Cybersécurité & Jeux olympiques : retours d’expériences avant Paris 2024

Espérons cependant que les chiffres liés aux cyberattaques n’explosent pas tous les records. Après 4 milliards d’attaques cyber lors des jeux de Tokyo en 2021, contre un demi-milliard à Rio en 2016, quel sera le bilan 2024 et comment prévenir les risques ?

Quels risques cyber pèsent sur les Jeux olympiques ?

Pour les organisateurs de cet événement planétaire hors norme, les risques cyber sont omniprésents. Captation vidéo pour la télévision ou les arbitres, caméras de vidéo-surveillance et systèmes d’alarme, lecteurs de badges et de billets… chaque équipement connecté est une porte d’entrée potentielle pour les cyber-criminels. À cela s'ajoutent la logistique et la chaîne de sous-traitance, qui augmentent de manière significative la surface d’attaque.

Mais au-delà de l’organisation, les cibles directes de cyberattaques sont multiples. Que ce soit les spectateurs ou téléspectateurs, notamment dans le cadre de campagnes de phishing avec l’appui de jeux-concours intégrant des liens compromettants, ou encore les sportifs eux-mêmes, par compromission de l’affichage numérique des scores, des chronomètres ou encore le piratage des accès à leurs chambres d’hôtels pour exemple.

Tous sont de potentielles cibles de ces menaces comme le démontrent les retours d’expériences des précédents Jeux olympiques.

Une décennie de cyberattaques sur les Jeux olympiques

Depuis 2004 et les Jeux d’Athènes, le principal risque de perturbation des technologies n'est plus lié aux zones sismiques, mais bien à l’activité de cyber-pirates. En 2008, aux Jeux de Pékin, quelques sites factices avaient été créés pour l’achat de faux billets. Mais la cybersécurité n’arrive au cœur des priorités des organisateurs que depuis l’attaque de la cérémonie d’ouverture des Jeux de Londres en 2012.

Londres, 2012, est l’événement qui marque les débuts du focus cyber-criminel sur les Jeux olympiques. À l’époque, plus de 212 millions de cyberattaques sont relevées dès le jour de la cérémonie d’ouverture, marquée par de multiples offensives comme un déni de service distribué sur l’infrastructure électrique.

En 2014 ensuite, aux JO d’hiver de Sotchi, aucun incident de cybersécurité majeur n’a marqué les esprits. Communication fermée de l’État russe, désintérêt des cyber-criminels ou peur de représailles ? La question reste ouverte…

En 2016, aux Jeux de Rio, les chiffres s’emballent avec un demi-milliard de cyberattaques relevées. Soit 400 attaques par seconde. Des attaques DDoS à fréquences rapprochées et de grande ampleur ont ainsi été menées sur les sites web des organismes partenaires des JO, et ceci plusieurs mois avant la cérémonie d’ouverture.

En 2018, le phénomène s’intensifie à l’œil du grand public ; puisque c’est la cérémonie d’ouverture des Jeux de PyeongChang qui est impactée. Impossibilité pour certains spectateurs d’imprimer leurs billets pour entrer dans le stade, problème avec le Wi-Fi sur le site, panne de retransmission de la cérémonie sur les écrans du stade, capteur RFID inopérant sur les portes d’accès, application officielle des JO non fonctionnelle (soit l’accès à la billetterie, les horaires, les informations sur les hôtels, les cartes d’accès…) ; les conséquences sont alors rapidement palpables.

Les JO de Tokyo 2021, repoussés d’une année pour cause de pandémie mondiale se déroulent à huis clos. Malgré cela, cette édition ne sera pas exempte d’attaques, puisque 4,4 milliards de cyberattaques ont été lancées contre l’organisation. Selon la Nippon Telegraph and Telephone Corporation, différents vecteurs d’attaques furent utilisés comme des courriels de phishing et de faux sites web imitant les sites officiels des Jeux.

En 2022, enfin, lors des Jeux d’hiver de Pékin, c’est l’application officielle de lutte contre la Covid-19 intitulée My2022, qui fera polémique par peur de cyber-espionnage. Une étude de rétro-ingénierie de l’application aurait démontré par la suite que les conversations des athlètes étaient collectées, analysées et sauvegardées sur des serveurs chinois.

Des menaces avant tout extérieures, ciblant les organisateurs, les athlètes, le public mais plus largement des institutions gouvernementales. D’où l’intérêt pour Paris 2024 de se tenir prêt !

Comment se prépare la cybersécurité des Jeux olympiques de Paris 2024 ?

C’est sur les enseignements de ces précédentes éditions que le Comité d'Organisation des Jeux olympiques se prépare à faire face aux cyberattaques. Chaque édition est inédite, dans le sens où ils ne peuvent pas se comparer aux précédentes : le contexte change, les menaces évoluent et les attaques sont plus nombreuses.

Pour faire face à des cyberattaques toujours plus nombreuses, complexes et innovantes, les autorités françaises s'organisent. Ainsi, l’ANSSI a signé un accord de coopération avec son homologue japonais, le NISC (National center of Incident readiness and Strategy for Cybersecurity), l’occasion de renforcer les échanges et le partage d’expériences autour de la cybersécurité des grands événements sportifs. En parallèle, l’ANSSI renforce ses communications pour sensibiliser le plus grand nombre à l’hygiène numérique.

Côté organisation, le budget de l’édition parisienne sur la cybersécurité s’élève à plus de 17 millions d’euros. Il comprend un programme de prévention et de défense avec des simulations grandeur nature, un code d’application sécurisé, un effort d’étanchéité des couches réseau et serveurs dans la conception des infrastructures, des audits de sécurité ou encore la mise en place de SOC.

Dans la lignée des éditions précédentes, la menace cyber qui pèse sur les Jeux olympiques et paralympiques de Paris 2024 est la perturbation étatique. Certains attaquants pourraient être tentés de viser certains systèmes pour pouvoir rentrer dans les enceintes sans droit d'accès, ou provoquer la sortie des spectateurs et leur regroupement à l’extérieur des enceintes protégées, facilitant des attaques terroristes.

Avec les risques d'attentats ou autre problème de sécurité intérieure, la cybersécurité ne doit donc pas s’envisager en silo, mais comme faisant partie intégrante du programme de sécurité de l’événement.