SI et services numériques dans l'oeil du cyclone

Les grandes compétitions sportives internationales sont désormais l'objet d'attaques informatiques massives, ce qui représente un défi de taille pour les équipes en charge de la cybersécurité. Ainsi, lors des JO de Tokyo, en 2021, 450 millions de tentatives de cyberattaques avaient été repérées, en amont et pendant la compétition. Il en sera de même, voire plus, pour les Jeux Olympiques (26 juillet-11 août) et Paralympiques (28 août-8 septembre) de Paris (JOP). Même s'il est prématuré de préciser dès à présent quand les attaques auront lieu, une chose est sûre : elles auront bel et bien lieu. En raison de la surface d'exposition mondiale que représentent les Jeux (4 milliards de téléspectateurs, 13 millions de spectateurs, 15 000 athlètes), du contexte national et international dans lequel ils s'inscrivent, des flux physiques et financiers qu'ils génèrent, cette manifestation sportive constitue une aubaine pour les cyberattaquants. Deuxième partie de notre série : Quelles cibles IT devraient se trouver dans le viseur des cyberattaquants ? Quelles techniques devraient-ils privilégier ?

1 - Deux grands types de cibles majeures :

1 - Services numériques et objets connectés : Lors d'événements sportifs internationaux, comme les JOP, de plus en plus d’outils numériques (Wi-Fi public et les applications mobiles, notamment) sont proposés pour optimiser l'expérience des spectateurs et téléspectateurs. Les athlètes, les organisateurs et les spectateurs utilisent également un nombre croissant d'objets connectés dans le cadre des compétitions sportives.

2 - Systèmes d'information des acteurs privés : En dehors des événements sportifs, de nombreux systèmes d'information utilisés par des acteurs privés tels que les transports et les hôtels, peuvent être compromis ou affectés.

L'activité d'une des parties prenantes aux JO peut également être perturbée en raison de la compromission d'un prestataire ou d’un fournisseur indirect. Ces attaques, appelées attaques via la chaîne d'approvisionnement, soulignent l'importance de contrôler son propre réseau informatique ainsi que ses liens avec d'autres systèmes.

2 - Des techniques adaptées en fonction des cibles

En fonction des objectifs et des cibles vus précédemment, les techniques employées par les cyber-attaquants seront différentes.

Escroqueries ciblant les particuliers et les spectateurs

1 - Hameçonnage via courriels : On l’a vu par le passé récent : les grands évènements sportifs, tels que les Jeux olympiques, donnent souvent lieu à des campagnes d'envoi de courriels indésirables, visant à vendre des billets contrefaits, par exemple. Ce devrait également être le cas en 2024. Le hameçonnage reste l'un des vecteurs privilégiés des attaquants qui imitent marques, logos ou slogans pour convaincre les victimes de cliquer sur des liens ou des fichiers malveillants. Des actions désormais facilitées par l’utilisation de l’IA générative par les attaquants.

2 - Faux sites de billetterie : Par le passé, des attaquants ont créé de faux sites de billetterie lors de leur ouverture officielle. Ces sites trompeurs collectent des données personnelles et bancaires des utilisateurs. L'ouverture progressive de la billetterie des Jeux olympiques et paralympiques de Paris 2024 depuis décembre 2022 devrait constituer une opportunité pour les cybercriminels.

3 - Création de faux sites et applications : Autre angle d’attaques : la mise en place de sites Web ou d'applications frauduleux pour collecter des gains, vendre des produits contrefaits ou récupérer des données personnelles sur les spectateurs et les athlètes (cartes de crédit, pass d’accès aux stades, réservations d’hôtels, par exemple). Des sites officiels peuvent également être l’objet de compromissions pour rediriger les internautes vers des domaines créés par les cyber-attaquants. Une technique déjà utilisée lors de la Coupe du monde de football en 2022.

4 - Autres exploitations d’attaques potentielles : Vulnérabilités associées aux distributeurs automatiques de billets pour extraire des billets, ou bien piéger physiquement leurs utilisateurs afin de récupérer les identifiants de cartes bancaires. Des méthodes similaires à celles dont pourraient être l’objet les systèmes de paiement électronique dans les commerces, et dans une certaine mesure, les sites de e-commerce.

Ces attaques n'ont pas d'impact direct sur les SI de ce type d’événements d’envergure internationale. Il n’en reste pas moins qu’elles peuvent impacter la réputation du pays hôte et des différentes parties prenantes à l’organisation des JO.

Attaques ciblant les SI :

1 - Sabotage informatique direct : Le sabotage informatique, logiciel ou matériel, peut entraîner la perte de données, des interruptions de service et des coûts de réparation considérables. Des attaques peuvent être menées pour compromettre des systèmes d'information et divulguer tout ou partie de contenus sensibles. Des puissances étrangères pourraient utiliser ces tactiques pour discréditer la France et réduire les retombées économiques positives issues des Jeux Olympiques 2024, notamment en guise de représailles au vu du contexte géopolitique tendu entre la France et la Russie, notamment.

Exemple concret : une cyber-attaque lors des Jeux Olympiques d'hiver 2018 à Pyeongchang a perturbé la cérémonie d'ouverture, le site Internet, la billetterie, la connexion Wi-Fi et la vidéosurveillance. D’où la nécessité de protéger les systèmes d'information pendant, mais aussi en amont de l’événement.

2 - Attaques indirectes via chaînes d’approvisionnement : Les JOP impliqueront de nombreuses entités dont les systèmes d'information sont parfois interconnectés, et dont la chaîne d’approvisionnement peut ainsi être exposée à des attaques. Ce type d'attaque consiste à compromettre une partie prenante indirecte (fournisseur de services logiciels, par exemple), pour viser une cible finale, récupérer ses données, cibler son SI et déstabiliser le service associé.

3 - Tentatives d’extorsion via rançongiciels : L’utilisation croissante de rançongiciels avec extorsion de fonds pour finalité n’épargnera pas les JO. Ce type d’attaques a augmenté de 30% en France en 2023 par rapport à 2022, selon le dernier rapport de l’ANSSI.

4 - Attaques DdoS : Les JOP de Paris 2024 devraient être la cible d'attaques par déni de service ou de chantages au déni de service distribué (DDoS). Ce type d'attaque vise à rendre indisponibles sites et services numériques pour exercer une pression à des fins de rançons. Les cibles potentielles pourraient inclure les sites officiels de la compétition, les sponsors ainsi que les sites hôtes de l’événement (ville, régions, départements, etc). Ces attaques visent à maximiser les chances de collecter une rançon tout en affectant la réputation et la continuité de l'activité.

5 - Monétisation de données personnelles : Les données à caractère personnel des participants aux JO seront la cible de cybercriminels motivés par des gains financiers. L'accumulation de données personnelles, qu’elles soient en libre accès ou non, permet aujourd'hui aux groupes d'attaquants de les monnayer.

Ainsi, en juillet 2021, les données de spectateurs et de bénévoles des Jeux olympiques de 2020 ont été mis en vente sur un forum cybercriminel suite à un incident touchant le Comité olympique japonais. Selon ce dernier, la fuite de données provenait d'individus ayant laissé leurs informations sur des sites d'hameçonnage, et n’était pas le fruit d'une intrusion malveillante.

6 – Au-delà des infrastructures olympiques, d’autres acteurs devraient être également la cible des cybercriminels. Par exemple : les services Wi-Fi. Leur compromission représente pour les attaquants l’occasion de capturer des informations personnelles (identité, adresse, données bancaires…), qu’ils soient situés dans les lieux d'hébergement (hôtels) ou à proximité des stades. Les JOP, avec leurs millions de visiteurs attendus, représentent une opportunité considérable pour ces acteurs malveillants.

7 - Autres cibles potentielles : les réseaux sociaux. Leur compromission et la publication de messages frauduleux peut affecter l'image des entités ciblées et la confidentialité des données des utilisateurs. En février 2020, les comptes officiels du Comité International Olympique (CIO) et de plusieurs organisations sportives sur Twitter (désormais X) ont été compromis. Ces attaques mettent en évidence la vulnérabilité des comptes des institutions sportives aux conséquences médiatiques et réputationnelles notables.