A vos marques, prêts, 💥 bang 💥 !
C'est un classique des épreuves d'athlétisme: le pistolet (désormais électronique) retentit, les coureurs s'élancent et le chronomètre est lancé. Pour que les athlètes des Jeux olympiques puissent librement donner le meilleur d'eux-mêmes, il faut s'assurer que rien ne puisse venir gâcher la fête. Et parmi les dangers attendus, il faut désormais compter sur des attaques informatiques.
Selon Mandiant, une société de sécurité informatique faisant partie de Google, les principales cybermenaces qui planent sur les Jeux olympiques de Paris proviennent d'Etats étrangers: la Russie en tête, suivie de la Chine, l'Iran et la Corée du Nord. Les hackers de Poutine, vexé de voir ses athlètes empêchés de courir sous le drapeau russe par le Comité olympique, vont-ils tenter de faire des dégâts?
En 2021 à Tokyo, les cyberattaques avaient atteint un nombre record, déjà le fait de hackers russes. Cette année à Paris, le nombre attendu était de «huit à dix fois plus élevé». Mercredi dernier, le ministre de l'Intérieur Gabriel Attal confirmait que 68 attaques informatiques avaient été déjouées. «De faible intensité» certes, mais dont au moins deux visaient les sites olympiques.
Le nombre de ces tentatives va, selon toute vraisemblance, continuer à augmenter d'ici la fin de la compétition. Une équipe de cybersécurité a été mise sur pied pour protéger les JO de tout type de hacking possible: le Cyber security operations center, ou CSOC, qui a mis en garde contre de possibles attaques commises par des «Etats, acteurs du crime organisé ou activistes». Les cibles? Les «contrôles d'accès» des sites, la billetterie et les revenus, mais surtout «les compétitions elles-mêmes».
Et au cœur des compétitions, une cible essentielle pourrait faire, si elle était touchée, de sacrés dégâts: le chronomètre.
Car les spectateurs des Jeux olympiques auraient tort de prendre les quelques chiffres indiqués à l'écran de leur compétition favorite comme acquis. Le dispositif déployé à Paris est massif: près de 550 chronométreurs et 900 bénévoles sont présents, pour des tonnes et des tonnes de matériel. «Pas loin de quatre fois la délégation suisse», s'amuse avec une pointe d'ironie Alain Zobrist, CEO de Swiss timing. Durant le temps des JO, l'entreprise de chronométrage basée dans le Jura bernois est représentée sous la marque Omega timing, chronométreur des Jeux depuis 1932. Les deux entités font partie du Swatch Group.
«On s’assure que tous les résultats, toutes les performances soient affichés à la télé pour les 32 sports présents et 329 épreuves. On est éparpillés un peu partout, y compris à Marseille et à Tahiti, pour le surf», explique le patron des chronométreurs.
«Chaque système déployé est différent, il peut s’agir d’un chronomètre comme d’un outil de comptage du scoring, ou des points lors d’un combat», détaille Alain Zobrist. Et hors de question de voir la moindre panne impacter le grand spectacle des JO et les performances des athlètes. A commencer par la cybersécurité:
«Des mesures nous permettent de sécuriser nos opérations», assure le CEO, mais sans pouvoir donner de détails informatiques trop précis. Et ce, pour raisons évidentes de sécurité. Contacté, l'expert en sécurité informatique Paul Such, actif avec sa société hacknowledge, se demande tout d'abord:
«Une partie de nos réseaux fonctionne de manière fermée», explique toutefois Alain Zobrist, qui précise «disposer de spécialistes en informatique sur place. On travaille étroitement avec les équipes du comité olympique et les autorités à Paris».
En cas d'attaque sur le réseau électrique, le système peut également tenir: «Nous disposons d’une alimentation indépendante du réseau électrique en cas de panne de courant. Si celle-ci est coupée, nous pouvons brancher des batteries pour s’assurer de terminer les compétitions», indique Alain Zobrist, qui tient à rassurer:
Il faut dire qu'en matière de sécurité informatique, les Jeux olympiques de Paris n'ont pas pris la chose à la légère. Près de 27 millions d'euros ont été déboursés pour le CSOC, cette équipe de choc de white hats, c'est-à-dire de hackers dont le but est de tester la solidité informatique de l'évènement.
Pour Paul Such, qui précise d'ailleurs ne pas connaître les précisions du dispositif d'Omega timing, le risque principal est ailleurs:
Selon l'expert, cela pourrait avoir lieu lors de la fabrication du matériel ou — plus probable — durant le déplacement des installations. «Mais il faudrait avoir une bonne connaissance des éléments en intérieurs», note-t-il.
Un individu qui s'approcherait des chronos pour y brancher avec assurance un dispositif électronique, n’est-on pas dans un scénario de film d’espionnage? «Je pense que le risque est faible, mais ça s’est déjà vu dans d'autres domaines», tempère Paul Such, qui précise:
Ce risque, Paul Such n'est pas le seul à l'évoquer. Le directeur de l'École européenne d'intelligence économique, qui se charge notamment de la formation de white hats, confirmait pour Arte que sur le front des cyberattaques, le risque le plus élevé reste bel et bien l'humain. «Il n'y a pas d'enquête de moralité pour les gens formés en cyber», explique Benoît de Saint-Sernin. Comprendre: il n'est pas complètement impossible qu'une «taupe» se cache parmi ceux qui doivent assurer la sécurité informatique des JO. Il ajoute:
Du côté d'Omega timing, on se borne à indiquer que «le risque cyber est le même pour nous que pour toute autre entreprise». Pour l'heure toutefois, pas de gros couac au niveau du chrono, ce qui indique que le dispositif déployé fonctionne. Ce seront aux agents de sécurité de la manifestation d'être aux aguets et de faire la chasse aux espions poseurs d'implants.