Alors que la France se prépare à accueillir la Coupe du monde de rugby à XV du 8 septembre au 28 octobre 2023, les menaces de cybersécurité qui pèsent sur les événements sportifs et les sites d’accueil sont de plus en plus diverses, complexes et nombreuses. Si les amateurs de rugby se préparent à vivre l’excitation du ballon ovale, les experts en cybersécurité sont également en alerte.
Au fil des ans, les événements sportifs ont évolué bien au-delà du simple terrain de jeu. La technologie joue un rôle essentiel dans la gestion des stades, la diffusion des matchs en direct, la billetterie ou encore la sécurité des joueurs comme des spectateurs. Cette dépendance croissante à la technologie ouvre toutefois des portes aux menaces Cyber. Les cyberattaques peuvent entraîner des conséquences dévastatrices, allant de la perturbation des opérations à la compromission des données sensibles.
Tandis que les projecteurs seront braqués sur la France à partir de vendredi, les organisateurs et les autorités devront faire face à un certain nombre de défis majeurs.
Le sport, un vaste terrain de jeu numérique
En effet, les événements sportifs représentent une cible attrayante pour les cyberattaques, car ils réunissent un grand nombre d’appareils connectés dans un seul environnement. Et, avec un marché mondial du sport dont la valeur marchande est évaluée à plus de 500 milliards de dollars en 2023, la cible est riche. Les sites sportifs, ainsi que les appareils et les réseaux qu’ils contiennent ou qui transitent en leur sein sont de plus interconnectés, augmentant la surface d’attaque possible. Les points d’attaque peuvent aller des services de vente aux appareils des visiteurs, en passant par les infrastructures informatiques des stades. Les données personnelles des visiteurs, mais aussi des équipes sont vulnérables. S’y ajoute un risque de perte de données sur les performances sportives et sur l’avantage concurrentiel des équipes et des athlètes.
Les exemples d’attaques touchant au monde sportif ne manquent pas. En janvier 2018, lors de la cérémonie d’ouverture des Jeux olympiques d’hiver à Pyeongchang (Corée du Sud), des acteurs de la menace russe ont attaqué des serveurs, mettant hors service le site officiel des Jeux. Des équipes de football, comme Manchester United, de basketball, comme les Houston Rockets, ou encore de football américain comme les 49ers de San Francisco ont été touchés par des ransomwares depuis 2020. En mars 2022, ce sont les données personnelles des joueurs américains de la Ligue majeure de baseball et de leur famille qui ont été dérobées après une cyberattaque contre un fournisseur tiers. En juin dernier, le groupe Play Ransomware a revendiqué une cyberattaque contre la fédération française de rugby, affectant notamment les serveurs de messagerie. Les attaquants ont affirmé être en possession de données personnelles et privées d’employés de la FFR et de clients, touchant notamment aux passeports et aux données relatives aux ressources humaines.
Dans son rapport Cyber Signals, Microsoft, support cyber des infrastructures critiques de la Coupe du Monde de football au Qatar fin 2022, expliquait que « dans l’ensemble, le nombre total d’entités et de systèmes surveillés vingt-quatre-sept avec une chasse aux menaces et un soutien de réponse dirigés par l’homme englobait plus de 100 000 terminaux, 144 000 identités, plus de 14,6 millions de flux de courrier électronique, plus de 634,6 millions d’authentifications et des milliards de connexions réseau ». Si la société ne donne pas le nombre d’événements de sécurité intervenus pendant la Coupe du monde, elle indique avoir bloqué plusieurs activités de pré-ransomware, notamment ciblant le réseau de soins de santé qatari. Une attaque par déni de service sur les serveurs de billetterie de la FIFA a également rendu indisponibles les QR codes et les codes-barres de plusieurs milliers de billets pour les matchs Angleterre-Iran et France-Australie.
La Coupe du Monde de rugby 2023, une cible de choix
Dans un document rendu public le 30 août, l’ANSSI présente les « principales menaces pesant sur les systèmes d’information (SI) mis en œuvre » lors de la Coupe du Monde de rugby 2023 ainsi que des Jeux Olympiques et Paralympiques 2023, ainsi que « des exemples concrets d’attaques conduites contre le secteur en France ou à l’étranger ». Nous pouvons ainsi lister trois principaux défis auxquels les organisateurs et les autorités françaises devront faire face.
- Menaces de phishing ou d’ingénierie sociale
Avec 2,5 millions de billets de matchs vendus pour l’édition 2023 et un record d’audience de 851 millions de téléspectateurs pour la RWC 2019 au Japon, la popularité des Coupes du Monde de rugby attire l’attention des cybercriminels qui cherchent à exploiter cet intérêt pour mener des attaques de phishing et d’ingénierie sociale. Les supporters, les organisateurs et les partenaires de l’événement peuvent être ciblés par des e-mails, des messages ou de faux liens qui les incitent à divulguer des informations sensibles ou à télécharger des logiciels malveillants. La création de fausses applications inondant les magasins Apple et Android ou encore les tentatives d’hameçonnage liées à la vente de faux billets sont également à craindre. Ces attaques peuvent conduire au vol d’informations personnelles, à la compromission des comptes en ligne et à d’autres problèmes de sécurité.
Les données personnelles des joueurs, des fans et des autres participants à l’événement doivent ainsi être gérées avec le plus grand soin. Cela inclut les informations de billetterie, les données de réservation d’hôtel ou encore les détails médicaux des joueurs. Les organisateurs doivent se conformer aux réglementations de protection des données telles que le RGPD (Règlement général sur la protection des données) et mettre en œuvre des mesures de sécurité adéquates pour éviter les fuites de données ou les accès non autorisés.
- Complexité de l’infrastructure numérique
Organiser un événement aussi vaste et complexe que la Coupe du Monde de Rugby nécessite une infrastructure numérique sophistiquée. Cela inclut des systèmes de billetterie en ligne, des applications mobiles pour les supporters, des systèmes de surveillance de sécurité, des plateformes de diffusion en direct et bien plus encore. Chaque composant de cette infrastructure représente une surface d’attaque potentielle pour les cybercriminels. Le challenge consiste à protéger chaque élément tout en assurant leur interconnexion harmonieuse pour une expérience utilisateur sans faille.
Cette tâche est rendue d’autant plus difficile par la structuration de la chaîne d’approvisionnement du monde du sport, qui assiste à un enchevêtrement de partenaires en tous genres, des mairies hôtes des matchs aux fournisseurs de boissons dans les stades. Cela induit une collaboration des organisateurs avec de nombreux fournisseurs de services technologiques. Or, chaque fournisseur introduit potentiellement de nouvelles vulnérabilités dans l’écosystème numérique de l’événement. Par exemple, une faille de sécurité chez l’un des sous-traitants pourrait être exploitée pour compromettre l’ensemble de l’événement. Les organisateurs doivent exercer une diligence raisonnable dans le choix de leurs partenaires technologiques et exiger des normes de sécurité strictes.
- Attaques ciblées sophistiquées
Enfin, les cybercriminels de tous types peuvent percevoir la Coupe du Monde de rugby comme une opportunité idéale pour mener des attaques ciblées sophistiquées. Cela pourrait inclure des attaques de type APT (Advanced Persistent Threat) visant à infiltrer les systèmes de l’événement sur une longue période afin de voler des données sensibles ou de perturber les opérations.
L’ANSSI inscrit cette menace dans un contexte géopolitique difficile, notamment perturbé par le conflit russo-ukrainien. L’agence explique que « des puissances étrangères pourraient se livrer à des actes de sabotage à l’égard des systèmes d’information de la CdM 2023 et des JOP 2024 afin de discréditer l’image de la France et de réduire les retombées économiques positives de ces évènements ».
Enfin, l’ANSSI cite aussi des risques d’espionnage liés à de tels événements. En effet, si le match se joue de manière visible sur le terrain, les Coupes du Monde sont également des rendez-vous diplomatiques incontournables, qui réunissent dans un même lieu de nombreuses personnalités politiques ou dirigeants d’entreprise.
Les organisations doivent ainsi se prémunir contre ces attaques en renforçant la sécurité de leurs systèmes et en surveillant activement toute activité suspecte.
Quelles stratégies de cybersécurité pour préserver l’intégrité de l’événement ?
Pour la Coupe du Monde de rugby comme pour les Jeux Olympiques et Paralympiques l’an prochain, les organisateurs devront adopter une approche proactive et multidimensionnelle pour garantir la cybersécurité.
L’évaluation des risques et la planification de l’événement est ainsi essentielle pour identifier les vulnérabilités potentielles. Dans ce cadre, le Comité d’Organisation de la Coupe du Monde de Rugby 2023, réunissant la Fédération Française de Rugby (FFR), l’Etat français et le CNOSF, a chargé l’ANSSI de piloter les opérateurs de cybersécurité, pour sécuriser notamment le système de billetterie. Selon des informations données par le directeur de ce groupe d’intérêt public, Julien Collette, lors de son audition au Sénat en février dernier, le comité a fait le « choix stratégique de maîtriser l’ensemble du processus » des billets, uniquement sous forme électronique, afin de « pouvoir intégrer les données des clients dans leurs dispositifs de sécurisation ».
L’ANSSI opère également une veille permanente des menaces, ainsi qu’une surveillance constante des réseaux et des systèmes, avec l’aide d’un prestataire spécialisé, avant d’éviter tout effondrement du système de contrôle des accès aux stades. Un centre des opérations de sécurité et de cybersécurité a ainsi été créé pour la compétition pour gérer les menaces en temps réel et apporter une réponse rapide, cruciale pour minimiser les dommages sur l’événement et les participants.
De plus, le renforcement de la sécurité des systèmes et des réseaux, de même que leur supervision en continu sont des axes prioritaires soulignés par l’ANSSI dans son état de la menace. L’agence mentionne une quinzaine de mesures à mettre en place, dont la sécurisation de la configuration des équipements et des logiciels utilisés, la journalisation des événements, la sécurisation des postes de travail et des terminaux mobiles des utilisateurs ou encore la mise en œuvre de contre-mesures aux cyberattaques de type ransomware ou déni de service.
Enfin, la sensibilisation de tous est essentielle pour la réussite de l’événement. Toutes les parties prenantes, y compris le personnel, les joueurs, les supporters ou les fournisseurs, doivent être sensibilisées aux risques de cybersécurité et aux meilleures pratiques en termes de protection des données et d’utilisation d’Internet. Il est prouvé qu’une vigilance humaine accrue contribue à réduire sensiblement les probabilités de succès des attaques. En conclusion, la cybersécurité est un élément incontournable de la Coupe du Monde de Rugby 2023 en France. En adoptant des stratégies proactives et robustes, les organisateurs peuvent offrir une expérience positive aux participants et préserver la réputation de l’événement. La combinaison de la sensibilisation, de la planification minutieuse, de la surveillance constante et de la collaboration étroite avec les autorités permettra de contribuer à l’intégrité de l’événement et de faire en sorte que la Coupe du Monde de Rugby 2023 soit à la fois un triomphe sportif et une référence en matière de sécurité numérique. L’événement servira également de répétition générale avant la grande messe olympique à l’été 2024.
