Partager:
Les JO-2024 devraient être la cible de milliards de cyberattaques, "huit à dix fois plus que les Jeux de Tokyo", des menaces accentuées par la cyberguerre en Ukraine, selon le directeur de la technologie de Paris 2024, Bruno Marie-Rose.
"Les JO sont l'un des événements les plus attaqués du monde. C'est le premier cauchemar du directeur de la technologie", a expliqué l'ingénieur et médaillé olympique du relais 4×100m en 1988, en inaugurant lundi à Madrid le centre de tests et d'intégration des JO, installé par le groupe français Atos.
Transmission des résultats en temps réel, diffusion d'images, accréditation des athlètes, des équipes, des officiels... Les systèmes d'information sont au cœur du fonctionnement des Jeux.
Lors des précédents JO "à Tokyo (à l'été 2021, ndlr), nous avons eu 450 millions d'attaques, déjà huit fois plus qu'à Rio en 2016. Et 4,4 milliards de menaces, soit 800 par seconde. Mais zéro impact sur les Jeux", a souligné Christophe Thivet, directeur chez Atos de l'intégration technologique des JO-2024. " En cas de menaces, nous avons pu bloquer tous les flux avant impact".
- "On s'attend à tout" -
"On s'attend à tout", disent les responsables technologiques des Jeux.
D'abord, des hackers qui cherchent à voler des données des organisateurs, par exemple des données d'identifications. "Nous voyons déjà des attaquants qui cherchent à cibler les personnes, avec des tentatives de connexions. Nous faisons attention à notre direction (au comité d'organisation, ndlr)", détaille Bruno Marie-Rose.
Les cyberattaquants recherchent aussi des failles de sécurité dans les systèmes déjà installés. "Nous voyons que certains essaient. Nos systèmes sont scannés en permanence. Quand on voit le tableau des scans, c'est impressionnant. En même temps, c'est juste normal. Déjà le nombre d'attaques avait été multiplié par huit entre Rio et Tokyo", ajoute-t-il.
Autre risque, le détournement de données, par exemple des faux sites de vente de billets. D'où une surveillance tous azimuts.
Atos, chargé de la cybersécurité des Jeux et sponsor du Comité international olympique (CIO), déploie tous les moyens classiques pour repérer les vulnérabilités: hackers éthiques, tests de pénétration, "bug bounty" (chasses aux bugs), simulations d'attaques et surveillance du dark web pour voir si des groupes cybercriminels évoquent les JO, poursuit Christophe Thivet.
Outre un centre de cybersécurité fort de plusieurs dizaines d'experts déjà installé en France, les équipes d'Atos sont épaulées par l'Agence française de sécurité des systèmes d'information (ANSSI).
- "Attaques étatiques" -
La guerre en Ukraine intensifie le risque d'attaques par des groupes pro-russes, reconnaissent aussi à demi-mot les deux responsables.
"Les JO sont une cible pour de la propagande géopolitique. La guerre en Ukraine s'accompagne d'une cyberguerre. Nous craignons particulièrement les attaques étatiques", explique le directeur de la technologie des Jeux. La décision de la participation ou non des athlètes russes provoquera sans doute une cybervigilance accrue.
"Le pire serait des attaques qui provoqueraient une interruption ou une perturbation des compétitions. Un de mes homologues en 2018 aux JO de Pyeongchang avait vu quelques systèmes s'éteindre avant la cérémonie d'ouverture. Je ne veux pas que cela arrive", relève Bruno Marie-Rose.
Que ce soit pour extorquer des fonds ou pour faire passer des messages géopolitiques, les JO représentent pour des hackers une cible de choix, confirme Pierre-Antoine Failly-Crawford, expert en cybersécurité de la société Varonis et ex-hacker éthique.
"En particulier la phase de construction, avec la présence de nombreux prestataires extérieurs qui n'ont pas toujours la même politique de sécurité, ce qui induit des trous dans la raquette", précise-t-il.
Des acteurs malveillants pourraient chercher à compromettre les systèmes embarqués, par exemple le GPS des bateaux, ou encore à pirater les milliers de bornes wifi qui seront mises en place par le comité d'organisation, par exemple pendant la cérémonie d'ouverture inédite sur la Seine, regardée dans le monde entier.
Les JO ne sont jamais à l'abri non plus des attaques par déni de service, ces embouteillages de requêtes qui peuvent bloquer des sites.