Preuve de son attractivité, la France s’engage aujourd’hui comme hôte d’évènements sportifs majeurs tels que la Coupe du monde de rugby sur la fin d’année 2023 et les Jeux olympiques et paralympiques pour l’été 2024, summum des compétitions sportives. En effet, si l’on devait résumer les JO en quelques chiffres, ce serait : 7 milliards d’euros de budget, 15 000 athlètes venus de 206 nations, 22 villes qui accueilleront les épreuves, 40 sites de compétition, 878 épreuves dans 54 sports, 20 000 journalistes venus du monde entier, 30 000 bénévoles, de 10 à 12 millions de spectateurs et 4 milliards de personnes derrière leurs écrans. En bref, une compétition planétaire attractive pour les athlètes, les spectateurs et les organisateurs, mais également pour les cyberattaquants, qui voient en cet évènement une occasion de remporter le match.
Les récentes attaques contre des clubs ou des fédérations sportives soulignent le changement de paradigme sécuritaire dans le cadre des évènements sportifs. En effet, à la menace physique qui était jusqu’alors la principale inquiétude, vient s’ajouter aujourd’hui celle numérique. Elle n’est plus seulement une variable d’ajustement, mais doit être partie intégrante de tout plan de prévention et de sécurité.
Seulement, athlètes, spectateurs, gouvernement, bénévoles, infrastructures logistiques, services de transports, informatiques ou encore de télécommunications, tous ces acteurs n’y sont pas encore sensibilisés. Pourtant, ce sont bien eux les premières cibles des cyberattaquants, qui n’attendent plus que le début de la compétition pour lancer leurs attaques.
Les cyberattaquants, futurs champions des Jeux ?
Quel business plus juteux que les compétitions sportives pour un hacker ? Elles regroupent en effet beaucoup d’avantages : une numérisation accrue des infrastructures et de la logistique ; des flux financiers permanents, une forte visibilité, et en tout et pour tout des cibles peu sensibilisées au risque cyber. En bref, une parfaite opportunité !
Ajoutons à cela une portée internationale, le regroupement de nombreux pays et un contexte géopolitique perturbé : de quoi motiver de nombreuses attaques contre la compétition la plus importante au monde. Les JO ont en effet un lourd passif de cyberattaques. Bien que certains signaux précurseurs aient été présents avant ceux de Londres, c’est à partir du début des années 2010 que la cybersécurité a été prise en compte dans les préoccupations des organisateurs. Les chiffres sont saisissants :
• 212 millions de cyberattaques à Londres en 2012 dès le lancement de la cérémonie d’ouverture ;
• on passe le demi-milliard d’attaques pour les jeux de Rio en 2016, soit 400 attaques par seconde, et avant même le lancement des Jeux ;
• en 2018, l’impression des billets, le fonctionnement du Wifi et des portes d’accès au site, la retransmission sur les écrans du stade, l’accès à l’application officielle des JO sont la cible du malware Olympic Destroyer, en pleine cérémonie d’ouverture des Jeux de PyeongChang ;
• bien qu’ils se soient déroulés à huis clos, en 2021, les JO de Tokyo ont généré plus de 4,4 milliards de cyberattaques, soit 800 évènements de cybersécurité par seconde ;
• en 2022, c’est cette fois-ci le cyberespionnage qui est plutôt mis en avant lors des Jeux d’hiver de Pékin.
Seuls les JO de Sotchi ont été apparemment épargnés par les cyberattaques. La peur de représailles en s’attaquant à la Russie, un contrôle accru de l’État russe ou bien des hackers majoritairement russes ne cherchant pas à s’attaquer à leur propre pays… : à chacun le plaisir de choisir son scénario favori.
Les JO sont l’un des évènements les plus attaqués au monde, ciblé par des milliards de cyberattaques de plus en plus perfectionnées.
Que peut-on alors en déduire pour l’organisation des JO de Paris ? Il y a « un certain niveau d’inquiétude », souligne Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), pour France Inter. En effet, les prévisions annoncent une quantité massive de cyberattaques, de huit à dix fois supérieures à celles des JO de Tokyo de 2021. Et il n’est pas besoin d’attendre le lancement de la cérémonie d’ouverture pour y être confronté. Les responsables de la sécurité d’ATOS, chargé d’une partie de la cybersécurité des JO 2024, ont déjà relevé, à un an des Jeux, un grand nombre d’attaques visant leurs systèmes, et leurs salariés directement, mais aussi l’Agence mondiale antidopage. Les hackers n’attendent plus. Ils visent leurs cibles avant, pendant et après les compétitions sportives. Le dernier rapport de l’ANSSI sur les grands évènements sportifs et l’état de la menace traduit bien ces différents niveaux de risques en fonction de la temporalité associée aux évènements (1). Contrairement aux tentatives constantes de cyberespionnage durant la compétition, un cybercriminel ayant pour objectif principal une rétribution financière agira majoritairement en amont et pendant la compétition ; tandis que les campagnes de déstabilisation sont beaucoup plus actives lors de la compétition elle-même.
Mais qui sont ces cyberattaquants ?
Trois profils de cyberattaquants se distinguent ,avec leurs objectifs foncièrement différents :
• les hacktivistes, à l’instar des groupes comme Anonymous, qui recherchent avant tout la dénonciation d’une cause particulière : le capitalisme, l’urgence climatique ou encore la défense des droits de l’homme. Déni d’accès au site de la billetterie en ligne, intégration de messages clés et critiques au sein du site web de l’organisateur ou encore demande de rançon, les groupes d’hacktivistes ne sont jamais à court d’idées pour faire connaître leurs revendications ;
• les hackers étatiques, qui agissent quant à eux officieusement au nom d’un État. Le sport étant une composante clé du soft power d’un pays, il est un espace de compétition géopolitique, et pousse certains États à agir pour asseoir leur domination ou perturber celle d’une autre puissance « dérangeante ». Manipulation des scores et des chronomètres, collecte, modification ou même blocage des résultats des tests antidopage, déclenchement d’une alarme privant les athlètes de sommeil : ces types d’attaques doivent être fortement envisagés. En effet, le contexte géopolitique actuel de la guerre entre l’Ukraine et la Russie, les déstabilisations françaises en Afrique et les menaces de représailles cyber ne sont pas encourageants. Ajoutons à cela le doute sur la participation de la Russie et de la Biélorussie aux JO, qui laisse craindre une augmentation accrue des cyberattaques. La force de frappe cyber de la Russie, spécifiquement sur ce genre d’évènements sportifs, est bien connue, notamment depuis les JO de PyeongChang en 2018. Les organisateurs des JO de Paris 2024 gardent en mémoire l’impact phénoménal d’Olympic Destroyer, une offensive numérique des plus sévères, et tentent d’éviter qu’elle ne se reproduise ;
• les cybercriminels, disons « classiques », qui recherchent avant tout un gain financier. Les techniques ne changent pas particulièrement de la vie de tous les jours (phishing, ransomware). L’objectif premier reste de pouvoir récupérer le plus de données possible (personnelles, bancaires, etc.) pour une revente sur le dark web et une maximisation du profit.
Les objectifs finaux sont donc multiples : gain financier, atteinte à la réputation, au prestige et à l’image d’un pays ou d’un athlète, sabotage, espionnage… Les évènements sportifs constituent une réelle caverne d’Ali Baba pour les hackers qui peuvent toucher un nombre très important de cibles avec des modes d’attaque variés. Bien que les modes opératoires se diversifient au fur et à mesure des années et deviennent de plus en plus perfectionnés, le déni de service ou d’accès, les ransomwares et les campagnes de phishing restent aujourd’hui les techniques les plus utilisées dans le cadre d’évènements sportifs.
Une surveillance toute particulière est également prévue concernant les campagnes de désinformation, une technique à laquelle les hackers, notamment étatiques, ont de plus en plus recours.
Des menaces multiples
Pour l’instant, l’ANSSI déplore des menaces banales comme la vente de faux billets. D’autres scénarios bien plus complexes et vicieux sont envisageables au fur et à mesure que le début de la compétition se rapproche. Imaginons le scénario suivant : le piratage de certains prestataires auquel fait appel le Stade de France (supply chain) permet au hacker d’avoir un accès total à son réseau et de prendre le contrôle du système d’aide à l’arbitrage, de désactiver les portiques d’entrée, ou encore de provoquer la sortie des spectateurs à l’extérieur du stade où une attaque terroriste se prépare. Une fois que le hacker a réussi à s’infiltrer sur le réseau, le temps est compté.
Dans un deuxième scénario, ce sont les athlètes qui sont directement visés. Bloqués dans leur chambre d’hôtel, sans ascenseurs, ni climatisation ou vidéosurveillance du fait d’une cyberattaque introduite par le biais des objets connectés du complexe hôtelier, ils ne peuvent participer à la compétition sportive.
Interruption de la retransmission télévisuelle, infection par le biais des jeux concours, perturbation, voire sabotage, des transports en commun, piratage des services administratifs français, vol de données par la compromission du Wifi public ou d’un site web frauduleux (typosquatting)… : des milliers de possibilités sont à envisager. Seule condition : la visibilité aux yeux du public doit être importante.
Ces attaques ciblent plus particulièrement certaines catégories de victimes : spectateurs, athlètes, gouvernement, bénévoles, stades, hôtels, restaurants, magasins, services de transports, informatiques et de télécommunications, services d’eau et d’électricité. Chaque acteur concourant de près ou de loin au déroulement de ces compétitions sportives est aujourd’hui concerné par les tentatives de cyberattaques. Au vu des impacts possibles, cet enjeu doit concerner l’ensemble de notre système économique. Une situation à laquelle l’ANSSI est aujourd’hui attentive dans son rôle de chef d’équipe de la cybersécurisation de cet évènement.
Un équilibre… à la française
Le pilotage de la stratégie de prévention des cyberattaques des JO a été confié à l’ANSSI. Tous les yeux de l’écosystème cyber sont tournés vers elle à maintenant moins d’un an du début de ces Jeux.
De la sécurisation des systèmes informatiques critiques à la possible intervention en cas d’attaques, en passant par la protection des données sensibles, la connaissance actualisée de la menace cyber, la coordination des initiatives et la sensibilisation de l’écosystème, l’ANSSI dispose d’une mission décisive pour la cybersécurisation des JO. Mais aujourd’hui, quel bilan pouvons-nous tirer des initiatives menées ?
Dans sa dernière intervention sur France Inter, Vincent Strubel s’est voulu rassurant. L’ANSSI a multiplié ses plans d’action : sécurisation des entités les plus critiques (2) pour l’organisation des Jeux ; programme de tests à Paris et à Marseille pour cette cérémonie d’ouverture organisée pour la première fois en extérieur ; réunions régulières entre les différentes entités organisatrices ; surveillance en continu des réseaux sociaux et des noms de domaines diffusés ; lancement des exercices de crise ; séminaires de sensibilisation. L’ANSSI est sur tous les fronts. Elle est notamment soutenue par un contexte politique national favorable. La loi olympique d’avril dernier permet de soutenir le niveau de sécurité globale de cette compétition en introduisant de nouveaux dispositifs et en y consacrant un certain niveau de budget, revalorisé dernièrement par la Cour des comptes. D’autres initiatives engagées par le ministre délégué Jean-Noël Barrot, comme le filtre anti-arnaque ou le cyberscore, pourront également venir en appui des initiatives de l’ANSSI.
Elle peut également compter sur un bon niveau de préparation déjà engagé par ATOS, habitué à ce genre d’évènement. Pour l’édition 2024, ATOS est chargé d’assurer « la cybersécurisation de l’infrastructure numérique et de fournir les produits et services de cybersécurité, la planification, la préparation et les opérations de cybersécurité (3) ». Depuis son TOC (Technology Operation Center : centre de commandes et de contrôle technologique), ATOS a notamment procédé à de nombreux entraînements afin de tester la robustesse de certains systèmes (achat des noms de domaine, bug bounty, affichage des scores, impression des badges, accréditions, simulation de panne), y compris en cas d’attaque. Ces actions seront notamment complétées par le soutien du géant américain CISCO, chargé de sécuriser les sites des compétitions et de permettre les échanges entre spectateurs, athlètes, et bénévoles par le biais de l’apport d’équipements réseaux, d’infrastructures de cybersécurité et de logiciels de visioconférence. Ces initiatives représentent un réel appui pour l’ANSSI.
Toutefois, organiser des compétitions sportives à l’instar des JO ne va pas sans son lot de difficultés. Tout d’abord, le déficit d’effectifs de sécurité privée est un réel problème. N’ayant assuré que 25 % des besoins en effectifs de sécurité, les organisateurs envisagent aujourd’hui le recours à l’armée, un tel manque ne pouvant que ravir les cyberattaquants. Le rapport de la Cour des comptes du 21 juin dernier tient à tirer la sonnette d’alarme. Budget sous-estimé, manque de préparation, le premier président de la Cour des comptes appelle à plus d’anticipation : « il faut aller plus vite et ne pas tergiverser », mais aussi à plus d’optimisation au vu du surcoût de la sécurisation.
Retard sur les délais de livraison, ennuis judiciaires avec la suspicion de prise illégale d’intérêts et de détournement, mise à pied du coordinateur national à la sécurité, scandale de réquisition des logements étudiants du CROUS…, les JO démarrent sur les chapeaux de roues.
D’un point de vue de cybersécurité, l’expérimentation de la vidéosurveillance par algorithmes, afin de détecter en temps réel les comportements suspects et les mouvements de foule grâce à l’intelligence artificielle, a pendant un certain temps jeté un doute sur les processus d’identité numérique et les garanties du respect des libertés individuelles.
Source : « Grands évènements sportifs en France. Évaluation de la menace 2023 », rapport de l’ANSSI, 30 août 2023
Des problèmes persistants
Aujourd’hui, bien que l’ANSSI semble avoir pris les éléments techniques en main, certains problèmes endémiques subsistent.
Sur la liste officielle des sponsors des JO, très peu d’entreprises françaises et européennes sont présentes. Et lorsqu’elles le sont, certaines sont même en pleine scission de leurs activités, ce qui n’est pas gage d’une grande stabilité. Aujourd’hui, un réel manque de mobilisation de champions européens sur ce genre d’évènements planétaires se fait sentir, avec tout le lot de questionnements qui s’ensuit (protection, confidentialité et intégrité des données). Si la souveraineté est l’un des objectifs phares de la stratégie numérique européenne, les JO n’en sont malheureusement pas un bon exemple…
Au niveau national cette fois-ci, la question de la cybersécurité est mise à rude épreuve avec les collectivités territoriales. Celles-ci sont en effet l’un des premiers secteurs publics ciblés aujourd’hui en France après celui de la santé. Comment dès lors s’assurer que cela n’ouvre pas de portes supplémentaires aux cyberattaquants ? Et surtout, comment garantir la stabilité de ces collectivités ? Les dernières attaques ayant bloqué l’ensemble des systèmes administratifs de certaines villes, la question se pose avec un flux d’attaques bien supérieur à la moyenne.
Malgré la loi olympique prévoyant un dispositif renforcé de sécurité pour les villes accueillant des épreuves, les communes ne sont aujourd’hui pas prêtes d’un point de vue de sécurité numérique, certaines ayant même déjà des difficultés à assurer la sécurité « physique » de leurs habitants. Alors imaginons avec l’arrivée de ces nouvelles menaces… Leur incapacité à faire face à ce genre d’attaques est le fruit d’un manque flagrant d’investissements. En effet, les hackers n’ont pas attendu les JO pour s’en prendre aux collectivités. Mais, à l’inverse, qu’attend le gouvernement français pour investir dans ce domaine ? Faut-il attendre, comme dans le secteur de la santé, des évènements majeurs et paralysants pour que des initiatives et des fonds soient débloqués ? Il est donc aujourd’hui nécessaire que les collectivités montent en compétences dans ce domaine, puisqu’elles sont responsables de la cybersécurité à leur niveau.
Enfin, dans le dernier rapport de l’ANSSI sur les grands évènements sportifs et l’état de la menace, la sensibilisation est la première recommandation pour l’ensemble de l’écosystème. Pourtant, la réalité des faits pousse à nous interroger.
En effet, comment sensibiliser des individus sans aucune connaissance ou sensibilité cyber à quelques mois ou semaines du lancement des compétitions sportives ? Lorsqu’une campagne de sensibilisation est lancée, sur la prévention d’achats de faux billets pour la Coupe du monde de rugby par exemple, le faire une fois que l’ensemble des billets ont été vendus semble inadapté… De même, la communication est essentiellement faite sur les réseaux sociaux, mais dans les communautés déjà sensibilisées aux enjeux cyber. Qu’en est-il du grand public ? La difficulté aujourd’hui est que nous pensons, à tort, puisque nous évoluons dans cette culture du risque cyber au quotidien, que l’ensemble de la population est sensibilisé à ce genre de menaces. Or, selon les générations, la sensibilisation est bien disparate. Les plans de sensibilisation et de communication doivent être beaucoup plus larges, car ils sont la clé de la protection face aux cyberattaques.
Aujourd’hui, si ces problématiques de sensibilisation, d’investissements, de montée en compétence des collectivités territoriales et de l’ensemble de l’écosystème cyber ne sont pas investiguées, alors tous les efforts techniques engagés manqueront d’efficacité. C’est comme si nous faisions jouer un athlète blessé sur le terrain, laissant ainsi aux concurrents l’occasion de s’imposer facilement.
Malgré les publicités du Comité olympique, sommes-nous vraiment prêts ? Telle est la question qui reste en suspens. Le doute subsiste en effet quant à notre capacité à gérer ce genre d’évènements au vu des difficultés énoncées.
Le chrono tourne !
Bien que la menace physique reste la principale préoccupation sécuritaire lors de ce genre d’évènement, il n’est donc plus possible de passer outre la menace cyber, bien réelle et en constante augmentation.
Protection de nos systèmes de cybersécurité et nos données ; augmentation de la cybermenace en raison du contexte géopolitique actuel ; fiabilité et résilience de notre écosystème français face à cette menace, tels sont les enjeux majeurs de cette compétition sportive. Dans l’urgence de la compétition, le niveau de menace actuel doit pousser chaque acteur de cette compétition à revenir aux fondamentaux, anticiper au maximum toutes les éventualités techniques et opérationnelles et investir sur des sujets clés.
Les prochaines réunions et les rapports soumis au Parlement d’ici à la fin de l’année permettront de préciser les actions à mettre en place avant juillet 2024. Il est utopique de penser que toute cyberattaque pourra être prévenue. L’objectif est avant tout de contenir l’impact d’un éventuel évènement de cybersécurité et de garantir un certain niveau de résilience.
L’organisation de la Coupe du monde de rugby sera un bon test pour les JO. Bien que risqués et propices à de nombreuses menaces, ces évènements restent un moyen pour la France de pouvoir progresser et d’améliorer l’ensemble de son écosystème cyber. De nombreux sportifs nous le diront : c’est bien dans l’adversité que nous trouvons les meilleures solutions. Alors il ne s’agit pas pour la France de botter en touche. Les autorités doivent nettement accélérer le mouvement pour pouvoir répondre aux attentes ambitieuses de cette compétition et de celles à venir. Tic, tac, le chrono tourne !
Notes
(1) « Grands évènements sportifs en France. Évaluation de la menace 2023 », rapport de l’ANSSI, 30 août 2023.
(2) Désignées avec le soutien de la Coordination nationale pour la sécurité des Jeux (CNSJ) du ministère de l’Intérieur et des Outre-mer et de Paris 2024.
(3) https://atos.net/fr/jeux-olympiques
Clara Petit