L’ANSSI anticipe les cyberattaques qui affecteront les Jeux olympiques et paralympiques

En prévision de la Coupe du monde (Cdm) de rugby 2023 et des Jeux olympiques et paralympiques (JOP) 2024, l'ANSSI publie un rapport d' « évaluation de la menace » où elle revient sur les cyberattaques ayant affecté les précédents JO, et cherche à anticiper celles qui risquent fort d'arriver. 

« Depuis plus d’une décennie, les compétitions sportives internationales majeures font régulièrement l’objet d’attaques informatiques », relève le Computer Emergency Response Team (CERT) de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) :

« L’objectif de ce document est de présenter les principales menaces pesant sur les systèmes d’information (SI) mis en œuvre lors de ces événements sportifs et de fournir des exemples concrets d’attaques conduites contre le secteur en France ou à l’étranger. Dans une dernière partie, l’ANSSI propose une liste de recommandations orientée sur les enjeux de sensibilisation et de protection des postes de travail et des systèmes d’information. »

Le fait que ces évènements suscitent l'intérêt de « centaines de millions de personnes », et des flux financiers particulièrement importants, constitue un levier d'appel opportuniste pour des attaquants cherchant à perpétrer des actes malveillants à des fins lucratives, de déstabilisation (notamment liée au contexte géopolitique) ou encore d’espionnage : 

« Les JOP 2024 représentent le plus grand évènement, prévoyant de rassembler quatre milliards de téléspectateurs, 13 millions de spectateurs, 30 000 bénévoles et 15 000 athlètes sur 38 sites de compétition. »

Au vu du nombre grandissant d'objets connectés...

Le contexte géopolitique, sur fond d’invasion de l’Ukraine par la Russie et de guerre de l'information en parallèle aux coups d'État dans certains pays d'Afrique francophone, pourrait en outre inciter certains acteurs étatiques et hacktivistes à tirer profit de ces évènements pour promouvoir leur cause : 

« La participation de la Russie aux JOP 2024 demeure incertaine et les prises de positions des pays participants exposent l’évènement à des cyberattaques par mesure de représailles. En effet, l’exclusion de la Russie des JOP en 2018 en raison des accusations de dopage des athlètes a, selon les gouvernements américain, britannique et canadien, probablement motivé des attaques à des fins de déstabilisation par les groupes d’attaquants liés au renseignement militaire russe (GRU). »

Si l’ANSSI « ne dispose à l’heure actuelle d’aucune information spécifique sur des attaques ciblant la CdM 2023 ou les JOP 2024 », la surface d’exposition de ces deux évènements à des attaques informatiques « demeure très importante », et pas seulement au vu du « nombre grandissant d'objets connectés » qu'utilisent tout autant spectateurs, athlètes qu'organisateurs : 

« L’organisation et le déroulement d’évènements sportifs d’ampleur nécessitent en effet la mise en œuvre de nombreux systèmes d’information, que ceux-ci appartiennent au pays hôte, aux organisateurs ou à leurs prestataires, sous-traitants, sponsors ou toute autre entité participant d’une façon ou d’une autre à ces évènements. »

Au-delà des risques de piratage des infrastructures et chaînes d'approvisionnement (supply chain attack, consistant à compromettre un tiers, comme un fournisseur de services logiciels, afin de cibler la victime finale) de ces évènements, des attaquants pourraient chercher à « ternir l’image » du pays organisateur, affecter les retombées économiques afférentes (pertes de recettes en termes de billetterie, coût du remplacement de matériel…), ou s'en prendre aux sponsors et spectateurs (vol de données ou de fonds, impossibilité d’accéder aux stades, fraudes, connexion en Wi-Fi impossible, retransmission télévisée perturbée).

La principale menace identifiée est à finalité lucrative

Si les conséquences pourraient aller jusqu'au report ou à l’annulation d’épreuves sportives, « par exemple en cas de panne d’éclairage ou des systèmes de chronométrage », l'ANSSI estime que « la principale menace identifiée » est celle à finalité lucrative, « aussi bien à l’encontre des organisateurs que des athlètes et des spectateurs » : 

« Ces derniers peuvent être exposés à des escroqueries, des tentatives d’extorsions ou encore des vols et reventes de données. Les entités organisatrices des évènements sportifs ainsi que leurs prestataires peuvent notamment être ciblés par des attaques par rançongiciel. »

L'agence en charge de la cybersécurité évoque également des risques de défiguration ou encore de divulgations orchestrées de données (hack-and-leak), ainsi que des campagnes de déstabilisation au moyen de sabotage informatique ou d’attaques par déni de service distribué (DDoS). 

Le rapport mentionne ainsi les Jeux olympiques d'hiver en Corée du Sud, victimes d'une attaque informatique « à visée destructrice » par le code malveillant Olympic Destroyer, attribuée publiquement par le NCSC (l'équivalent britannique de l'ANSSI) au renseignement militaire russe (GRU), et qui avait été jusqu'à perturber la cérémonie d’ouverture de l’évènement : 

« Cette attaque a conduit à l’indisponibilité du site Internet des JOP, de l’impression des billets, de la connexion Wi-Fi, du système de vidéosurveillance, de certains affichages dans le stade et de la retransmission en perturbant les flux vidéo. Les serveurs d’hôtels locaux ont également été touchés. »

... des niveaux de maturité cyber hétérogènes...

Le rapport commence par souligner que la surface d'exposition de ce type d’évènement est d'autant plus large qu'elle repose sur un nombre important de systèmes d’information (sites Internet, gestion des fournisseurs, billetterie, flux vidéo…) exploités par différents acteurs. Ces derniers vont de la petite et moyenne entreprise à l’État en passant par les forces de l'ordre, services de secours, autorités locales, qui disposent de niveaux de maturité cyber hétérogènes, et qu'ils sont, de plus, « potentiellement interconnectés, ce qui soulève des risques de propagation d’attaques informatiques » : 

« L’interconnexion entre les systèmes d’information bureautiques et les systèmes d’information industriels (OT) brouille la frontière entre la sécurité physique et informatique. C’est le cas par exemple des systèmes de gestion technique de bâtiment qui contrôlent les affichages, l’alimentation électrique, la climatisation, les contrôles d’accès, ou encore la vidéosurveillance des infrastructures sportives. Le dysfonctionnement des contrôles d’accès et des caméras de surveillance exposerait les spectateurs à des menaces pour leur sécurité physique. »

Le CERT se penche ensuite sur les risques d'attaques à fins lucratives, à commencer par les escroqueries pouvant cibler les spectateurs, via de faux sites de billetterie ou de campagnes d'hameçonnage (qui demeure « l’un des vecteurs de compromission privilégiés des attaquants »), la commercialisation de contrefaçons ou la compromission de sites légitimes afin de rediriger les utilisateurs vers des domaines contrôlés par les attaquants (technique du « point d’eau ») : 

« À titre d’exemple, lors de la Coupe du monde de football au Qatar en 2022, de faux sites Internet aux couleurs de l’évènement ont été recensés, servant à collecter des données de carte de crédit réutilisées pour réserver des billets d’avion et des chambres d’hôtel ou encore vendre de fausses cartes [pour] accéder aux stades. »

Des chantages au déni de service distribué (DDoS)

Au-delà des risques de rançongiciels, le CERT relève que la CdM 2023 et les JOP 2024 pourraient également faire l’objet d’attaques par déni de service avec demande de rançon, « appelées chantages au déni de service distribué (DDoS) », susceptibles de cibler certains sites officiels, sponsors et villes d’accueil des compétitions.

Des attaquants pourraient également s'essayer au chantage à la divulgation d’informations, acquises dans le cadre de compromissions précédentes ou supposées de leurs systèmes d’information, à l’encontre de prestataires, en profitant de la crainte des entreprises de voir leurs données personnelles et celles de leurs clients et partenaires divulguées. 

Au-delà du chantage à la divulgation de données, des attaquants pourraient aussi chercher à monétiser les données dérobées, qu'il s'agisse de données d'entreprises, personnelles, ou d'identifiants de connexion :

« En juillet 2021, les identifiants de spectateurs et de bénévoles des JOP 2020 ont été mis en vente sur un forum cybercriminel suite à un incident affectant le Comité olympique japonais. D’après ce dernier, la fuite de données n’était pas le résultat d’une intrusion, mais d’individus ayant entré par inadvertance leurs informations sur des sites d’hameçonnage. »

Des hack-and-leak ciblant spectateurs, athlètes et prestataires

Ce type de compromission et de divulgation de données pourrait aussi affecter les athlètes, en mode « hack-and-leak ». Le CERT rappelle qu'en 2016, l’Agence mondiale antidopage (AMA) avait ainsi été victime d’une fuite de données confidentielles relatives à 41 athlètes ayant participé aux JOP de Rio :

« Ces données ont révélé des résultats de tests anti-dopage et des dossiers médicaux d’athlètes dont le contenu pouvait nuire à leur carrière. Selon l’AMA, cette attaque aurait été conduite par des attaquants réputés russes en réponse aux publications de l’agence révélant un système de dopage institutionnalisé dans le monde du sport russe [ayant] conduit à l’exclusion d’athlètes russes des compétitions sportives internationales. »

Le rapport qualifie par ailleurs de « probables » les tentatives de prise de contrôle de comptes de réseaux sociaux d’entités impliquées dans l’organisation de la CdM 2023 et des JOP 2024, afin de diffuser revendications et messages politiques.

Il évoque également le vol de 38 500 dossiers d’utilisateurs du forum de l’Olympique Lyonnais par un supporter de l’Olympique de Marseille, ainsi que les « Football Leaks », fuite de près de 19 millions de documents relatifs au fonctionnement des instances internationales de football ayant dévoilé des mécanismes d’évasion fiscale, des soupçons de fraude, de corruption et de dopage, et ainsi nui à l’image des entités et individus impliqués.

Des postes d'administration dédiés, durcis, et non connectés à Internet

En matière de sensibilisation, le CERT recommande de « communiquer de manière régulière » afin de responsabiliser les utilisateurs, administrateurs et exploitants du système d’information, et de transmettre les bonnes pratiques à adopter face à une situation de cyber malveillance : 

• « ne pas ouvrir les messages dont la provenance ou la forme est inconnue, car il pourrait s’agir
  d’une tentative d’attaque (ex rançongiciel) ;
• se méfier des extensions de pièces jointes douteuses (ex : .pif ; .com; .bat; .exe; .vbs; .lnk…), et
  qui peuvent contenir des codes malveillants ;
• être vigilant face aux URL visitées depuis le poste de travail ;
• ne pas connecter sur son poste de travail une clé USB trouvée par hasard, car celle-ci pourrait
  être compromise par un logiciel malveillant. »

Le CERT recommande également de « supprimer les accès d’administration exposées directement sur Internet », afin de réduire au maximum la surface d’attaque du SI, de l'administrer « depuis un réseau dédié » afin de rendre le SI d’administration le plus sécurisé possible en l’isolant, et d'utiliser « un poste d'administration dédié et durci » : 

« Ce poste d’administration doit être distinct du poste bureautique et doit faire partie intégrante du SI d’administration. Ce poste d’administration n’a pas d’accès à Internet pour limiter sa surface d’attaque. »