Par Vincent Riou, Directeur Cybersécurité, et Ilona Ignatova, Consultante Cyber Risques, CEIS
Les grands évènements sportifs, attendus par des populations de supporters du monde entier, cristallisent les passions et génèrent un business de plusieurs centaines de milliards d’euros tous les ans. Les tentations des criminels, activistes et terroristes sont exacerbées par la portée de ces évènements, et ce, quelles que soient leurs motivations.
La numérisation du sport est une formidable opportunité. Les nouvelles technologies améliorent les performances et l’entraînement des athlètes, l’expérience sensorielle des spectateurs et aident les juges et arbitres dans leurs prises de décisions. Cependant, chaque nouvelle opportunité apporte son lot de nouvelles menaces. Ces technologies numériques, objets connectés, systèmes industriels… présentent tous une inéluctable surface de vulnérabilité, souvent favorisée par une hyper-connexion. « Si je devais choisir un seul défi, ce serait celui de la sécurité. Il y a de nombreuses menaces terroristes à travers le monde. Il ne s’agit pas uniquement d’une menace physique, mais aussi d’une menace de cyberterrorisme » déclarait au journal Japan Times, en avril dernier, Toshiro Muto, Directeur Général du Comité d’organisation des Jeux Olympiques de Tokyo. Ainsi, le ministère de l’Intérieur et des Communications japonais a lancé un plan de mesures d’environ 150 millions d’euros pour la cybersécurité sur la période 2016-2020.
Des attaques par millions
Atos, qui fournit l’infrastructure informatique des JO depuis 1992, a répertorié plus de 12 millions d’attaques par jour lors des Jeux Olympiques de Pékin en 2008, dont 420 évènements à risque. Lors des JO de Londres, 212 millions de connections frauduleuses ont été détectées. 200 évènements à risque ont été détectés et traités lors des JO d’hiver à Sotchi en 2012. La Coupe du Monde de Football au Brésil en 2014 a été le théâtre d’une large gamme d’attaques informatique. Des hacktivistes ont réussi à voler puis diffuser des données confidentielles du ministère des affaires étrangères, et ont lancé de très nombreuses attaques en déni de service (DDoS). Les Anonymous, entre autres, ont lancé des dizaines d’attaques DDoS ou de défiguration de sites web afin de protester contre la corruption et l’injustice économique constatées dans le pays. Des bases de données liées à l’événement ont aussi été diffusées ainsi que 450 comptes mails avec mots de passe de membres du gouvernement brésilien. Côté cybercriminalité, de nombreuses attaques sur les distributeurs de billets de banque, du trafic de téléphones portables, de la fraude sur les billets d’accès au stade, de faux sites de pari sportif ont été répertoriés… Deux ans plus tard, lors des JO de Rio, de nombreux ransomwares ont été téléchargés par le biais de sites sensés présenter les résultats des compétitions, de larges campagnes de phishing ciblées et la compromission de spots Wifi non sécurisés permettant l’injection de chevaux de Troie bancaires ont été répertoriées.
Plus récemment, le groupe de hackers russes Fancy Bears a dévoilé une liste de footballeurs ayant bénéficié d’une autorisation d’usage de produits à des fins thérapeutiques pendant la Coupe du Monde 2010 en Afrique du Sud. En 2016, ces hackers russes avaient déjà fait fuiter les données médicales d’une trentaine d’athlètes, dont celles des sœurs Williams. Enfin, lors de la Coupe du Monde de Football qui s’est déroulée en Russie cet été, près de 25 millions de cyberattaques auraient été déjouées.
Des motivations multiples
La cybercriminalité est évidemment attirée par l’augmentation du volume de transactions financières liées à un grand événement sportif. L’insouciance des supporters facilite les arnaques en tout genre. Dans le cas de ransomwares visant des entreprises travaillant au succès de l’évènement, ces dernières seront plus enclines à payer, au vu des enjeux calendaires et politiques liées au succès de celui-ci.
Pour des hacktivistes, le retentissement médiatique mondial de ces grands événements offre une caisse de résonance pour véhiculer leurs différentes idéologies. Ainsi, comme au Brésil en 2014 et 2016, leurs revendications n’étaient pas sportives mais bien politiques.
Autre motivation, celle de la cyberguerre. Certains Etats voient en l’échec de la compétition un moyen de déstabilisation du pays visé. Le Qatar, pour l’organisation de la future Coupe du Monde de la FIFA en 2022, est déjà la cible d’Etats rivaux. Et si la Corée du Sud, organisatrice des JO d’hiver 2018, a récemment autorisé la venue d’une délégation de sportifs nord-coréens, c’est vraisemblablement aussi pour limiter les risques de sabotage de la compétition par voie numérique.
La menace terroriste pèse enfin sur tout événement international et peut être facilitée par des actions dans le cyberespace. Des délégations de certains pays peuvent être visées. Des menaces de Daesh ont été proférées avant les JO de Rio. Une menace prise très au sérieux, car même si le Brésil, qui ne fait pas partie de la coalition internationale luttant contre Daesh en Syrie et en Irak, n’est pas une cible évidente, un événement aussi médiatisé et rassemblant des personnalités du monde entier reste une cible de choix pour les terroristes.
Des infrastructures en première ligne
Au sommet de ces infrastructures se trouvent les stades, de plus en plus automatisés, connectés et gérées par des systèmes informatiques complexes de type « Building Management Systems ». Ascenseurs, climatisation, systèmes de sécurité physique, systèmes de vidéo et audio diffusion, systèmes d’aide à l’arbitrage, Wifi public… Comme l’ensemble des équipements numériques, tous ces systèmes présentent des failles de sécurité pouvant conduire à des cyber-attaques.
Plusieurs scénarios doivent être envisagés : sabotage de l’air conditionné, de l’infrastructure électrique du stade, piratage général des systèmes des réseaux Wifi publics avec vol de données sur les équipements mobiles compromis ou injection de malwares, déni de service des équipements de mesure de la performance sportive ou des systèmes d’aide à l’arbitrage…
En dehors du stade, les infrastructures d’accueil des délégations, officielles ou hôtelières, sont de plus en plus numérisées. A l’image du hacking du « Lakeside Alpine Hotel » en Autriche fin 2016, où une douzaine de clients se sont vus bloqués dans leurs chambres à cause d’un ransomware, la sécurité informatique de ces infrastructures n’est pas toujours à la hauteur. Imaginez toute une équipe bloquée dans son hôtel le matin même de la Finale d’une Coupe du Monde… Que se passerait-il si, au lieu d’une demande de rançon, le système informatique avait définitivement bloqué l’ouverture des portes ?
Parmi les scénarios possibles, le sabotage des transports (métro, trains, signaux de trafic routier, aéroports) doit être pris au sérieux. Ces systèmes sont généralement bien protégés, mais une attaque avancée peut néanmoins être conduite par des organisations bien structurées à l’image de juin 2015, lorsque la compagnie aérienne nationale polonaise LOT a annoncé l’annulation de 20 vols suite à une cyberattaque contre l’aéroport à Varsovie. A l’avenir les futurs systèmes de navettes autonomes acheminant les spectateurs pourraient aussi être visés. Le sabotage de la qualité de l’eau courante, de la génération ou de la distribution électrique ou des climatisations automatiques doivent également être des risques à anticiper.
Sportifs et délégations visés
Dans un but de dénigrement, des campagnes massives visant des sportifs ou des équipes peuvent être orchestrées pour porter atteinte à leur moral : diffusion de données personnelles, fake news… Ceci peut s’orchestrer en amont ou pendant la compétition, dans la relative impunité offerte par les techniques d’anonymisation sur le Net.
Le vol de données sur leurs stratégies de jeu est aussi une menace potentielle, tout comme la falsification des performances. Des données médicales pourraient en effet être falsifiées pour faire apparaître des cas de dopage qui n’en sont pas et discréditer un sportif pendant une compétition.
L’arrivée future de nouveaux systèmes électroniques et d’intelligence artificielle permettant de juger la performance d’un athlète n’est pas sans risques. Hauteur d’un saut à ski, attitude physique d’un gymnaste, temps au centième de seconde lors d’une course de natation… Ces systèmes apportent précision et rapidité d’analyse. Mais si ces systèmes fournissaient systématiquement des informations erronées mais crédibles, favorisant un athlète ou un pays et que ces erreurs soient le fait d’un piratage informatique… Chaque nouvelle opportunité s’accompagne de nouveaux risques.
Atteindre le business du sport
Les grandes compétitions sportives sont l’un des business les plus importants de la planète : sponsors, produits dérivés, droit de retransmission, tickets d’accès aux stades… Dès lors, la cybercriminalité va viser l’ensemble des flux financiers liés à l’événement. Les hacktivistes y verront également une occasion unique de toucher une large audience.
Parmi les scénarios possibles, l’attaque du réseau de retransmission (Broadcasting) de la compétition. Un scénario, rappelant celui de TV5 Monde, rendant impossible toute télédiffusion des compétitions pendant des jours, est tout à fait réaliste. La propagation de malwares via les nombreux sites pirates de retransmission des compétitions ou encore l’achat massif de tickets via des réseaux de botnets, puis revente au marché noir ne sont pas à exclure. Le piégeage des terminaux de paiement et distributeurs automatiques aux abords des stades pour voler des données bancaires, des campagnes de dénigrement de sponsors ou des attaques en déni de services pourraient aussi être nombreuses.
L’Etat hôte : une autre victime potentielle
L’organisation des grands événements sportifs dépend fortement du soutien des services gouvernementaux du pays hôte qui assure l’arrivée et l’accès des visiteurs, la sécurité et la légalité de l’événement, la communication et le transport, l’accès à l’information et d’autres tâches administratives. Avec l’afflux de visiteurs entrant dans le pays, les services consulaires devront être rapides et efficaces dans la délivrance des visas. Les systèmes nécessaires pour enregistrer les informations requises et traiter l’émission des visas devront être protégés contre les acteurs malveillants cherchant à interrompre le service, à voler l’information ou à faire des bénéfices grâce à de l’intermédiation de services. Il existe ainsi plusieurs sites non officiels permettant de demander un ESTA (Electronic System for Travel Authorization) pour l’entrée aux Etats-Unis. Ces sites facturent entre 60 et 80 dollars US, alors que le site officiel n’en demande que 14…
Le safe sera le garant du smart
En amont des compétitions, bien se préparer au risque est indispensable. Les spécifications des équipements utilisés doivent absolument intégrer la cybersécurité « by design », et de nombreux tests de vulnérabilité doivent être conduits avant toute mise en production ou acceptation par les décideurs. Cette méthodologie ne pourra être mise en place que si la prise de conscience du risque est effective. Il est donc nécessaire de mettre en place, très en amont de l’événement, une cellule d’analyse et d’investigation sur les risques potentiels ou avérés, au niveau stratégique, puis opérationnel. Cette cellule élaborera des scénarios d’attaques sur tous les domaines identifiés, et les personnels en charge de la sécurité informatique s’entraîneront à faire face à un grand nombre d’attaques.
Tous les acteurs doivent être impliqués, cela impose donc la mise en place d’une politique nationale de cybersécurité efficace, en coordination avec les nations participantes et les organismes internationaux en charge de la sécurité.
Une fois les systèmes critiques identifiés, la mise en place amont d’une unité de Cyber Threat Intelligence capable d’identifier en temps réel toute les vulnérabilités externes semble cruciale. En interne, un ou plusieurs Security Operational Center seront à déployer, coordonnant l’ensemble des actions de sécurité numérique.
Pendant la compétition, une équipe de « pompiers du numérique » suffisamment bien dimensionnée sera à disposition de toutes les entités concernées, 24h sur 24. Au besoin, l’Etat hôte pourra faire appel à une structure de réservistes opérationnels pour faire face à une attaque de grande ampleur. En cas d’attaque bloquante, un plan de continuité et de reprise d’activité aura été mis en place et testé au réel lors d’exercices de crise grandeur réelle effectués en amont.
Les acteurs étant très nombreux, il conviendra de monter un centre dédié au partage des informations de sécurité, à l’image de l’ISAO (Information Sharing and Analysis Organization) aux Etats-Unis qui surveille, analyse et répond aux risques cyber spécifiquement liés au sport. Après l’événement, le partage d’information doit continuer entre les Etats et les organisations sportives, qui doivent améliorer leur coopération sur le sujet afin que les pays hôtes suivant puissent améliorer sa préparation.
Les enjeux financiers et humains sont tels que les diverses organisations doivent mieux coopérer et allier leurs efforts, pour que les grands évènements sportifs puissent rester les succès populaires qu’ils sont aujourd’hui.
La notre stratégique publiée par CEIS est consultable dans son intégralité sur le site www.ceis.eu