Avant même le début de l’événement, les entreprises ont été contraintes d’avertir les supporters des risques de fraude lors de l’achat de leurs billets. En 2023, Martin Kallen, directeur général du Championnat de l’UEFA, a déclaré dans une interview que des millions de demandes non valides avaient été reçues au cours de la première phase de vente. L’un des défis majeurs auxquels ils sont confrontés est que « les bots informatiques opèrent désormais sur le marché noir, et nous devons faire face à l’entrée de millions de ces bots que nous essayons d’éliminer ». Les scams associés à la vente de billets sont un problème récurrent. On trouve des conseils un peu partout, comme sur le site du Centre européen des consommateurs par exemple. Même le BSI (Office fédéral de la sécurité informatique allemand) prépare actuellement un guide de conseils en cybersécurité.

Le problème, c’est que les cybermenaces ne se limitent pas à cibler les supporters pour gagner de l’argent facilement et rapidement. Elles se servent aussi de ces événements pour lancer toutes sortes de cyberattaques. En 2022, lors du dernier grand événement de football organisé au Qatar, Avanan, une société de Check Point, a signalé un déferlement d’e-mails de phishing en rapport avec la Coupe du monde rédigés dans plusieurs langues. Ces phishs avaient pour thématique des billets gratuits, des liens de streaming ou plus simplement des tirages au sort.

À la menace du phishing s’ajoute celle des attaques par déni de service (DDoS). Les entreprises de services informatiques, les diffuseurs de streaming et leurs équipes techniques doivent se préparer à une menace potentielle : le piratage des écrans dans les stades dont le but est de diffuser de la désinformation, des messages politiques ou de discréditer des entreprises. Que des événements sportifs soient victimes de pannes n’est pas une nouveauté en soi, puisque les Jeux olympiques d’hiver en Corée du Sud ont été le théâtre d’une attaque de ce genre en 2018, connue sous le nom de « Olympic destroyer ». Aucune attaque par DDoS pendant les matchs de football n’a encore été signalée, mais elles restent un scénario envisageable. D’autant plus que ce genre d’attaques pourrait servir de diversion pour frapper frontalement et détourner l’attention tandis qu’elles exploitent des vulnérabilités moins évidentes. Ces attaques sont de plus en plus courantes en marge des événements sportifs comme en témoignent les incidents en Corée du Sud. La LCK, souvent qualifiée de « première ligue » du jeu en ligne League of Legends, a été l’un des événements les plus récemment touchés par ces attaques. Lors de matchs organisés en février dernier, les parties ont été interrompues par des attaques par DDoS.

La multiplication des outils d’IA et des deepfakes faciles à créer et encore plus faciles à faire avec des stars du football, des célébrités et des personnalités politiques inquiète de plus en plus. Selon les recherches, on recense plus de 3000 référentiels liés à la technologie deepfake sur des plateformes open source telles que GitHub. Des centaines de canaux (environ 400 à 500) et de groupes proposant des services de deepfake sont hébergés sur Telegram. Il peut s’agir de bots automatisés qui guident les utilisateurs tout au long du processus ou de services personnalisés, directement offerts par des particuliers. Les prix de ces services varient et commencent à 2 dollars la vidéo et peuvent aller jusqu’à 100 dollars pour plusieurs vidéos. Les prix du clonage vocal commencent à environ 10 dollars par mois et vont jusqu’à plusieurs centaines de dollars. Les prix varient en fonction des options proposées, telles que la synthèse vocale en temps réel, la réduction de la latence ou l’accès à l’API pour seulement 0,006 dollar par seconde de voix générée.

Par ailleurs, il est probable qu’étant donné l’état actuel de la situation dans le monde, les acteurs des États-nations ciblent tout particulièrement les infrastructures essentielles. S’ils arrivent à contrôler les écrans dans les stades, il est tout à fait possible qu’ils s’attaquent aux feux de circulation pour provoquer des embouteillages, semant ainsi la méfiance vis-à-vis de la fiabilité et la sécurité des systèmes critiques, et sapant la confiance collective en la démocratie. On peut également imaginer des attaques contre les systèmes énergétiques qui provoqueraient des pannes locales dans les villes où se déroulent les jeux.

Pour éviter que les entreprises et leurs personnels fans de sport ne tombent dans les filets des cybercriminels, Check Point Software propose les sept conseils suivants :

Proposer des formations pour sensibiliser à la sécurité et éviter les scams ou le phishing associés à des billets ou autres, par exemple les jeux-concours, les offres spéciales en rapport avec le sport.
Intensifier les mesures de cyberprotection contre la désinformation, les « deepfakes », les « voice fakes » et autres techniques d’ingénierie sociale pour manipuler le public, attirer l’attention sur un programme politique ou inciter les consommateurs à adhérer à leurs campagnes de menaces.
Mettre en place des mesures préventives contre les menaces pour bloquer les attaques contre les infrastructures essentielles, y compris celles venant de tiers comme les fournisseurs informatiques, comme on l’a vu lors d’autres événements sportifs, pour prendre le contrôle des services informatiques pendant que les administrateurs sont distraits par les matchs ou que les correctifs et les mises à jour ont été négligés, etc.
Proposer une préparation aux attaques par DDoS, surtout pour les sites d’information gouvernementaux et sportifs, qui pourraient être menacés pendant les jeux et être victimes d’attaques par DDoS ultérieurement.
Intégrer le concept de Zero Trust pour éviter les mouvements latéraux après des intrusions réussies qui peuvent survenir via des e-mails de phishing.
Avoir une réponse en cas d’incident pour garantir la disponibilité des systèmes opérationnels en cas d’attaque réussie.
Avoir des mesures de restauration et de sauvegarde en cas de panne pour réduire considérablement les temps d’arrêt.

Conclusion

Les événements sportifs témoignent de la volonté de l’humanité de collaborer dans une esprit de respect mutuel. Dans la Grèce antique, les Jeux olympiques ont été inventés pour empêcher les conflits entre les cités-États. Les rencontres sportives génèrent également d’importantes retombées financières pour les entreprises participantes qui réalisent d’énormes bénéfices grâce à ces événements. Cet argent et les données de milliers de supporters dans le monde entier pourraient être utilisés pour causer des dommages plus importants avant, pendant et même après les événements, en exploitant des techniques d’ingénierie sociale. Les fans de sport et leurs employeurs doivent donc être vigilants et se prémunir contre les nombreuses cybermenaces qui pourraient les affecter. Il leur faut renforcer la sécurité par des mesures plus strictes pour protéger leurs équipements informatiques, leurs réseaux et leurs services cloud pour être prêts à faire face à des vagues d’attaques. Et comme cela a été le cas par le passé, si tout se déroule sans encombre, le travail discret des responsables de la cybersécurité risque de passer inaperçu et les projecteurs se braqueront sur les stars du football, les célébrités et les personnalités politiques, qu’elles soient sur le terrain ou en dehors. Il serait peut-être temps de leur accorder une médaille et saluer leurs contributions qui ont grandement contribué à la réussite de ces événements.