Le 2 décembre 2010, le président de la FIFA Sepp Blatter annonça que la Coupe du monde 2022 se déroulerait au Qatar. Le petit État membre du Conseil de coopération du Golfe (CCG) disposait donc d’une douzaine d’années pour construire les stades, trouver une solution aux problèmes posés par le climat, renforcer les infrastructures aéroportuaires, et agrandir la flotte de sa compagnie aérienne porte-drapeau. Mais dans un monde de cyberguerre et de panoramas de menaces en perpétuelle évolution, qu’a fait le Qatar pour défendre son cyberespace, et cela s’avèrera-t-il suffisant ?

Les cyberattaques lors d’événements sportifs précédents

Lorsque nous portons notre regard sur les événements sportifs du passé, il devient évident que les événements majeurs et les cyberattaques ont tendance à aller de pair.

Lors des Jeux Olympiques d’été de Rio en 2016, le groupe de hackers APT28 parvint à accéder au Système d’administration et de gestion antidopage (ADAMS) de l’Agence mondiale antidopage (WADA). Par la suite, le groupe APT28 fit paraitre des informations selon lesquelles des athlètes américains, y compris Simone Biles et Serena et Venus Williams, auraient été autorisés à participer aux Jeux bien qu’ayant été contrôlés positifs à des substances interdites.

En 2018, les Jeux de Pyeongchang furent la cible d’une cyberattaque conséquente qui entraina la coupure de tous les contrôleurs de domaine au sein des centres de données accompagnant l’événement. Ceci empêcha les spectateurs d’imprimer leurs billets ; les journalistes ne purent pas accéder au réseau Wi-Fi ; Internet et les émissions TV furent coupés, les portes fonctionnant grâce à l’identification par radiofréquence se fermèrent ; et l’application officielle des Jeux affichant les programmes, les réservations d’hôtel et les plans d’accès fut mise hors service. Par la suite le malware responsable de cette attaque fut nommé « Olympic Destroyer ».

En 2020, une cyberattaque similaire du renseignement militaire russe contre les JO de Tokyo fut déjouée par les renseignements américains et le centre de cybersécurité britannique.

Étant donné que le foot est sans doute le sport le plus populaire de la planète, le plus grand événement footballistique est au moins aussi susceptible que les JO d’attirer l’attention des hackers. Jetons un coup d’œil aux deux précédentes coupes du monde et aux attaques qui les ont visées :

La Coupe du monde de la FIFA 2014. En 2014, le Brésil fut la cible d’un déferlement de cyberattaques sans précédent. Les attaques DDoS, de spear-phishing et de malware ne furent que quelques-unes des menaces à viser indifféremment les sites de l’État, les employés de la fonction publique, les citoyens et les visiteurs. Dès le mois d’avril 2014, deux mois avant l’événement, des cyberattaques contre les infrastructures publiques provenaient des quatre coins du monde et visaient presque 2000 cibles par jour.

Quelques jours avant le début de la compétition, les employés du Ministère des affaires étrangères furent la cible de plus de 600 mails de spear-phishing, incitant les fonctionnaires à soumettre leurs données d’identification sur un faux site web. Ceci eut pour conséquence l’accès sans autorisation aux emails et aux carnets d’adresses des employés, et permis aux pirates d’avoir la main (au moins en partie) sur l’infrastructure de la messagerie du ministère pour une durée indéterminée.

Pendant la compétition, des fuites de données personnelles d’identification découlèrent de cyberattaques ciblant le site de la police militaire de l’État de Rio de Janeiro et de l’agence nationale de réglementation des assurances santé.

En outre, des attaques DDoS firent tomber les sites du Ministère de l’emploi et du travail et du Ministère des sports, et les sites d’organisations telles que Banco do Brasil et Universal Music furent dégradés.

La Coupe du monde de la FIFA 2018. En 2018, le représentant spécial du président russe pour la coopération internationale en cybersécurité, Andrei Krutskikh, annonça que la Russie avait détecté environ 25 millions de cyberattaques visant à perturber la Coupe du monde 2018. Aucune information supplémentaire n’a toutefois été fournie sur la nature ou les cibles des cyberattaques.

Les attaques d’ingénierie sociale étaient particulièrement en hausse, incitant les gens à télécharger des logiciels malveillants. Ceci est facile à réaliser lorsque certains fans de foot n’ont pas accès à des sources légitimes de couverture en direct et doivent recourir à des sites de streaming illégaux qui sont généralement infestés de liens de téléchargement de logiciels malveillants. Une application malveillante téléchargée à partir de tels sites a été identifiée par TrendMicro sous le nom d’AndroidOS_DarDesh.HRX, et a été employée pour voler des données de localisation, des enregistrements d’appels et des fichiers stockés dans des mémoires externes. Une autre application identifiée comme W2KM_POWLOAD.ZYFG-A agissait comme un enregistreur de frappe et permettait aux attaquants de prendre des captures d’écran et de rechercher des fichiers.

En outre, Group-IB, un important fournisseur de services de renseignement en cybersécurité, identifia plus de 1 500 domaines faux ou illégaux en rapport avec « FIFA », « Russie » et « Coupe du monde 2018 ». Ces domaines étaient employés à des fins de fraude en ligne, incitant les utilisateurs à acheter de faux billets, ou se servant de phishing pour obtenir leurs données de paiement et leurs données personnelles.

Par ailleurs, le groupe DarkHotel, lié à la Corée du Nord, et le groupe ATP28, lié à la Russie, sont tous deux connus pour cibler les réseaux Wi-Fi des hôtels lors d’occasions particulières, ce qui leur permet d’installer des portes dérobées sur les systèmes informatiques d’invités afin de leur soustraire des données sensibles. Ceci a conduit le FSB à effectuer des vérifications de réseaux informatiques dans les hôtels pour s’assurer qu’aucune attaque de ce type n’avait lieu.

Il est donc évident que si nous devions tirer les leçons du passé, la cyber sécurité devrait être une priorité absolue dans la préparation d’un événement sportif. Mais l’histoire et les violations précédentes ne sont que l’une des nombreuses composantes du panorama de menaces. D’autres pièces du puzzle tout aussi importantes sont les différents mobiles des acteurs de la menace. Jetons un œil aux plus importants.

Les motivations des acteurs de la menace lors d’événements sportifs

Les acteurs de la menace sont toujours à la recherche de nouvelles occasions pour frapper. Même le Covid fut considéré comme une telle occasion, avec une augmentation constatée des attaques d’ingénierie sociale exploitant des sujets liés à la pandémie.

Il est donc normal qu’un événement aussi important que la Coupe du monde de la FIFA soit considéré comme une mine d’occasions pour les pirates cherchant à se faire de l’argent ou les hacktivistes cherchant à se faire entendre.

Les arnaques financières : Les événements sportifs importants vont souvent de pair avec les arnaques financières. Les méthodes typiques consistent à récupérer des numéros de cartes bancaires via des sites factices proposant de faux billets ou de la fausse marchandise. Les méthodes plus avancées s’appuient sur le copiage de cartes dans les TPV et DAB pour récupérer les données de cartes bancaires de la foule de visiteurs se servant du paiement électronique.

Dans une société sans argent liquide comme le Qatar, il faudra faire attention aux attaques visant les systèmes de paiement électronique.

Toutefois, les spectateurs ne seront pas les seuls à devoir faire attention. Selon Ernst & Young, le montant total des pertes liées à la fraude chez les athlètes s’élevait à près de 600 millions de dollars entre 2004 et 2019, et cela ne tient compte que des pertes reconnues publiquement. Les footballeurs étant parmi les mieux payés au monde, ils constituent une cible idéale pour les hackers en quête de gain financier.

Le hacktivisme social : Les hacktivistes sont des acteurs de la menace qui pensent se battre pour une cause. Lors de la Coupe du monde au Brésil, un groupe d’hacktivistes protestait contre l’organisation de la Coupe du monde dans un pays à l’économie défaillante, tandis qu’un autre groupe ciblait les sponsors de la Coupe du monde afin de prendre position contre la dépense de telles sommes d’argent pour ce genre d’événements. Les grands événements sont donc le rêve des hacktivistes qui veulent se faire entendre. Cela sera d’autant plus vrai pour le Qatar en raison des controverses autour de certains sujets liés aux droits de l’homme qui ont fait la une cette année, ainsi que de son statut d’acteur majeur de l’industrie pétrolière et gazière qui en fait une cible des hacktivistes écologiques.

Les attaques menées par d’autres États : Les attaques menées par d’autres États font partie des menaces les plus dangereuses car les pirates ont le poids de la recherche et d’un budget conséquents derrière eux. De telles attaques résultent principalement de la dynamique géopolitique, et le Qatar est une nation avec une situation géopolitique unique. Alors que l’Europe demande toujours plus d’approvisionnement en gaz au Qatar pour remplacer le gaz russe, et que l’État qui accueille la Coupe du monde cherche à améliorer sa réputation au sein de la communauté internationale, l’événement éveillera sûrement l’intérêt d’acteurs de la menace russes et d’autres États.

Les exemples ci-dessus ne sont qu’un sous-ensemble de la multitude d’acteurs de la menace auxquels le Qatar devrait faire face lors de l’organisation du plus grand événement sportif au monde. Face à un tel panorama de menaces, qu’a fait le pays pour améliorer sa cyberdéfense, et cela suffira-t-il ?

Les mesures de cybersécurité du Qatar

Le Qatar étant un petit pays accueillant pour la première fois un événement de cette envergure, il était tout à fait raisonnable de demander de l’aide. Le soutien le plus important apporté au Qatar est venu d’Interpol et a été baptisé Projet Stadia.

Le projet Stadia : Le projet Stadia est une initiative d’Interpol qui a dix ans. Sa mission est de sécuriser les grands événements sportifs en général, et la Coupe du Monde de la FIFA 2022 en particulier. Le projet, financé par le Qatar, rassemble des experts lors de réunions annuelles, où divers aspects de cybersécurité sont étudiés et explorés, tels que les capacités nationales de cybersécurité, la gestion des risques, l’internet des objets et les systèmes de contrôle industriel. Le résultat est un vaste ensemble de préconisations pour sécuriser le pays et ses infrastructures pendant l’événement.

Le Qatar a également dû s’appuyer sur des ressources et des initiatives intérieures pour sécuriser son paysage cyber. Le pays a dû mobiliser son équipe d’intervention en cas d’urgence informatique (CERT) existante, mener des exercices annuels de cybersécurité et développer un cadre pour diriger les organisations essentielles dans la mise en œuvre des capacités de cyberdéfense nécessaires.

Q-CERT : L’équipe d’intervention en cas d’urgence informatique du Qatar (Qatar Computer Emergency Response Team, ou Q-CERT) fut établie en 2005 par le Ministère des transports et de la communication, en partenariat avec l’institut du génie logiciel (Software Engineering Institute) de l’université de Carnegie Mellon.

Q-CERT est responsable d’un certain nombre de mesures de cybersécurité mises en œuvre en préparation de la Coupe du monde. En réalité, Q-CERT met en place un centre de renseignements sur les menaces et développe un système de surveillance des menaces entièrement automatisé. Ceux-ci se complèteront pour assurer l’identification et l’atténuation en temps opportun des menaces de cybersécurité pour le réseau de l’État.

Q-CERT dotera également le Qatar de capacités d’analyse des logiciels malveillants en créant un laboratoire d’analyse des logiciels malveillants où le malware récupéré via d’autres initiatives pourra être rétro-conçu et analysé.

Exercices de cybersécurité : Dans le but de s’assurer que les entités du pays seront prêtes à se défendre contre les cyberattaques, le Qatar mène des exercices de cybersécurité tous les ans depuis 2013. Les exercices couvrent divers aspects de la sécurité tels que la défense, la résilience, la réponse aux incidents et la continuité des activités.

L’édition 2022 des exercices a été la plus importante, avec la participation de plus de 125 entités gouvernementales et non gouvernementales du secteur des infrastructures essentielles. Plus de 1400 personnes ont participé aux exercices qui consistaient en différents scénarios et manœuvres visant à évaluer les capacités des entités à détecter et répondre aux cyberattaques.

Cadre de cybersécurité Qatar 2022 : Le Supreme Committee for Delivery and Legacy (organisme chargé de l’organisation de la Coupe du monde) du Qatar a publié le cadre de cybersécurité Qatar 2022 qui « définit les principales cybercompétences et cybercapacités requises pour protéger les services nationaux essentiels accompagnant ce prestigieux tournoi », comme indiqué dans l’avant-propos du cadre par le colonel Al Sulaiti, directeur exécutif de la sécurité du comité. Diverses parties ont contribué à l’élaboration du cadre, y compris des représentants du gouvernement et de la société civile et des experts en la matière.

Le cadre de 425 pages est au même niveau que d’autres normes et cadres internationaux de cybersécurité et fournit des contrôles pour la mise en œuvre de capacités de cybersécurité communes telles que la gouvernance de la cybersécurité et la sécurité des points de terminaison, des applications et du réseau. Il couvre également des fonctionnalités plus spécialisées telles que la surveillance de la sécurité des technologies d’exploitation, l’Internet des objets et la sécurité du cloud.

Les contrôles sont mappés aux normes internationales telles que ISO 27001, NIST SP 800-53, PCI-DSS et le RGPD, et le cadre fournit même des mesures de sécurité qui permettent de mesurer l’efficacité des contrôles dans chaque capacité.

Les entités qui font partie de l’écosystème de la Coupe du monde devront mettre en œuvre les capacités et les compétences applicables à leurs opérations.

Sur le papier, il semblerait que le Qatar ait la situation bien en main. Mais comment cela se traduit-il dans le secteur de la cybersécurité de l’État, et dans quelle mesure les organisations essentielles du pays parviennent-elles à suivre le flot de réglementations et de politiques ?

La situation sur le terrain

L’écart entre la conformité aux normes et réglementations et la posture de sécurité réelle est quelque chose que nous constatons tous les jours dans le secteur de la cybersécurité. La conformité ne se traduit pas directement par davantage de sécurité. Prenons l’exemple de la norme ISO/IEC 27001:2013. Si la conformité à la norme confère un atout marketing en procurant aux clients un sentiment de sécurité, l’on peut être certifié dans un premier temps sans avoir traité tous ses risques, pourvu que ces risques soient identifiés et qu’un plan ait été mis en place pour les traiter. Dans notre métier, nous avons vu de nombreuses organisations se conformer aux normes, lois et réglementations en vigueur, mais être néanmoins victimes d’une infraction.

Mais qu’en est-il des organisations du Qatar qui accompagnent la Coupe du monde ? Alors que toutes ces organisations doivent se conformer aux exigences du Cadre de cybersécurité Qatar 2022, la plupart d’entre elles n’ont pas été en mesure de le faire à temps. Lors d’une visite professionnelle au Qatar, il est apparu que certaines organisations essentielles ne se sont pas encore conformées aux exigences du cadre, ni n’ont été auditées par le régulateur. Il serait très optimiste de penser que dans les quelques mois qui nous séparent de la Coupe du monde, les non-conformités pourront être identifiées et traitées dans toutes les organisations de l’écosystème de la Coupe du monde.

Compte tenu de l’évolution à la fois des menaces et des méthodes défensives, le niveau de préparation à la cybersécurité lors de cette Coupe du monde sera l’un des plus élevés dans l’histoire des événements sportifs. Cependant, il se peut que les efforts mis en place par le Qatar au cours des neuf années de préparation cyberdéfensive ne se traduisent pas sur le terrain.

L’on dit que la préparation, c’est la moitié de la bataille ; l’autre moitié se jouera lors de la compétition. Alors que des millions de fans encourageront leurs équipes, un autre match se déroulera dans les coulisses : des acteurs de la menace réputés pour leur attaque seront prêts à tout donner, mais ils affronteront une équipe qui s’est longtemps entrainée et préparée à affronter le pire. Ce sera un match intéressant à regarder.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.