seconde catégorie d’attaque vise les sportifs eux-même : campagnes de dénigrement (publication de photos /vidéo compromettantes, de contenus de boites mails…), vol de données sur leurs stratégie de jeu, falsification de leurs performances ou données médicales pour faire apparaître de faux cas de dopage, prise de contrôle de l’affichage des scores…

Ensuite, les grandes compétitions sportives génèrent un business considérable qui représente une cible privilégiée à la fois pour les cybercriminels et les hacktivistes: sponsors, produits dérivés, droit de retransmission, salaire des joueurs, tickets d’accès aux stades, afflux de supporters prompts à la dépense… Les scénarios d’attaque, encore une fois, sont nombreux : attaque du réseau de retransmission empêchant la télédiffusion, achat de tickets via des réseaux de botnets suivi d’une revente au marché noir, attaques en déni de service sur les sites officiels de la compétition pour perturber l’achat des billets ou sur les sites de paris en ligne, piégeage des terminaux de paiement et distributeurs automatiques aux abords des stades..

Enfin, des attaques peuvent également viser les systèmes informatiques de l’Etat hôte, dont le gouvernement assure l’arrivée et l’accès des visiteurs, la sécurité et la légalité de l’événement, la communication et le transport, l’accès à l’information… On peut craindre à leur encontre des arnaques à la délivrance de visa, des perturbations du système par DDoS, le défacement des sites Web des gouvernements, voire le vol de données confidentielles ou de contenus de boites mails de responsables qui peuvent être divulguées ou exploitées à des fins de renseignement…

 

4 Recommandations

En amont des compétitions, bien se préparer au risque est indispensable. Les spécifications des équipements utilisés doivent absolument intégrer la cybersécurité « by design », et des tests de vulnérabilité doivent être conduits avant toute mise en œuvre. Il convient d’abord de mettre en place, en amont de l’événement, une unité de Cyber Threat Intelligence capable d’identifier en temps-réel toute vulnérabilité externe ainsi qu’un ou plusieurs Security Operational Center pour coordonner l’ensemble des actions de sécurité numérique. Pendant la compétition, une équipe de « pompiers du numérique » suffisamment bien dimensionnée (CERT, CSIRT), doivent être mis à disposition de toutes les structutres impliquées. En cas d’attaque bloquante, un plan de continuité et de reprise d’activité permettra de faire face à la crise. Les acteurs impliqués dans ces processus étant très nombreux, un centre dédié au partage des informations de sécurité, comme l’ISAO (Information Sharing and Analysis Organization) aux Etats-Unis permet de surveiller, analyser et répondre aux risques cyber spécifiquement liés au sport. De manière générale, les Etats et les organisations sportives, doivent améliorer leur coopération sur le sujet au sein d’organisation comme CIO, FIFA, Rugby League, UEFA, Ligues Américaines, CAN…Les enjeux financiers et humains sont en effet tels que les diverses organisations doivent mieux coopérer et allier leurs efforts, pour que les grands évènements sportifs puissent rester les succès populaires qu’ils sont aujourd’hui.

 

Pour accéder à la publication complète : https://ceis.eu/fr/note-strategique-securite-des-grands-evenements-sportifs-janvier-2018/

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.