Les Jeux olympiques et paralympiques d’été de Paris 2024 représentent l'événement le plus important organisé en France depuis 1900. Car les chiffres ont de quoi donner le tournis : 7 milliards d’euros de budget, 4 milliards de téléspectateurs, 12 millions de spectateurs, 30 000 bénévoles, 10 000 athlètes, 206 nations, 40 sites de compétition à sécuriser… Mais il ne faut pas non plus oublier ceux liés à la question cyber et aux risques de piratage : après un demi-milliard d'événements de sécurité informatique en 2016 à Rio, il était question de plus de… 4 milliards pendant les Jeux de Tokyo en 2021. D’où l’importance de la cybersécurité dans cet événement planétaire.
En matière d’actualité récente, les incidents lors de la finale de la Ligue des Champions de football 2022 ont mis en lumière les limites de la gestion d’incidents physiques. Combinés à la question cyber et les potentiels incidents informatiques, ils vont jusqu’à interroger sur la capacité à organiser les Jeux olympiques de 2024. Mais alors comment la France se prépare-t-elle dans l’organisation d’un tel événement ? Quelle cybersécurité pour Paris 2024 ? Quelles actions sont mises en place pour faire face aux cyberattaques et s’en protéger ?
Quels risques cyber pour les Jeux olympiques ?
Lors d’un tel rendez-vous planétaire, les cyberattaques peuvent (et se sont déjà matérialisées) sous différentes formes. Phishing ou spoofing envers les spectateurs et sportifs, mais aussi compromission des réseaux du stade ou interception des flux Wifi/4G/5G pour les infrastructures et les équipements… les vecteurs d’attaques sont nombreux. Et les risques cyber également : piratage de la billetterie, des portiques, des retransmissions télévisées, attaques en déni de service (DDoS)... Vincent Riou, associé d’Avisa Partners chargé des activités cybersécurité et co-auteur d’une note stratégique sur le sujet, revient sur l’attrait des Jeux olympiques pour les cyber-criminels. « Les Jeux olympiques représentent l’équivalent de l’organisation d’une soixantaine de coupes du Monde en même temps pour le pays organisateur. Ils sont donc un formidable vecteur d’image pour le pays qui les accueille avec des milliards de téléspectateurs. Mais cela veut aussi dire que le moindre souci est retransmis à l’ensemble de la planète. » Car les Jeux olympiques attirent différentes typologies de cyber-criminels aux motivations diverses.
Karim Benslimane, Directeur de la Cyber Intelligence chez Darktrace, détaillait une triple menace cyber, lors d'une keynote aux Assises de la Cybersécurité 2022 : « Nous avons en premier lieu des groupes de cyber-terroristes affiliés à des États et aux motivations géopolitiques avec un objectif de déstabilisation du pays. En second lieu, nous avons des cyber-criminels opportunistes, mercantiles, tentés par la manne financière. Ils misent, par exemple, sur le caractère d'urgence des organisateurs à rétablir la situation pour les inciter à payer les rançons au plus vite. Et enfin, en troisième lieu, les groupes d'hacktivistes ont des revendications idéologiques et militantes, qui peuvent réaliser des attaques de type défacement de site web ou du déni de service ».
Les Jeux olympiques sont un formidable vecteur d’image pour le pays qui les accueille avec des milliards de téléspectateurs. Mais cela veut aussi dire que le moindre souci est retransmis à l’ensemble de la planète.
Vincent Riou, associé d’Avisa Partners – chargé des activités cybersécurité
Pour les organisateurs de cet événement hors norme, les risques cyber sont omniprésents. Captation vidéo pour la télévision ou les arbitres, caméras de vidéo-surveillance et systèmes d’alarme, lecteurs de badges et de billets… chaque équipement connecté est une porte d’entrée potentielle pour les cyber-criminels. À cela s'ajoutent la logistique et la chaîne de sous-traitance, qui augmentent de manière significative la surface d’attaque. De plus, cette édition parisienne intègre des épreuves sportives en plein cœur des joyaux du patrimoine français, et non seulement dans des stades clos. Tir à l’arc aux Invalides, beach volley aux pieds de la Tour Eiffel, escrime au Grand Palais, cérémonie d’ouverture sur la Seine… Ces lieux ouverts au sein de la capitale apportent leurs lots de difficultés dans leur sécurisation. Pour Vincent Riou, « organiser les JO dans des endroits emblématiques de la ville est absolument génial pour les spectateurs. Mais à sécuriser, c'est très complexe ! Quand vous allez avoir des foules de spectateurs le long des berges de la Seine, imaginez les différents points d'accès. Comment sécuriser tout ça ? Caméras de vidéosurveillance, portiques d'accès, bases de données pour voir qui a le droit de rentrer ou non en fonction des badges, retransmission télévisuelle... tout est numérisé et donc sujet à des attaques potentielles. » L'accroissement de la numérisation et de la dématérialisation laisse donc présager une augmentation du niveau de risques cyber pour les organisateurs.
Les supporters, spectateurs ou téléspectateurs sont également des victimes potentielles ici, en subissant l’impact de cyberattaques provoquant des pannes de retransmission télévisée par exemple. Mais ils peuvent être les cibles directes de cyberattaques, dans le cadre de campagnes de phishing comme l'explique Nicolas Caproni, Head of Threat & Detection Research (TDR) Team chez SEKOIA.IO : « De manière opportuniste, les cyber-criminels vont utiliser l'événement pour envoyer des campagnes de phishing, en s’appuyant sur des jeux-concours pour augmenter les chances d’ouverture des messages et de clic sur les liens compromettants. Ils peuvent également cacher un malware dans un pdf dans le cadre d'arnaque à la vente ou à la revente de tickets. Ils vont également essayer de récupérer des données personnelles, des données de carte bancaire qui auront par la suite une valeur sur le darknet. » Une autre menace est également envisagée, celle de la diffusion de fausses informations. « Certains groupes d’attaquants se spécialisent désormais dans la désinformation et les fake news. Ces nouvelles armes peuvent être utilisées pour perturber les événements en faisant fuiter des données qui n’auraient pas dû l'être ou des données falsifiées. Du fait de la complexité de mise en œuvre, nous sommes, le plus souvent dans ce cas de figure, sur des attaques étatiques. »
Enfin, les menaces durant les Jeux olympiques et paralympiques concernent également les sportifs. Vincent Riou évoque quelques exemples d’attaques possibles à l’encontre des athlètes : « Les clés d’accès aux hôtels, la climatisation, les alarmes incendie, l’affichage numérique des scores, les chronomètres… tout est numérisé. Imaginez les conséquences d’une altération de la chaîne du froid sur l’alimentation qui viserait certaines délégations ou bien l'activation d'alarmes incendie dans l'hôtel de certains sportifs la veille d'une compétition importante. »
Organisateurs, spectateurs, fans ou bien encore sportifs, tous sans exception sont concernés par les risques cyber lors de ces Jeux olympiques.
Depuis 2021, une décennie de cyberattaques sur les Jeux olympiques
La question de la cybersécurité lors des Jeux olympiques et paralympiques se pose depuis une quinzaine d’années. Car depuis 2004 et les Jeux d’Athènes, le principal risque de perturbation des technologies n'est plus lié aux zones sismiques, mais bien à l'activité de hackers. En 2008, aux Jeux de Pékin, quelques sites factices avaient été créés pour l’achat de faux billets. Mais la cybersécurité n’arrive au cœur des priorités des organisateurs que depuis l’attaque de la cérémonie d’ouverture des Jeux de Londres en 2012. En 10 ans, le nombre d'événements de sécurité informatique a ainsi été multiplié par 20, en passant de 212 millions lors des Jeux de Londres 2012 à 4 milliards à Tokyo en 2021.
En 10 ans, le nombre d'événements de sécurité informatique a ainsi été multiplié par 20, en passant de 212 millions lors des Jeux de Londres 2012 à 4 milliards à Tokyo en 2021.
Londres en 2012 est l’événement qui marque les débuts du focus cyber-criminel sur les Jeux olympiques. Plus de 212 millions de cyberattaques sont relevées lors de l'édition, et ce, dès le jour de la cérémonie d’ouverture, marquée par de multiples offensives comme un déni de service distribué (DDoS) sur l’infrastructure électrique.
En 2014 ensuite, aux JO d’hiver de Sotchi, aucun incident de cybersécurité majeur n’a marqué les esprits. Communication fermée de l’État russe, désintérêt des cyber-criminels ou peur de représailles ? La question reste ouverte… Petit élément de réponse avec les déclarations du FSB (Service Fédéral de Sécurité) qui prévoyait de « faire en sorte qu’aucune communication, de la part des concurrents comme des spectateurs, n’échappe à la surveillance » en s’appuyant sur un système d'interception des communications particulièrement renforcé pour l’occasion. Suffisant pour que le bureau américain chargé de la sécurité diplomatique demande alors à ses ressortissants de faire preuve d’une extrême prudence pendant ces JO. Une sensibilisation des athlètes et des ressortissants américains sur la non-divulgation de données confidentielles qui allait jusqu’à conseiller de retirer la batterie de son téléphone portable aussi souvent que possible.
En 2016, aux Jeux de Rio, les chiffres s’emballent avec un demi-milliard d'événements de sécurité informatique, chiffre avancé par Daniel Le Coguic, responsable du programme de sécurisation des grands événements et des Jeux Olympiques 2024 au sein du Gicat. Soit 400 attaques par seconde. Des attaques DDoS à fréquences rapprochées et de grande ampleur ont ainsi été menées sur les sites web des organismes partenaires des JO, et ceci plusieurs mois avant la cérémonie d’ouverture. Les attaques menées par le botnet LizardStresser (qui avait déjà été médiatisé suite au blocage des plateformes de jeux en ligne PSN et Xbox Live) se sont ensuite intensifiées pendant les JO, avec notamment une campagne DDoS de plus de 500 Gbit/s.
En 2018, le phénomène s’intensifie à l’œil du grand public ; puisque c’est la cérémonie d’ouverture des Jeux de PyeongChang qui est impactée. Impossibilité pour certains spectateurs d’imprimer leurs billets pour entrer dans le stade, problème avec le Wi-Fi sur le site, panne de retransmission de la cérémonie sur les écrans du stade, capteur RFID inopérant sur les portes d’accès, application officielle des JO non fonctionnelle (soit l’accès à la billetterie, les horaires, les informations sur les hôtels, les cartes d’accès…) ; les conséquences sont alors rapidement palpables. Le malware Olympic Destroyer fait des ravages, en direct, devant des milliers de spectateurs et journalistes. Il faudra 12 heures de travail acharné des équipes de cybersécurité pour reconstruire l’infrastructure informatique des JO à partir des sauvegardes. Cette attaque hors norme est immédiatement devenue une affaire internationale. Attribuée à la Russie, elle aurait été menée en représailles au bannissement de son drapeau lors de cette édition, suite aux affaires de dopage à Sotchi.
Ep 77: Olympic Destroyer
With guest @a_greenberg.
The 2018 Winter Olympics in South Korea were attacked. The attackers didn't detonate a bomb though. They digitally destroyed the infrastructure. Who would do such a thing and why? Let's find out.https://t.co/b63St1ofJd pic.twitter.com/pD5eJVUCZn
— Darknet Diaries (@DarknetDiaries) October 27, 2020
En 2021, les JO de Tokyo repoussés d’une année pour cause de pandémie mondiale se déroulent à huis clos. Malgré cela, cette édition ne sera pas exempte d’attaques, puisque 4,4 milliards d'événements de sécurité informatique auraient touché l’organisation, toujours selon Daniel Le Coguic. Selon la Nippon Telegraph and Telephone Corporation (NTT), différents vecteurs d’attaques furent utilisés comme des courriels de phishing et de faux sites web imitant les sites officiels des Jeux. Un haut fonctionnaire japonais a d’ailleurs indiqué que les JO ont été victimes d’une cyberattaque entraînant une fuite des données personnelles des détenteurs de billets de l'événement, ainsi que des bénévoles de l'événement (nom, adresse, numéro de compte bancaire). Ces données ont été divulguées en ligne.
En 2022, enfin, lors des Jeux d’hiver de Pékin, c’est l’application officielle de lutte contre la Covid-19 intitulée My2022, qui fera polémique par peur de cyber-espionnage. Une étude de rétro-ingénierie de l’application aurait démontré par la suite que les conversations des athlètes étaient collectées, analysées et sauvegardées sur des serveurs chinois. Pour faire face à cela, les autorités de nombreux pays donnèrent alors des consignes à leur délégation, comme la préconisation d’emporter un téléphone jetable.
Comment se prépare la sécurité des Jeux olympiques de Paris 2024 ?
C’est sur les enseignements de ces précédentes éditions que le Comité d'Organisation des Jeux olympiques (COJO) se prépare à faire face aux cyberattaques. Tony Estanguet, président du COJO 2024 de Paris, se montre lucide sur Paris 2024 et la sécurité en indiquant à l’AFP en avril 2021 : « On ne doute pas qu’on sera attaqué, en permanence. Il ne faut aucune faille dans n’importe quelle entrée possible, au sein des collaborateurs, des logiciels, de l’écosystème. » Au Ministère de l’Intérieur, Ziad Khoury, Préfet coordinateur national pour la sécurité des Jeux olympiques et paralympiques de 2024 (CNSJ), insiste également sur la coordination des acteurs de cybersécurité pour Paris 2024 et la nécessité de la cybersécurité lors des grands événements ; il précisait lors d’une réunion du Cercle des Assises de la cyber en septembre 2021, que « chaque édition de Jeux olympiques est inédite, dans le sens où ils ne peuvent pas se comparer aux précédentes : le contexte change, les menaces évoluent, elles sont de plus en plus variées et les attaques sont plus nombreuses. On peut tirer les leçons des expériences précédentes mais on doit surtout se préparer à l’inconnu, car une partie des menaces de 2024 ne sont pas encore connues. » À cela s'ajoutent les conflits géopolitiques en Ukraine et la recommandation du Comité International Olympique (CIO) en février dernier demandant de bannir la Russie et la Biélorussie des compétitions sportives. Nicolas Caproni confie que « les attaques par ransomwares sont une des menaces qui planent sur les Jeux olympiques. Mais elles ne seraient qu’une couverture pour des actes de sabotage dans le but de perturber l'événement et abîmer l'image du pays et des JO. Si la Russie reste exclue du rendez-vous de 2024, nous pourrions craindre des méthodes de rétorsion. »
On ne doute pas qu’on sera attaqué, en permanence. Il ne faut aucune faille dans n’importe quelle entrée possible, au sein des collaborateurs, des logiciels, de l’écosystème.
Tony Estanguet, président du COJO 2024 de Paris
Pour faire face à des cyberattaques toujours plus nombreuses, complexes et innovantes, les autorités françaises s'organisent. Ainsi, l’ANSSI a signé un accord de coopération avec son homologue japonais, le NISC (National center of Incident readiness and Strategy for Cybersecurity). L’occasion de renforcer les échanges et le partage d’expériences autour de la cybersécurité des grands événements sportifs, comme la Coupe du monde de rugby et les Jeux olympiques. En parallèle, l’ANSSI renforce ses communications pour sensibiliser le plus grand nombre à l’hygiène numérique. De nombreux supports sont disponibles comme le passeport de conseil aux voyageurs, les 12 règles de bon sens à appliquer au quotidien dans sa vie numérique ou le guide des bonnes pratiques de l’informatique. Dans une interview accordée au journal L'Équipe, en juillet 2023, Vincent Strubel, directeur général de l'ANSSI, revient sur le travail de ses équipes autour des questions de préparation, de budget et des menaces potentielles. En parallèle des actions de Cyber Threat Intelligence autour de Paris 2024, le Ministère de l’Intérieur affirme vouloir développer la vidéo protection dite “intelligente”. Ces caméras seraient capables de détecter en temps réel les comportements suspects, des mouvements de foule grâce à l’intelligence artificielle. Le recours à la reconnaissance faciale dans l’espace public, qui avait été abandonné faute de législations adéquates sur les garanties du respect des libertés individuelles, revient sur le devant de la scène. Selon Vincent Riou qui cite les travaux de l’Alliance pour la Confiance Numérique (ACN), « il serait opportun de pousser nos technologies nationales car les JO représentent une magnifique vitrine pour notre industrie cyber française et plus globalement notre industrie de sécurité numérique ».
Côté organisation, le budget de l’édition parisienne sur la cybersécurité s’élève à plus de 17 millions d’euros. Il comprend un programme de prévention et de défense avec des simulations grandeur nature, un code d’application sécurisé, un effort d’étanchéité des couches réseau et serveurs dans la conception des infrastructures, des audits de sécurité ou encore la mise en place de SOC. Un programme de sensibilisation est également mis en œuvre avec la formation des collaborateurs, des sponsors, des sous-traitants, des athlètes et toute partie prenante, et s’accompagne d’un cahier des charges strict imposé à l’ensemble de la chaîne des sous-traitants. Anne Le Hénanff, titulaire de la chaire de cybersécurité des grands évènements de l’Université Bretagne Sud, insiste quant à elle sur le rôle des collectivités locales qui vont accueillir des délégations sur leur territoire et sur l’importance de les embarquer dans ce sujet cyber. À l’occasion d’un colloque en février dernier sur “la réussite des JO Paris 2024, un enjeu crucial de cybersécurité”, elle sensibilise au fait que : « si leur attention est légitimement portée sur les questions de sécurité physique et autre gestion de flux de personnes, les collectivités ne sont pas du tout sensibilisées aux problématiques de cybersécurité. Leur montée en compétence sur ce sujet constitue une condition sine qua non de la réussite des Jeux olympiques. »
Dans la lignée des éditions précédentes, la menace cyber qui pèse sur les Jeux olympiques et paralympiques de Paris 2024 est la perturbation étatique. Avec les risques d'attentats ou autre problème de sécurité intérieure, la cybersécurité ne doit pas s’envisager en silo, mais comme faisant partie intégrante du programme de sécurité de l’événement. Pour Vincent Riou, il est impensable de décorréler la sécurité physique et la cybersécurité et de prendre en compte le caractère de plus en plus hybride des cybermenaces. « Certains attaquants pourraient être tentés d’attaquer certains systèmes pour pouvoir rentrer dans les enceintes sans droit d'accès, ou provoquer la sortie des spectateurs et leur regroupement à l’extérieur des enceintes protégées, ce qui faciliterait des attaques terroristes. Les cyberattaques deviennent alors des facilitateurs d'attaques à fort impact. La cybersécurité est une partie intégrante, et non à part, du système de sécurité globale des Jeux. »
Dans le récent rapport des sénateurs Meurant et Cardon relatif à la cybersécurité, l’ambition affichée est clairement de « positionner l'industrie française comme leader mondial de la cybersécurité et de la sécurité de l'Internet des objet ». Les JO de Paris 2024 seraient alors une formidable occasion pour le faire. Autorités françaises, COJO, entreprises partenaires et sponsors, entreprises de cybersécurité… tous unis pour faire de cet événement un événement sécurisé pour laisser place aux festivités. Après l’épisode (raté) de la finale de la Ligue des Champions, la Coupe du Monde de rugby en 2023 se présente comme une session de rattrapage.