Ce vendredi 26 juillet, pour la cérémonie d’inauguration des Jeux de Paris, tout avait pourtant bien commencé. La parade fluviale, dont les services de sécurité avaient si peur, se déroule finalement sans accroc devant les 600 000 spectateurs. Mais en coulisses, le même jour, les organisateurs ont des sueurs froides. Les serveurs d’un prestataire, en charge de la billetterie, sont inaccessibles. Une franchise criminelle bien connue exige le paiement d’une rançon à six zéros après avoir chiffré les données de sa victime.
Des sauvegardes sont restées hors d’atteinte. Mais il va falloir rétablir les données et se contenter de services dégradés, le temps de remettre le tout d’équerre. Et il va falloir faire avec une fuite de données, sauf passage à la caisse des maîtres chanteurs. Un flot d’informations sensibles qui devrait attirer les cybercriminels comme des mouches. Les ennuis ne s’arrêtent pas là. Les transports parisiens viennent de tomber sur un gros os. La circulation sur la ligne 13, déjà bien chargée en temps normal, est devenue chaotique. La raison ? Le logiciel de contrôle qui assiste habituellement les conducteurs ne répond plus, visiblement infecté par un virus. Enfin si, mais tellement mal qu’il faut s’en passer. Cela n’empêche pas les trains de circuler. Mais cela réduit leur vitesse, ce qui suffit à générer une importante cohue sur les quais.
Saine paranoïa avant les Jeux olympiques
Comme si cela ne suffisait pas, des panneaux lumineux de la ville de Paris affichent de drôles de messages anxiogènes. « Citizens, your data is not safe », peut-on lire ici. « Fear Us », est-il également signalé là, une référence directe aux Anonymous. Cerise sur le gâteau, plusieurs sites institutionnels — des mairies de la première couronne et des lieux touristiques, comme celui de la tour Eiffel — sont tombés, victimes d’attaques en déni de service. Le tout donne l’impression d’une capitale en flammes. Les JO de Paris, qui devaient être une grande fête du sport, viennent de se transformer en un cauchemar.
Ce scénario catastrophe relève évidemment de la fiction. Mais il n’est pas improbable. Les gangs de rançongiciels constituent l’une des principales cybermenaces du moment. Quelques mois avant l’invasion russe de l’Ukraine, des experts américains dépêchés à Kiev avaient détecté un wiper dans l’informatique des chemins de fer locaux. Ce programme malveillant chargé de supprimer des données était visiblement destiné à faire plonger les trains ukrainiens dans le chaos. On a déjà réussi à détourner les panneaux d’affichage de Paris. Et il reste encore bien trop de sites web mal protégés contre les attaques DDOS, pourtant « simples » à contrer.
Autant d’exemples vraisemblablement déjà anticipés par les organisateurs. Vincent Strubel, le chef de l’Anssi, qui sueprvise la cybersécurité de l’événement, a ainsi revendiqué une « saine paranoïa ». Car c’est simple : comme l’explique également Franz Regul, le responsable de la sécurité informatique de Paris 2024, le comité d’organisation, « on s’attend à tous types d’attaques ». « On intéresse les cyber mafias, les hacktivistes, les attaquants isolés ou encore les États », résume celui qui planche sur le sujet depuis quatre ans.
Un périmètre de défense vertigineux
Le périmètre à défendre est vertigineux. Il y a la billetterie, la retransmission ou le chronométrage, qui relèvent directement des organisateurs. Mais il faut y ajouter les infrastructures de transport en Île-de-France, d’éclairage ou encore la distribution d’énergie. La France peut évidemment se prévaloir d’un cadre réglementaire ancien. Les opérateurs d’infrastructures critiques sont sommés depuis dix ans d’avoir une cybersécurité robuste. Les Jeux vont cependant mobiliser d’autres organisations plus fragiles sur le plan de la sécurité informatique. Comme les fédérations sportives, qui vont devoir apprendre vite pour ne pas être le maillon faible.
La documentation des menaces cyber est d’ailleurs déjà bien fournie. À Paris 2024, on a regroupé les risques en trois grandes familles. Tout d’abord, ceux qui concernent la protection des personnes –et pour laquelle la vidéosurveillance est appelée en renfort. Ceux ensuite qui pourraient empêcher le bon déroulement de la fête sportive, comme le déploiement d’un rançongiciel empêchant la diffusion vidéo de l’événement. Et enfin ceux qui toucheraient l’image des Jeux et ses revenus, de la billetterie aux produits dérivés.
Des arnaques en pagaille à attendre
L’Agence nationale de la sécurité des systèmes d’information avait également présenté à l’été 2023, dans un rapport fouillé, le large éventail de cybermenaces planant sur les Jeux olympiques de Paris. Les spécialistes de l’agence citent d’abord les attaques à des fins lucratives. Des cybercriminels de tout poil pourraient ainsi tenter des escroqueries. Par exemple en mettant en place des faux sites de billetterie pour collecter des données personnelles.
De manière plus large, des cybercriminels peuvent tenter de s’appuyer sur la notoriété de l’événement pour lancer des attaques par hameçonnage ou pour tenter de capter une audience monétisée par de la publicité. Ces tentatives d’arnaque sont devenues « un classique des cybercriminels lors des Jeux olympiques », relève Gérôme Billois, en charge des questions de cybersécurité pour le cabinet de conseil Wavestone. Malheureusement incontournables, elles ne devraient toutefois pas empêcher les Jeux de bien se dérouler. Dans le même ordre d’idée, il est fort probable que des hacktivistes tentent de rebondir sur l’événement, par exemple avec des attaques par déni de service. Des atteintes aux dégâts mineurs, mais qui peuvent suffire pour faire parler de sa cause.
Cibles pas si faciles
Les attaques par rançongiciel, ces programmes qui chiffrent vos données contre une rançon, peuvent faire elles bien plus de dégâts. Même si un ciblage volontaire est jugé « peu probable », l’Anssi craint des actions opportunistes des cybercriminels. Le temps sera compté pendant les Jeux. Le chantage d’un gang contre un prestataire de l’événement pourrait ainsi avoir plus de poids. Il y a d’ailleurs déjà quelques exemples dans le sport. Touché par une attaque par ransomware à l’automne 2020, le club de football Manchester United avait voulu rassurer en assurant que les matchs se dérouleraient normalement. L’attaque avait fait pourtant tomber la vidéosurveillance et les tourniquets d’accès au stade.
Un scénario d’autant plus probable que l’industrie peine toujours à trouver la parade aux attaques par rançongiciel. Un couple « identifiant / mot de passe » glané par un logiciel voleur (ou stealer) sur l’ordinateur d’un employé trompé par une manœuvre frauduleuse, peut permettre à un attaquant de prendre le contrôle d’un système d’information, avant ensuite de déployer un rançongiciel.
« Après les efforts de sécurisation, les infrastructures critiques ne seront pas des cibles faciles », tempère toutefois Gérôme Billois. Des attaques par rançongiciel ont ainsi été simulées. Et la quinzaine d’experts chapeautés par Franz Regul se sont plongés dans les plans de reprise d’activité des entreprises stratégiques des Jeux. Une façon de s’assurer qu’elles ont bien un plan pour revenir à la normale au plus vite en cas de défaillance.
L’inévitable menace russe
Reste qu’il n’y a pas que les gangs mafieux qui menacent le bon déroulement des Jeux. En 2018, les Jeux olympiques d’hiver à Pyeongchang en Corée du Sud avaient été ciblés par un étrange programme malveillant, Olympic Destroyer, le jour de l’inauguration de l’événement. Les anglo-saxons vont finalement attribuer l’attaque au service de renseignement de l’armée russe, le GRU. L’opération malveillante apparaît alors comme une vengeance après le bannissement officiel de la Russie à cause de son industrialisation du dopage. Elle se solde par de gros dégâts : le site officiel tombe, empêchant l’impression des billets. L’attaque perturbe également la Wi-Fi, la vidéosurveillance et la retransmission de flux vidéos. Un type d’opération, qui se prépare de longs mois à l’avance, évidemment craint à Paris.
Pour éviter ce scénario cauchemardesque, les prestataires sont liés par des clauses contractuelles plus ou moins exigeantes en fonction de la sensibilité de leur activité pendant l’événement. Paris 2024 a coordonné des exercices de red team, ces tests d’intrusion, ainsi que des programmes de chasses aux bugs (bug bounty). La sécurité de l’événement est même devenue la priorité 2024 de l’Anssi. L’année dernière, l’agence a réalisé pendant six mois une cartographie des acteurs. Un premier travail de défrichage avant d’établir les priorités, de mener des audits auprès des acteurs les plus critiques, une cinquantaine d’organisations, et de lancer des exercices de crise.
Le cyber cauchemar pas si certain
Impossible de dire aujourd’hui si ces efforts seront suffisants. « Une bonne opération se planifie des mois, des années à l’avance, et on sait que la cybersécurité maximale n’existe pas : il y a toujours un moyen de rentrer quelque part », pointe le chercheur en cybersécurité Baptiste Robert. Mais le scénario de JO cauchemardesque n’est toutefois pas à prendre au pied de la lettre. Ce serait d’ailleurs une première. Ce genre d’événement n’a jamais sombré à cause d’un piratage informatique. Et il existe une large palette d’outils, bien moins chers, pour ceux qui voudraient semer la zizanie.
Exemple avec cette affaire de tags d’étoiles de David. La diplomatie française a fustigé une tentative d’ingérence russe, au budget vraisemblablement modique, destinée à nourrir le narratif d’une France fracturée. Une telle opération de désinformation montée durant les Jeux pourrait seulement coûter quelques kopecks. Même rapidement démenti, ce genre d’atteinte à l’image serait hélas plutôt efficace. De même, il pourrait être bien plus simple de cacher un drone dans ses sous-vêtements pour perturber un événement plutôt que de tenter de hacker le réseau informatique d’un stade, relève enfin Baptiste Robert.
Même s’il est nécessaire de mobiliser « sur ce sujet pour éviter que cela tourne mal », comme le note Gérôme Billois, il n’est donc pas dit que les Jeux olympiques de Paris soient forcément synonymes de cyber cauchemar. Une perspective anxiogène pourtant entretenue maladroitement par les organisateurs et l’industrie, en témoigne ce chiffre contestable de milliards d’attaques informatiques attendues. Cette estimation alarmiste amalgame en réalité intrusions et événements de sécurité. Un mélange de torchons et de serviettes qui n’est pas la meilleure façon de sensibiliser l’opinion aux enjeux de cybersécurité.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !