JO & cyber-attaques : plus haut, plus loin, plus fort ?

Les grandes compétitions sportives internationales sont désormais l'objet d'attaques informatiques massives, ce qui représente un défi de taille pour les équipes en charge de la cybersécurité. Ainsi, lors des JO de Tokyo, en 2021, 450 millions de tentatives de cyberattaques avaient été repérées, en amont et pendant la compétition. Il en sera de même pour les Jeux Olympiques (26 juillet-11 août) et Paralympiques (28 août-8 septembre) de Paris (JOP). Même s'il est prématuré de préciser dès à présent quand les attaques auront lieu, une chose est sûre : elles auront bel et bien lieu. En raison de la surface d'exposition mondiale que représentent les Jeux (4 milliards de téléspectateurs, 13 millions de spectateurs, 15 000 athlètes), du contexte national et international dans lequel ils s'inscrivent, des flux physiques et financiers qu'ils génèrent, cette manifestation sportive constitue une aubaine pour les cyberattaquants. Première partie de notre série : pourquoi les JOP constituent-ils un terrain de jeu propice aux cyberattaques ? Quels buts poursuivent les cyberattaquants ?

1 - Les JOP : un événement propice aux attaques

Les JO constituent des cibles privilégiées pour les cyberattaques, en raison de leur surface d’exposition et dont les conséquences technologiques, industrielles et financières ont acquis une ampleur considérable. Parce que les JOP attirent une large audience (4 milliards de téléspectateurs, 13 millions de spectateurs, 15 000 athlètes attendus du 26 juillet au 14 août prochains), ils constituent un moment propice pour mener des actions cybercriminelles visant le public comme les organisateurs au sens large, selon diverses modalités. Pour quelles raisons ?

Raisons endogènes :

1 – De par leur ampleur, l'organisation et le déroulement de manifestations sportives internationales comme les JOP reposent sur un grand nombre de systèmes d'information : sites web, gestion des fournisseurs, billetterie, flux vidéo, etc. Ces systèmes sont exploités par les parties prenantes - le Comité international olympique, les fédérations sportives nationales, les entreprises partenaires, notamment. Les autorités nationales et locales disposent également de systèmes d’information dédiés – a l’instar des services de sécurité ou des forces de l'ordre. Autant de cibles potentielles pour les cyberattaquants.

2 - La tenue des JOP leur confère une immense surface d'exposition, à l’échelle planétaire. Les parties prenantes, allant des PME jusqu'aux organisations sportives internationales, en passant par l’Etat français, présentent des niveaux de maturité en cybersécurité hétérogènes. De plus, ces systèmes sont potentiellement interconnectés, ce qui implique des risques de propagation d'attaques informatiques.

3 - Les systèmes informatiques ont peu à peu remplacé la gestion physique des événements. D’où de nouvelles formes d’interactions et de dépendances. Ainsi, les épreuves sportives des Jeux olympiques et paralympiques 2024 se dérouleront sur 38 sites de compétition. Plusieurs systèmes d'information seront directement impliqués dans le déroulement de ces événements, notamment pour la gestion des infrastructures physiques.

4 - L'interconnexion entre les différents systèmes d'information brouille la frontière entre le physique et l’IT, notamment en matière de sécurité. Ainsi, les systèmes de gestion technique des bâtiments, qui contrôlent les affichages, l'alimentation électrique, la climatisation, les contrôles d'accès et la vidéosurveillance des infrastructures sportives, sont potentiellement vulnérables.

5 - La forte concentration des médias présents (34 000 journalistes attendus venus du monde entier) constitue un terrain de jeu pour les hackers pour promouvoir leurs revendications, cause potentielle de pertes financières et d’atteintes à la réputation des organisations et pays hôtes. A l’opposé, côté médias, l'évolution des pratiques de visionnage des événements sportifs via streaming offre aux attaquants de nouvelles opportunités.

Enfin, la durée limitée et concentrée de l’événement (17 jours, puis 12 jours) renforce l’importance d’assurer la continuité des services et la disponibilité des systèmes d’information.

Raisons exogènes

1 - Les JOP Paris 2024 s‘inscrivent dans une séquence particulièrement chargée au niveau géopolitique international : leur précèdent des élections en Russie (16 mars dernier), puis des élections européennes à fort enjeu national (9 juin) et leur succèderont des élections aux Etats-Unis, également à fort potentiel de déstabilisation (5 novembre).

En toile de fond, deux événements majeurs dominent le paysage : l'invasion de l'Ukraine par la Russie en février 2022, facteur de tensions propices aux attaques informatiques. L'incertitude quant à la participation de la Russie aux Jeux de 2024 expose l'événement à des cyberattaques en guise de représailles. Une incertitude qui, corrélée à l'invasion de l'Ukraine, pourrait entraîner des attaques visant à entacher la réputation du pays hôte – la France - et perturber le bon déroulé de l'événement.

Par ailleurs, la résurgence du conflit israélo-palestinien sur la scène internationale depuis le 7 octobre 2023 constitue elle aussi un potentiel facteur de déstabilisation – à l’instar des JO de Munich en 1972.

2 – La situation politique et sociale de la France à l’orée des JO peut également favoriser des attaques à des fins revendicatives. Les actuelles menaces de grève dans les transports sont là pour le rappeler, à l’instar de celle qui frappa Air France, initiée par les pilotes de ligne à une semaine de l’ouverture de la Coupe du monde de football de 1998 en France.

3 – Ne négligeons pas les effets potentiels d'une crise sanitaire sur la tenue des Jeux Olympiques et et son impact sur la surface d’exposition aux attaques. Lors des Jeux olympiques de Tokyo (2020), l'absence de spectateurs étrangers et l’inclination des Japonais pour les paiements par carte bancaire au détriment des transactions en liquide ont impacté les surfaces d'attaque.

4 - Enfin, les Jeux Olympiques 2024 sont l’occasion de rassembler de nombreuses personnalités issues du monde de la politique ou des affaires, nationaux et internationaux. Une aubaine pour les cyber-attaquants, qui pourraient profiter de l’occasion pour tenter de compromettre leurs appareils et, par extension, les réseaux de leurs institutions ou sociétés.

2 – Attaquer les JOP : quel objectifs ?

Quels buts poursuivent les cyberattaquants en s’en prenant aux Jeux Olympiques ? Perturber, déstabiliser ou discréditer le pays hôte, les épreuves sportives qui s’y déroulent et la logistiques mise en place pour les spectateurs et téléspectateurs : tels sont les principaux buts recherchés par les cyberattaquants

Nuire à la réputation du pays hôte : Outre la menace pour la sécurité des biens et des personnes, les attaques informatiques peuvent nuire à l'image du pays hôte, notamment en s’attaquant aux infrastructures liées à l’organisation des JO (site officiel, billetterie) ou indirectement liées (sites de réservation d’hôtels, transports, énergies, fédérations sportives…).

Entraver les retombées économiques : Les attaques peuvent avoir des conséquences négatives sur les retombées économiques pour les organisateurs : pertes de recettes liées à la billetterie, coûts de remplacement du matériel. Les sponsors et les spectateurs peuvent également être impactés, notamment par le vol de données ou des tentatives d’extorsions de fonds.

Détériorer la qualité de l'expérience : La compromission de certains systèmes d'information peut impacter l'expérience des spectateurs, des téléspectateurs et des internautes : difficultés pour accéder aux stades, faiblesse des de connexions Wi-Fi ou perturbations de retransmission télévisée...

Faire valoir une cause : Pour les attaquants, l’exposition médiatique des Jeux Olympiques constitue un terrain de jeu pour les hackers pour promouvoir leur cause. Au Qatar, lors de la Coupe du monde de football de 2022, des hacktivistes ont lancé des attaques DDoS contre des entités qataries, pour mettre en avant son coût écologique et les violations des droits de l'Homme dans le pays-hôte.