Du 14 juin au 15 juillet 2018 se tiendra la 21e Coupe du monde de football : si la plupart de l'action se déroulera dans le monde réel, en Russie, quelques affrontements du côté virtuel ne sont pas à exclure. Qu'il s'agisse de la retransmission des matchs, des plateformes de pari ou de la vente des billets, les systèmes informatiques ont eux aussi besoin de défenseurs.
La Coupe du monde de football, comme les autres événements sportifs de grande ampleur, est un moment privilégié de communion internationale, mais également le cadre de déstabilisations étatiques du genre de celle qui a opposé récemment la Russie et l'Ukraine. La différence principale avec les affrontements sur la pelouse tient au fait qu'ici, en général, les pirates se gardent d'arborer leur maillot : le but, ici, est de laisser le moins de traces possibles. La plupart des attributions sont de l'ordre du jeu politique plus que de l'informatique ; du flair et de la capacité à distinguer de véritables empreintes de leurres laissés par les attaquants.
Fournisseurs d'accès, opérateurs, box ADSL sont autant de cibles et de buts à marquer, moins pour provoquer le chaos en déclenchant la furie des spectateurs privés de retransmissions, que pour décrédibiliser le pays organisateur en le soumettant à des dérèglements d'infrastructures critiques telles que les hôpitaux ou les réseaux routiers. La Russie se retrouverait ainsi (encore ?) au cœur de l'actualité cyber...
Les retransmissions : la difficile question de la confidentialité de l'information
Toute retransmission des matches s'expose au risque du piratage : allant du blocage simple, à la manière d'Amélie Poulain se vengeant de son voisin en lui débranchant son antenne au moment des buts, jusqu'à une échelle plus grande, presque industrielle. Problème délicat : il faut pouvoir transmettre de l'information, mais pas trop ; transmettre aux clients, tout en s'assurant que ceux-ci ne se servent pas de leur signal pour le partager avec leurs voisins. En France, les matchs les plus attendus seront diffusés en clair sur TF1 ; ce risque de piratage concernera davantage les matchs diffusés sur des supports payants.
Dans la péninsule arabique, le groupe qatari BeIN Sports accuse déjà l'Arabie Saoudite d'avoir financé un programme de hacking à grande échelle de ses programmes. Mais comment s'en défendre ? Comment chiffrer des données vouées à être diffusées ? Un seul client malveillant (ou un peu trop bienveillant, selon le point de vue) peut récupérer un flux déchiffré et le renvoyer autre part. Vieille question posée par le Digital Right Management : comment garantir qu'une personne visionnant un media ne réussira pas à le retransmettre ? En l'occurrence, la parade de BeIN Sports pour le moment aura été de rendre ses programmes gratuits ! Ce qui sous-entend pour le groupe d’identifier d’autres moyens de générer du revenu (via des contenus additionnels ou le support publicitaire).
Coupe du monde: BeIN Sports fait face à un piratage de grande ampleur au Moyen-Orient. #WorldCup https://t.co/OZzV36ozy2
— Pierre-Yves HENTZEN (@pyhentzen) 28 mai 2018
Billets et plateformes de paris : la primordiale intégrité de l'information
Le principal problème des billets informatiques n'est plus tant celui de la confidentialité de l'information que de sa disponibilité et véracité. Comme lors de l’édition passée au Brésil, cette Coupe du monde est déjà marquée par de vastes campagnes de phishing, visant à vendre de faux billets. Combinées à des attaques en déni de service (ou « DoS »), les conséquences seraient redoutables, dans la mesure où un système incapable de distinguer les vrais billets des faux ne manquerait pas de susciter des files d'attentes monstrueuses à l'entrée des stades, et de poser des problèmes de sécurité bien réels avec les hooligans. Question image, imaginez un match d’ouverture Russie – Arabie Saoudite avec des tribunes presque vides, la majeure partie des supporters restant bloqués aux portes du stade… Ou des journalistes sportifs, abandonnés dans leurs espaces presse sans connexion Internet. L'information doit donc être protégée par des firewalls, des redondances d’équipements et des back-ups fonctionnels même sans accès à Internet.
Question image, imaginez un match d’ouverture Russie – Arabie Saoudite avec des tribunes presque vides, la majeure partie des supporters restant bloqués aux portes du stade…
La question de l'intégrité n'est évidemment pas à négliger, puisqu'il faut pouvoir s'assurer que la personne munie du billet est bien la bonne. Les conséquences de fraudes électroniques de ce type étant toutefois moins désastreuses, le problème de l'intégrité passe ici après celui de la disponibilité. L'aspect de la Coupe du monde où l'intégrité de l'information constitue l'élément le plus critique tient aux plateformes de pari : comment s'assurer que l'argent est remis à la bonne personne, celle qui a eu l'intuition de cet improbable but salvateur de l’Islande face à l’Argentine à la 89e minute ? Il est bien sûr possible de chiffrer l'information et ici, surtout, de mettre en place des techniques de signatures cryptographiques pour s'assurer que la "prédiction" a été écrite par la bonne personne (le site de paris et non pas l'attaquant), au bon moment (avant le but, de préférence !), et qu'ensuite l'argent est remis comme il faut, via les banques.
Contrairement aux systèmes privilégiant la disponibilité de l'information, comme dans le cas des billets, c'est cette fois l'intégrité des données qui passe avant sa disponibilité – peu importe qu'un coffre continue de fonctionner si quelqu'un est parvenu à le vider. On va donc vouloir s'assurer, sur un site de paris en ligne, que les endroits où sont stockés les paris sont protégés des attaques non pas par des systèmes de sauvegarde ou de redondance, mais avec une véritable protection réseau classique combinant chiffrement, mots de passe, firewalls, et système d’analyse automatisée pour identifier les comportements frauduleux.
Et les matchs en eux-mêmes ?
Reste le moment critique du match, évidemment. À l’intérieur du stade, alors que les commentateurs sportifs ont besoin de connexion pour nous faire vivre les matchs en live, les camions de retransmissions, avec leurs énormes antennes montées sur le toit, sont le plus souvent autonomes, directement branchés aux satellites. À moins d'être sur place pour réussir à brouiller le signal du camion – et ce faisant de parvenir à ne pas se faire prendre – il est peu probable qu'un satellite se fasse hacker en plein match.
Sur le terrain, enfin, on devrait pouvoir être tranquille. Le temps est encore assez loin où les pirates pourront modifier en direct les images de l'arbitrage vidéo et transformer le poteau de Gignac face au Portugal en but validé ! Et un arbitrage vidéo entièrement mis à bas par des attaques informatiques ne permettrait toujours pas pour autant à Sergio Ramos d'en profiter pour tacler le goal adverse à volonté – il reste quand même (en théorie) des personnes dans le monde réel pour surveiller ce genre de détails. Avec une bonne hygiène numérique, les joueurs devraient également s’épargner des tentatives de déstabilisation ; le gouvernement britannique est même allé jusqu’à briefer les joueurs de l’équipe d’Angleterre par rapport aux risques de cyber-attaques via leurs smartphones et consoles de jeu ! Tant que ce ne sont pas des androïdes, dont les commandes pourront être piratées à distance, l’équité sportive devrait être respectée.
Le maillon le plus faible, actuellement, n'en reste pas moins celui de la retransmission, non pas du côté camion, mais de celui du téléspectateur. Aucun contenu audio ou vidéo ne reste introuvable longtemps en dehors du marché classique après sa diffusion. Assurer la confidentialité auprès d'une, ou même de dix personnes de confiance, est une chose ; assurer la confidentialité auprès de centaines de millions de spectateurs reste de l'ordre de l'utopie.
Mais le problème le plus grave est-il vraiment celui-là ? Michel Platini déclarait le 20 mai qu'en 1998, la Coupe du Monde avait été "hackée" par ses propres organisateurs de manière à ce que le Brésil et la France s'évitent jusqu'à la finale. Et si pour la prochaine Coupe du monde dans 4 ans, on laissait les intelligences artificielles organiser l'événement, pour se contenter de laisser les humains jouer sur la pelouse ?
Merci à Paul Fariello, Security Researcher et milieu offensif de l’équipe de Security Intelligence chez Stormshield, pour son aide précieuse dans l'écriture de cet article, en collaboration avec Usbek & Rica.
