Yahoo Actualités Arnaques, déstabilisation... Comment les hackers pourraient attaquer pendant les JO 2024
Malgré une légère hausse des attaques et arnaques en ligne liées aux Jeux olympiques de Paris, les systèmes de sécurité informatique ne sont pas particulièrement mis sous pression à un mois de la cérémonie d'ouverture, selon plusieurs experts.
"C'est peut-être le calme avant la tempête", résume Jérôme Saiz, spécialiste des gestions de crise cyber.
Alors que les Jeux de Paris démarrent le 26 juillet dans un contexte international particulièrement tendu, l'Agence française de sécurité informatique (Anssi), qui assure la gestion de ces attaques avec le ministère de l'Intérieur et l'assistance éventuelle des forces de cyberdéfense du ministère des Armées (Comcyber), affirme ne pas voir "d'accélération de manière flagrante" du nombre d'attaques dans ce sprint final.
"On est dans les temps sur notre préparation", se félicite Vincent Strubel, directeur général de l'Anssi, qui accompagne près de 500 acteurs de l'événement.
"C'est un dernier tour de piste plutôt satisfaisant" (...) et la France a fait plus que n'importe quel organisateur précédent pour assurer la cybersécurité des Jeux", assure-t-il.
Après des mois, voire des années, de préparation, les équipes de défenses informatiques sont "dans les starting-blocks", explique Matthieu Dierick, de la société de cybersécurité F5.
"On voit des signaux faibles (...) et de petites attaques", constate-t-il.
Signe, selon lui, que les pirates attendent et testent les défenses: "s'ils voient une opportunité, ils attaqueront".
Cibles potentielles
Car si la menace ne s'est pas encore matérialisée en ligne - le directeur de la technologie de Paris 2024, Bruno Marie-Rose, disait s'attendre à "huit à dix fois plus" d'attaques qu'aux JO de Tokyo, "les groupes d'hacktivistes parlent déjà des Jeux olympiques et de ce qu'ils pourront faire pour les perturber", avertit Allan Liska, chercheur en cybersécurité chez Recorded Future.
Leur objectif: déstabiliser l'organisation et ternir l'image de la France, ou du moins créer le plus d'agitation possible sur les réseaux.
Parmi les cibles potentielles identifiées par les experts: les sous-traitants et infrastructures temporaires, potentiellement moins bien préparés, ainsi que le secteur de l'hôtellerie-restauration, vulnérable aux fuites de données des clients.
Mais, pour Matthieu Dierick, "le plus gros risque vient de l'intérieur", à savoir une personne parmi l'organisation ou les bénévoles qui pourrait infiltrer les systèmes.
La Russie, dont les relations avec le Comité international olympique (CIO) sont exécrables et dont les athlètes ne pourront pas participer sous leur bannière nationale, est dans le viseur et "va probablement chercher à plomber un certain nombre de choses", selon Antoine Pitaud, de l'entreprise de sécurité Bitdefender.
Le CIO s'est plaint de campagnes de désinformation russes en novembre et mars. Et Paris a dénoncé une vague d'infox et de manipulations prorusses sur internet en lien avec la guerre en Ukraine.
Premières arnaques
"On a quand même les prémisses des arnaques qui commencent à arriver et ça va continuer à augmenter dans les prochaines semaines", estime pour sa part Vincent Ollivier, expert chez Bitdefender.
Car les 15 millions de visiteurs attendus à Paris pendant l'été représentent "une concentration de gens avec des opportunités de fraude numérique énormes", affirme Jérôme Saiz.
De fausses loteries pour gagner des billets d'entrée ou encore une campagne visant à dérober les données personnelles de propriétaires de food-truck mobilisés pour les JO ont ainsi été repérées ces dernières semaines.
Les experts mettent également en garde face à une hausse alarmante du "quishing" - des liens ou fichiers malveillants intégrés dans des QR codes - et rappellent les bonnes pratiques de sécurité en ligne: mettre à jour ses appareils, éviter de se connecter aux réseaux Wifi publics et de scanner des QR codes inconnus, toujours activer la double authentification (mot de passe et code envoyé par SMS) et surtout utiliser des mots de passe robustes.
Selon un rapport publié mercredi par la société de cybersécurité Kaspersky, qui a analysé la complexité de près de 193 millions de mots de passe trouvés sur le Dark web, près de la moitié d'entre eux peuvent être devinés par les cybercriminels en moins d'une minute.
