AVIS D’EXPERT – Si, pendant les JO, les technologies d’attaques seront les mêmes que celles utilisées habituellement par les cybercriminels, les attaques se feront en revanche en masse. Objectif : profiter de la frénésie du moment pour se glisser dans le flot des flux de données et transactions financières pour soutirer de l’argent ou des données personnelles.
Les explications plus détaillées de Cyril Patou, VP sales France chez IDnow, pour les lecteurs de Solutions numériques & cybersécurité.
La cybercriminalité devrait atteindre des records aux JO 2024. Et pour cause. Tous les ingrédients sont là : des milliards de spectateurs éparpillés aux quatre coins du monde, 15 millions de visiteurs attendus en France, un niveau de flux de données et de transactions financières colossal et une digitalisation jamais observée. Un terreau idéal pour tous les cybercriminels de la planète qui espèrent profiter de la frénésie du moment pour se glisser dans le flot et bénéficier de quelques baisses de vigilance des acteurs des JO. Quelles seront alors les techniques utilisées par les escrocs et quels secteurs d’activité seront les plus touchés ?
Des techniques d’attaques déjà bien rodées
Vol de données personnelles, dénis de service, usurpation d’URL et d’identité, ransomware, phishing… Des techniques utilisées depuis des années déjà par les cybercriminels et qui seront celles propagées durant l’évènement. Aucune surprise donc côté technique mais une déferlante de cyberattaques pour asphyxier les cibles.
En effet, la CNIL s’attend à une année 2024 record pour la fuite de données en France expliquée bien sûr en partie par les Jeux Olympiques. Le directeur de l’ANSSI compare même les Jeux Olympiques de Paris à un véritable black Friday pour les cybercriminels.
Et les hostilités ont déjà commencé. Les cybercriminels n’ont pas attendu le coup d’envoi des Jeux pour lancer leurs premiers assauts. Avec des techniques bien rodées, ils s’affairent depuis plusieurs mois déjà à la création de sites frauduleux dédiés à l’évènement. Dès 2023, 44 sites de ventes de faux billets ont ainsi été identifiés par la gendarmerie nationale et, plus récemment, la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) a révélé l’usurpation du site du Comité d’Organisation des JO (COJO), à des fins de commercialisation de faux emplacements pour des food trucks ou autres petits commerces de bouche. Les logements font eux aussi l’objet d’arnaques avec de fausses annonces de location d’appartements diffusées via des sites créés pour l’occasion ou des fausses annonces mises en ligne sur des sites marchands existants.
Anticiper les risques de fraude à l’identité
L’usurpation d’identité, technique consistant à utiliser une fausse identité à partir d’une identité soit falsifiée soit volée sera également de la fête. Selon ING Groupe, l’usurpation d’identité toucherait plus de 210 000 français chaque année, un chiffre plus élevé que le nombre de victimes de cambriolages ou vol d’automobiles.
Pendant les JO, l’usurpation d’identité pourra ainsi être utilisée par des fraudeurs dont l’objectif sera de viser directement les activités commerciales liées aux JO telles que décrites plus haut. Mais ces activités frauduleuses seront également sollicitées par ceux cherchant à profiter de la hausse massive et ponctuelle des transactions pour tenter d’échapper à la vigilance de services soumis à une règlementation stricte, telle que celle liée à la lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) dans le cadre de transactions financières, de souscription de prêts à la consommation ou de transfert de fonds par exemple.
Pour anticiper les risques associés aux fraudes basées sur l’usurpation d’identité pendant les Jeux Olympiques, les acteurs exposés à ce type de risques doivent privilégier l’implémentation de méthodes de vérification d’identité en ligne à la fois fiables et fluides, ou renforcer la robustesse de leurs systèmes existants.
Trouver l’équilibre entre prévention, bonnes pratiques et mesures anti-fraude
« Accueillir les Jeux en France produirait des retombées économiques à hauteur de 10,7 milliards d’euros ». Telles étaient les prévisions indiquées dans le dossier de candidature des JO de Paris 2024. Se prémunir pour ne pas voir une partie de ce pactole finir entre les mains des escrocs est donc indispensable. S’il existe des techniques pour éviter les dénis de services, et des bonnes pratiques pour ne pas tomber dans le panneau des ransomwares ou tout autre piège de l’ingénierie sociale, l’usurpation d’identité nécessite des solutions de vérification éprouvées. Avec la crainte de voir une augmentation des vols de passeports/CNI ou permis de conduire par des pickpockets pendant les JO, l’usurpation d’identité risque fort de se multiplier. Pour se protéger contre ce type de fraude, les acteurs des JO ont donc tout intérêt à déployer des mesures anti-fraude reposant sur la reconnaissance d’identité à distance ainsi que faire un maximum de prévention auprès de leurs clients.
Cyril Patou