Les organisations sportives de tout le Royaume-Uni ont été invitées à renforcer leur cybersécurité après qu'un rapport ait révélé une série d'attaques contre divers clubs sportifs, notamment une tentative de perturber un accord lucratif de transfert de la Premier League.
Dans son premier Rapport sur la cybermenace pour les organisations sportives, le Centre national de cybersécurité du Royaume-Uni (NCSC) a désigné la fraude au Business Email Compromise (BEC) comme la plus grande menace pour les organisations sportives, le gain financier étant la principale motivation des attaquants du BEC. Il n'est pas étonnant que l'industrie du sport soit une cible lucrative, contribuant à hauteur de 37 milliards de livres sterling (47 milliards de dollars US) à l'économie britannique chaque année.
À titre d'exemple, le NCSC a mis en lumière un incident dans lequel le compte de messagerie électronique du directeur général d'un club de la Premier League a été compromis lors d'une négociation de transfert d'une valeur de 1 million de livres sterling (1,3 million de dollars américains). Les attaquants ont utilisé une attaque de harponnage impliquant un courriel malveillant qui a conduit le directeur à une page de connexion usurpée d'Office 365 où il a involontairement rendu ses identifiants.
« Les attaquants ont pris l'identité du directeur et ont communiqué avec le club européen. Simultanément, ils ont créé un faux compte e-mail et ont prétendu être le club européen en communiquant avec le vrai directeur général », indique le rapport. Heureusement, une banque impliquée dans le transfert est intervenue à la dernière minute et a déjoué le stratagème. D'une certaine manière, l'incident fait écho à une escroquerie similaire dans laquelle l'équipe italienne de Serie A, la Lazio, aurait été trompée de 1,75 million de livres (2,2 millions de dollars).
Le NCSC a également mis en évidence une attaque avec demande de rançon qui a chiffré tous les appareils des utilisateurs finaux et plusieurs serveurs appartenant à un club de la Ligue anglaise de football. L'attaque a également coupé ses caméras de sécurité et ses tourniquets, ce qui a failli entraîner l'annulation d'un match. L'équipe a refusé de payer une forte rançon de 400 bitcoins (environ 4 millions de dollars US aujourd'hui) et a fini par s'en remettre, mais pas avant d'avoir subi des pertes s'élevant à plusieurs centaines de milliers de livres.
Après avoir audité ses systèmes, l'équipe a constaté que les contrôles de sécurité étaient insuffisants, qu'elle n'investissait pas assez dans les infrastructures de cybersécurité et qu'elle ne disposait pas de plan d'intervention d'urgence. Des correctifs et des mises à jour régulières des systèmes, ainsi que des sauvegardes, ne sont que quelques-unes des recommandations que les organisations devraient mettre en œuvre ; pour plus de conseils sur la défense contre les logiciels de rançon, n'oubliez pas de consulter ce white paper.
Dans un autre incident, un membre du personnel d'un hippodrome britannique a voulu acheter un équipement d'entretien du terrain sur eBay, et a finalement convenu avec un vendeur de payer 15 000 £ (environ 19 000 $ US) pour un de ces articles répertoriés. « Le vendeur a alors envoyé au membre du personnel les détails de son virement bancaire par le biais d'un message sur eBay, ce qui a détourné le membre du personnel vers une version usurpée d'eBay », peut-on lire dans le rapport. L'acheteur a effectué le paiement et, bien qu'il se soit rendu compte plus tard de son erreur, l'argent n'a pas pu être récupéré.
Vue d'ensemble
Le rapport du NCSC a également révélé qu'au moins 70 % des organisations sportives interrogées ont connu une forme de cyber-incident ou de violation chaque année, 3 incidents sur 10 ayant causé un préjudice financier direct aux clubs ciblés. Le coût moyen d'un tel incident était de plus de 10 000 livres sterling (environ 12 700 $ américains), tandis que la perte la plus importante s'élevait à 4 millions de livres sterling (environ 5,1 millions $ américains).
« Bien que la cybersécurité ne soit peut-être pas une considération évidente pour le secteur du sport lorsqu'il pense à son retour, nos conclusions montrent que l'impact des cybercriminels sur cette industrie est très réel », souligne Paul Chichester, directeur des opérations du NCSC. Il a également exhorté les organisations sportives à améliorer leur cybersécurité afin de se protéger - ainsi que des millions de supporters. Par exemple, pour réduire le risque de tentatives de CEB réussies, les organisations seraient bien avisées de mettre en place une forme d'authentification à facteurs multiples.
Entre-temps, Sir Hugh Robertson, le président de l'association olympique britannique, reconnait l'importance du rapport, déclarant : « L'association olympique britannique considère ce rapport comme une première étape cruciale, qui aide les organisations sportives à mieux comprendre la menace et met en évidence les mesures pratiques que les organisations devraient prendre pour améliorer les pratiques de cybersécurité ».