Les Jeux Olympiques attirent tout autant les amateurs de sports du monde entier que les cybercriminels les plus belliqueux. Or, ces derniers ne sont pas tous à ranger dans le même panier et nous pouvons distinguer trois types de cybercriminels : les activistes, les hackers et les criminels.
À vos marques, prêts… coupure générale d’électricité. Saint-Denis, le 4 Août 2024, 21h49.
Dans un Stade de France où crépitent les flashs des smartphones, devant des centaines de millions de téléspectateurs, une cyberattaque s’adjuge la finale de l’épreuve reine des 32ᵉ olympiades modernes. Cataclysmique. Situation de crise purement hypothétique, ce scénario n’en est pas pour autant impossible. Tout juste invraisemblable.
Car si les protocoles de défense contre de telles menaces se sont perfectionnés, les attaques sont elles aussi de plus en plus sophistiquées, c’est à dire plus dangereuses. Au point de dépasser les strictes frontières du numérique et d’envahir notre monde réel…
Cyberattaque : l’heure au dépassement de fonction ?
En matière de cybersécurité, le risque zéro n’existe pas. En partie à cause de l’humain au cœur de n’importe quel protocole de défense. Et le sujet est essentiellement là : la majorité des attaques informatiques réussies aujourd’hui le sont grâce à (ou à cause de) un processus d’ingénierie sociale. En d’autres termes : par la manipulation qu’un humain exerce avec succès sur un autre humain.
Par ailleurs, les systèmes d’informations sont tellement répandus que même lorsque l’attaque se limite au champ d’action informatique, leur impact en dépasse très largement les frontières. Les pannes de retransmission sur les écrans du stade, les problèmes d’identification des puces RFID ou d’impressions des billets de la cérémonie d’ouverture des J.O de PyeongChang en 2018 en sont témoins.
Les divulgations de données personnelles de bénévoles ou de spectateurs des olympiades nippones de 2022 montrent que la cybercriminalité ne se limite plus depuis longtemps à la destruction de données ou aux ransomwares qui lui sont généralement associés dans l’actualité, mais concerne également avec une grande créativité, une infinité d’intervention dans des zones de plus en plus fines.
C’est ce que dans le monde du sport, on appelle un dépassement de fonction.
Le haut niveau sans l’olympisme
Ces confrontations à l’issue desquelles restent sur le terrain un vainqueur et un vaincu apparentent la cybersécurité à un sport de haut niveau. Pour l’attaquant, il s’agit de triompher de l’adversaire par tous les moyens. Et pour la cible, surmonter une cyberattaque suppose un entraînement très poussé pour comprendre toutes les techniques et ruses de l’adversaire, mais aussi du muscle pour absorber les attaques sans rompre, de bons coachs pour progresser, une technique sans faille pour savoir où placer les bonnes protections et où porter les coups qui sauvent, un sens de l’anticipation des mouvements de l’adversaire, une résistance à la pression pour ne pas craquer au pire moment, etc.
En matière de cyberattaques comme de cybersécurité, si la compétition fait rage pour battre ou éviter d’être battu, le fair play qui caractérise en principe l’olympisme est singulièrement absent. Il s’agit d’un sport bien particulier sans podium ni médaille, sans caméras ni arbitres ni même un public, un sport qui n’a rien d’un jeu, où les règles sont absentes, où le terrain change en permanence, où la symétrie des chances qui préside au début de toute rencontre sportive n’est jamais respectée, et où tous les coups sont permis pour terrasser l’adversaire.
Tel un ninja hyper technologique, cet attaquant sans visage qu’est le cybercriminel évolue toujours en mode furtif. Résultat : il est soudain tout près sans qu’on l’ait vu s’approcher, en position de force pour outrepasser les lignes de défense et dérouler son plan d’action. Dans ce sport de combat plus encore que dans d’autres, laisser s’approcher l’ennemi est généralement fatal, et l’on est très vite KO.
Universels, pour le meilleur et pour le pire
Objets de tous les regards, de toutes les attentions, emblème de la civilisation occidentale et carrefour de flux financiers colossaux, les Jeux Olympiques sont le rendez-vous universel par définition…
Ils attirent tout autant les amateurs de sports du monde entier que les cybercriminels les plus belliqueux. Or, ces derniers ne sont pas tous à ranger dans le même panier et nous pouvons distinguer trois types de cybercriminels : les activistes, les hackers et les criminels.
Quand les premiers défendent une cause en attaquant un opposant (et cherchent pour cette raison le maximum de visibilité), les deuxièmes attaquent un système pour prouver qu’ils peuvent en venir à bout, tandis que les troisièmes visent à s’enrichir sur le dos de leur victime.
Ces trois typologies sont poreuses, et s’entremêlent souvent. Elles obéissent d’ailleurs souvent au même processus d’action et ne nécessitent en général la même réponse et les mêmes systèmes de défense. En l’occurrence, elles ont toutes un point commun supplémentaire : elles ont toutes, d’une façon ou d’une autre, une raison d’exister pour un événement de la dimension des Jeux Olympiques.
Ceux-ci sont donc un terrain de jeu idéal pour qui cherche à s’enrichir, prouver sa compétence, ou défendre une cause sociale, politique ou morale. Cette idée d’un terrain où démontrer son talent ou sa capacité ou encore sa puissance fabrique encore une symétrie notable avec n’importe quelle discipline sportive représentée sous l’égide des anneaux…
Mais la différence fondamentale est que la cyberattaque n’a rien à faire de l’éthique, pas plus que du fair play : tout comme elle fait fi des nations, elle se nourrit de toutes les faiblesses de sa cible. Elle définit une nouvelle frontière qui s’inscrit non plus comme une division entre nations mais comme une distinction entre attaquants et attaqués, pour ne pas dire entre agresseurs et agressés. Suivant ainsi l’influence d’une forme d’universalisme technologique néfaste, à la fois représentatif de l’identité des Jeux Olympiques par son ampleur et son exact contraire par sa dimension morale.
Et si finalement la cybercriminalité était la discipline anti-olympique par excellence ?
