Alors que les Jeux olympiques de Tokyo s’apprêtent à démarrer, le Comité international olympique, les organisateurs locaux et leurs nombreux sous-traitants doivent rester vigilants face aux multiples menaces qui pèsent sur la cybersécurité.

Dans les mois qui ont précédé les Jeux d’été, le porte-parole du gouvernement japonais, Katsunobu Kato, a souligné l’importance de chaque décision prise par le comité en expliquant qu’une attaque « pourrait ébranler les fondations de notre démocratie ».

L’histoire montre qu’il a raison de s’inquiéter, et que les spectateurs, athlètes et États participants devraient faire de même.

Retour dans le passé : le sport, un secteur à haut risque

Pas besoin de chercher bien loin pour trouver des preuves du risque encouru par les événements sportifs : en 2020, les agences de renseignement américaines et le National Cyber Security Centre (NCSC) du Royaume-Uni ont lancé une opération conjointe qui a permis de déjouer une cyberattaque menée par des militaires russes contre les Jeux de 2021.

En 2018, une cyberattaque a frappé dès le début des Jeux olympiques de Pyeongchang, obligeant les équipes de sécurité à se mettre en action dans la précipitation. Par chance, elles ont pu repérer les symptômes de l’attaque et l’éradiquer, probablement en raison des nombreuses années consacrées à l’élaboration des mesures de sécurité et de reprise de l’activité nécessaires. Pour autant, cette attaque a mis en lumière l’importance que les grands événements sportifs peuvent revêtir pour les hackers.

Les Jeux olympiques constituent en effet une cible de choix pour les cybercriminels politisés. Ils suscitent l’intérêt du monde entier et mobilisent immanquablement une technologie opérationnelle. En effet, une attaque réussie pourrait avoir des effets à la fois perceptibles physiquement, mais aussi médiatiquement.

Ces caractéristiques rendent les entreprises et événements sportifs plus exposés que jamais aux attaques. Dans un rapport publié en 2020, le NCSC révèle que parmi les 57 organisations sportives qu’il a interrogées, 70 % avaient été victimes d’au moins une attaque par an.

En novembre de la même année, Manchester United a fait les frais de cette statistique. Le club a en effet perdu des centaines de milliers de livres à cause d’un ransomware, notamment sous forme de perte de revenus.

Un vaste filet

Les technologies opérationnelles, l’intérêt international et les publications dans la presse font partie des raisons expliquant l’intérêt des hackers pour les organisations sportives. Toutefois, ce ne sont pas les seules.

Tout d’abord, ces organisations incluent une multitude d’acteurs dans leur supply chain, en tant que spectateur potentiel du flux en direct des Jeux olympiques. À mesure que la technologie numérique envahit le monde du sport, les vecteurs d’attaque possibles se multiplient, des drones caméras connectés à l’email.

La plupart des organisations sportives disposent de leurs propres ressources marketing et de plateformes de communication qui peuvent être exploitées, y compris des sites Web, des comptes bancaires en ligne et des serveurs cloud. D’une injection SQL classique à une attaque DDoS destructrice, les possibilités offertes aux auteurs de menaces semblent de plus en plus nombreuses.

C’est entendu, les cyberattaques peuvent fortement nuire à la réussite d’une entreprise. Pour autant, il ne faut pas croire qu’il en va autrement des organisations et événement sportifs. La seule différence, c’est qu’ils sont davantage exposés à l’œil du public et des politiques en raison de la valeur qu’elles peuvent générer. Mais le danger posé par les cyberattaques ne s’arrête pas là. Elles constituent aussi une vraie menace pour les fans du monde entier.

Des conséquences graves

De nombreux fans rêvent de quitter leur poste de spectateur pour venir en découdre sportivement sur le terrain… mais pas d’être victimes d’une attaque. Et pourtant, les attaques ciblant le milieu sportif peuvent reposer uniquement sur eux.

Prenons l’exemple du hack de 2007 contre le site internet de l’équipe des Miami Dolphins : des hackers chinois ont exploité une vulnérabilité de Microsoft pour envoyer du code JavaScript malveillant aux visiteurs du site. Les malwares qui dérobent des mots de passe sont problématiques pour le grand public, mais la situation aurait pu être encore pire, car nombre d’amateurs de sport consultent régulièrement le programme et les résumés des matchs, ainsi que l’actualité de leurs équipes préférées, depuis des ordinateurs professionnels. Si l’attaque initiée à l’aide de ce code malveillant avait réussi, les mots de passe d’entreprises auraient pu être piratés, ouvrant la voie à de nouvelles violations, notamment la compromission de comptes.

Les fans de sports sont particulièrement vulnérables lorsque les émotions sont vives et les enjeux élevés, par exemple pendant ou avant les séries éliminatoires ou les championnats. Il s’agit d’une opportunité en or pour les hackers, qui peuvent lancer des attaques de phishing simples, mais efficaces, avec l’objectif final de voler de l’argent ou des mots de passe. Les fuites de données leur facilitent encore plus la tâche, car les informations personnelles issues des médias sociaux ne cachent rien de leurs utilisateurs, qu’il s’agisse de leur équipe préférée ou des clubs qu’ils suivent.

Le fait que les spectateurs puissent être vecteurs n’est pas le seul danger qui guette les fans de sport. Leur présence dans des lieux physiques est un autre facteur à prendre en compte.

Comme l’a signalé le Center for Long-Term Cybersecurity de l’université de Berkeley dans son rapport The Cybersecurity of Olympic Sports: New Opportunities, New Risks, les craintes liées aux attaques pendant des événements sportifs « se limitaient précédemment aux systèmes numériques, comme le réseau électrique, et l’équipement informatique de base, comme les sites Web et les téléphones. » Mais ça, c’était avant l’avènement de l’IoT. Désormais, le monde physique, le monde numérique et les composants opérationnels d’un événement sont liés de manière inextricable. Une attaque est bien plus à même de ruiner l’expérience des fans.

Tourniquet bloqué lors d’un match de Manchester United, coupure d’électricité dans un stade ou importante fuite de données sur un club, les effets physiques d’une cyberattaque peuvent être très concrets, personnels et graves.

Que le match commence

Les Jeux de 2020 ont bénéficié d’une année supplémentaire pour se préparer aux attaques de cybersécurité… mais les hackers également. Il est indispensable de garder un œil sur les événements de sécurité de l’été. Les organisations sportives ne doivent quant à elles pas perdre de vue ceux qui les entourent.
___________________

Par Adrien Gendre, Directeur Associé, Architecte Solutions chez Vade