Alors que tous les regards sont tournés vers la capitale qui accueillera fin juillet la plus grande compétition internationale, le volume et la sophistication des vecteurs de cyberattaques continuent d’augmenter, et le risque qu’un incident de cybersécurité perturbe cet événement est plus élevé que jamais. Ainsi, sur la base des tendances actuelles et des progrès technologiques, plusieurs nouvelles menaces pourraient apparaître cet été. Voici les plus attendues.
1 - Les attaques centrées sur l'identité
Maintenant qu’il devient beaucoup plus facile pour les acteurs malveillants de se connecter que de pirater, l’identité est le nouveau périmètre à surveiller. Il sera probablement largement ciblé, à la fois au niveau tactique où les tentatives d'accès aux systèmes et aux données chercheront à perturber l’événement, et au niveau stratégique, utilisant ce dernier comme couverture pour capturer les identités et accès des dignitaires étrangers présents. Nous pouvons nous attendre à :- Des pulvérisations de mots de passe et attaques par credential stuffing – Nous avons assisté récemment à une recrudescence des attaques par pulvérisation de mots de passe très médiatisées, notamment les attaques Midnight Blizzard qui ont compromis Microsoft. Avec des millions d’identifiants piratés disponibles, les acteurs malveillants peuvent rapidement dresser des listes de mots de passe courants, par défaut ou compromis, et les tester sur une gamme de systèmes. Il leur suffit d’un seul utilisateur avec un mot de passe réutilisé ou par défaut...
- Des infrastructures d'identité et attaques par porte dérobée – A l’instar du sport, nous nous concentrons souvent sur les joueurs sans trop réfléchir à l'infrastructure qui les entourent. Lors d'attaques récentes, des acteurs malveillants, comme Scatter Spider, ont contourné les contrôles de sécurité protégeant les comptes d'acteurs informatiques clés, tels que les super administrateurs d’Okta. Une fois qu’ils ont accès à de tels comptes, l’objectif est d’ajouter un fournisseur d’identité (IdP) malveillant à l’environnement pour fournir une porte dérobée persistante dans n’importe quel système.
- Des voies cachées vers les privilèges – Avec des connexions de plus en plus complexes entre les systèmes, il est souvent difficile de suivre toutes les manières par lesquelles un acteur malveillant pourrait accéder aux privilèges dont il a besoin pour infliger des dommages. Bien qu'il existe des comptes d'administrateur évidents qui doivent être fortement protégés, dans de nombreux cas, les comptes de bas niveau apparemment sans privilège peuvent également avoir un chemin d'accès aux privilèges via une appartenance à un groupe, une mauvaise configuration ou des droits obscurs, offrant un moyen caché d'élever le niveau de privilèges. Des privilèges que les attaquants pourraient trouver et exploiter.
2 - Des perturbations
Perturber la disponibilité des données peut avoir tout autant d’impact que des attaques sur la confidentialité et l’intégrité des données. Si les acteurs malveillants ne peuvent pas pénétrer dans les systèmes, ils peuvent simplement les bombarder d'attaques par déni de service distribué (DDoS) dans le but de les rendre inutilisables lors d'activités urgentes. Voici des exemples de perturbations :- Des attaques contre l'épine dorsale numérique de l’événement – La compétition attendue dispose d'une large surface d'attaque pour les attaques DDoS, notamment les diffusions en direct mondiales, la billetterie numérique, les infrastructures de transport et les sites Web d'événements. Maintenir ces systèmes opérationnels et disponibles est essentiel au succès d’un tel événement.
- Des déclarations politiques et rançons – Les motivations des attaques DDoS varient. Dans certains cas, elles seront politiquement motivées pour perturber les activités ou la couverture médiatique d’une nation ou d’un groupe de nations spécifique. Dans d’autres cas, les auteurs de la menace tenteront de réaliser des bénéfices en rançonnant les systèmes, exploitant ainsi le caractère urgent de l’événement.
3 - Des escroqueries
Comme pour tout grand événement, les escroqueries ne manqueront pas. De faux tickets, des applications malveillantes, des e-mails de phishing, de l'ingénierie sociale et des vols à la tire sont à prévoir. Si certaines escroqueries seront évidentes, d'autres seront plus subtiles et axées sur la collecte de données :- Des deepfakes – Un certain nombre de fausses vidéos sont apparues en ligne – telles que celle utilisant un Tom Cruise généré par l'IA pour diffuser de la désinformation sur la corruption, ou encore utilisant un faux rapport d'information pour prétendre que les athlètes de certains pays allaient être bannis. Bien que ces vidéos aient été rapidement supprimées de YouTube, elles continuent de circuler sur les réseaux sociaux et semblent provenir des chaînes populaires russes Telegram.
- Des informations personnelles collectées – Les faux sites Web, applications et e-mails de phishing chercheront à collecter autant d'informations personnelles et financières que possible. Ces informations peuvent ensuite être utilisées à diverses fins, notamment pour mener à l’avenir des campagnes d’ingénierie sociale ciblées et sophistiquées. Lors de l’édition de Pékin, l’application officielle My2022 utilisée par les athlètes pour suivre les données de santé liées au Covid19 s’est avérée présenter des failles de sécurité qui pouvaient permettre à un acteur malveillant d’accéder à des informations sensibles. Elle contenait également la possibilité de surveiller les mots-clés politiquement sensibles envoyés dans les messages.
Il en résulte que, parmi les stratégies clés sur lesquelles les organisateurs, les agences gouvernementales et les partenaires en matière de cybersécurité devraient se concentrer pour atténuer les cyber-risques trône celle du moindre privilège, permettant de réduire considérablement la surface d’attaque.
En effet, un rapport de l'ANSSI de 2023 sur la cybersécurité des grands événements sportifs en France désigne les administrateurs comme une cible importante pour les attaquants, suggérant que les fonctions d'administration nécessitent un niveau de vigilance et de protection plus élevé. Le rapport formule également un certain nombre de recommandations concernant la protection des comptes administratifs et la réduction autant que possible de la surface d'attaque en contrôlant l'accès et en évitant l'exposition des services à Internet lorsque cela est possible.
Par Matthieu Jouzel, Senior Solutions Engineer chez BeyondTrust