Jeu, Set et Hack : quand les cybercriminels s’attaquent aux billetteries des événements sportifs

Depuis plusieurs mois, des groupes de cybercriminels ne cessent de cibler les systèmes de billetterie, mettant à mal la sécurité des événements sportifs.

Le 19 janvier 2024, une vulnérabilité a été découverte sur le site officiel de la Coupe d'Afrique des Nations. Permettant d'acheter des billets à partir de 0,01€, cette vulnérabilité aurait facilité l’achat de places dans un but de revente spéculative. Une arnaque ayant obligé l’organisation à mettre hors ligne le site officiel le temps de résoudre la situation.

Le 8 avril 2024, deux jours avant le quart de finale aller de la Ligue des champions de Football entre les clubs du PSG et du FC Barcelone, c’est au tour de la billetterie du club parisien d’être victime d’une tentative de cyberattaque. À la suite de cette découverte, les abonnés ont alors été informés par le club de tentatives d'accès inhabituelles sur le système de billetterie. Si aucune donnée n'a été extraite ou exploitée, le club a annoncé avoir mis en œuvre des mesures de sécurité supplémentaires et informé immédiatement la CNIL (Commission Nationale de l’Informatique et des Libertés). Un incident qui survient trois semaines après une attaque similaire contre la Fédération Française de Football, ayant permis cette fois d’exfiltrer des données.

Le 28 mai 2024, la société Ticketmaster, leader de la billetterie en ligne, annonce être victime d'une cyberattaque du groupe « ShinyHunters ». Une attaque réussie ayant permis le vol de données personnelles de 560 millions d’utilisateurs de la plateforme.

Cette attaque ne sera malheureusement pas la dernière puisque l'entreprise sera de nouveau ciblée, le 8 juillet 2024. C’est ici sa division spectacle qui sera la cible d’un hacker ayant publié sur un forum les codes-barres de 39 000 billets. Si cette attaque a ciblé les concerts des artistes Pink, Aerosmith ou encore Pearl Jam, son mode opératoire pourrait néanmoins être appliqué à un événement sportif.

Nom, prénom, adresse postale, numéro de téléphone ou encore numéros de cartes bancaires, les billetteries en ligne stockent les informations personnelles de millions de clients particuliers et professionnels. Cette concentration de données représente une opportunité pour les cybercriminels qui voient en ces plateformes le moyen d’accéder à un large volume de données en une seule et même attaque.

D’autant que selon une étude de marché datant de 2023, la fréquentation des stades et arénas frôle des niveaux historiques :

• plus de 500 000 billets vendus pour l’édition 2024 de Roland-Garros.
• 9,05 millions de spectateurs pour la Ligue 1 et Ligue 2 de football pour la saison 2022-2023.
• 2,7 millions de spectateurs pour la saison dernière du Top 14 de rugby.
• 1,2 million de spectateurs pour le championnat de basket Betclic Elite.
• 325 000 spectateurs pour les 100 ans des 24 heures du Mans.

En hausse de plus de 50% par rapport à l’année 2010, le marché de la billetterie, tous types d’événements confondus, est estimé à plus de 1,5 milliard d’euros.

Rappelons que selon différents observateurs, les numéros d’une carte bancaire accompagnés du code CVV peuvent se revendre sur le dark web jusqu’à 100€, quand les identifiants d’accès à un compte de messagerie Gmail peuvent atteindre 80€. Il reste donc très rentable pour les cybercriminels de lancer des campagnes de phishing en usurpant l’identité d’organisateurs d’événements sportifs.

Le vol de données clients n'est cependant pas le seul objectif des cybercriminels. Une fois infiltré sur le réseau, un fraudeur pourrait potentiellement profiter de son intrusion pour se générer un faux code de réduction et acheter des billets à tarif réduit dans le but de les revendre à prix fort.

Autre stratégie observée : compromettre le système d’information des billetteries en ligne. À ce titre, le ransomware est un exemple de menace potentielle qui pourrait être utilisée.

Le principe est simple : par le biais d'un email contenant une pièce jointe piégée, du téléchargement d’un logiciel malveillant ou de l'exploitation de vulnérabilités, le cybercriminel cherche à accéder au système d'information de la billetterie en ligne. Une fois infiltré, il installe un programme malveillant qui chiffre tour à tour les fichiers disponibles sur tous les disques durs. Instantanément, la billetterie devient inaccessible, affichant une demande de rançon.

En sport comme en cybersécurité : la prévention des blessures commence par une bonne préparation. C’est pourquoi les opérateurs de billetteries en ligne doivent instaurer des mesures de prévention, de détection et de réponse aux incidents pour faire face aux cyberattaques, y compris les tentatives de phishing et les ransomwares.

Instaurer un bloc de surveillance avec les SOC d’Orange Cyberdefense

L'offre Cyber SOC d'Orange Cyberdefense propose des solutions pour renforcer la cybersécurité. Des analystes évaluent les menaces, mènent des investigations approfondies dans toutes les couches du système d’information et coordonnent les actions de remédiation.

Autre avantage, des experts testent et améliorent en continu les systèmes de détection pour faire face aux nouvelles menaces, tout en offrant un support opérationnel lors des incidents les plus critiques. Au sein d’équipes pluridisciplinaires, des consultants dédiés ont en charge la gouvernance opérationnelle des services, tandis que les responsables projets adaptent et développent le périmètre du service pour satisfaire les exigences des clients. En complément, le service de veille sur les cybermenaces appelé Threat Intelligence d'Orange Cyberdefense fournit des renseignements contextualisés qui aident à comprendre les modes opératoires des attaquants et ainsi à développer des dispositifs de sécurité proactifs.

Parallèlement, les entreprises, de plus en plus nombreuses à offrir des places pour des événements sportifs à leurs partenaires et clients, doivent également se protéger contre les risques de cyberattaques.

Les sites de billetterie en ligne étant des cibles fréquentes, les entreprises qui achètent ces billets doivent aussi se protéger contre les tentatives d’escroqueries, en particulier les campagnes de phishing.

C’est pourquoi il est essentiel pour elles de mettre en place des mesures de prévention, de sensibilisation et de sécurité afin de protéger les transactions et les données personnelles de leurs partenaires et clients.

La protection de la messagerie d’entreprise est donc indispensable pour prévenir les arnaques, tentatives d’intrusion et fuites de données sensibles. À ce titre, Micro-SOC d'Orange Cyberdefense propose une solution robuste pour sécuriser les communications des entreprises.

MicroSOC permet une surveillance continue des infrastructures informatiques, avec une détection et une neutralisation rapides des activités suspectes. Grâce à une surveillance 24/7, MicroSOC protège les employés en interceptant les tentatives de phishing avant qu'elles ne puissent causer des dommages. Les interventions rapides en cas de menace détectée garantissent que les données sensibles restent protégées.

Le CERT d’Orange Cyberdefense : une équipe de spécialistes de lutte contre la cybercriminalité

Avec Orange Cyberdefense, les acteurs de l’industrie du sport peuvent bénéficier de l’expertise du CERT (Computer Emergency Response Team). Composée d'experts chargés d’identifier des tentatives de fraude pouvant cibler les entreprises, cette équipe surveille l’activité des cybercriminels.

Le CERT offre une veille opérationnelle sur les actifs des entreprises, leur permettant de détecter des signaux faibles ou des signes d’intérêt de la part de groupes de cybercriminels qui viseraient leur secteur, leur écosystème (prestataires) ou leur entreprise en particulier. Grâce à cette surveillance proactive, les spécialistes peuvent identifier les fuites d’informations critiques, telles que des identifiants de connexion compromis, souvent utilisés pour accéder initialement aux systèmes des victimes.

Avec l’Ethical Hacking, les billetteries en ligne peuvent faire tester la robustesse de leur système d’information

Pour évaluer la résistance des systèmes d’information, Orange Cyberdefense offre également des services d’Ethical Hacking.

Les hackers éthiques d’Orange Cyberdefense conçoivent des scénarios d’attaque basés sur des référentiels comme MITRE ATT&CK®. Ils réalisent des tests d’intrusion pour détecter les vulnérabilités des systèmes, des audits applicatifs pour analyser et corriger les failles présentes dans le code source et des opérations Red Team pour tester la défense face à des cyberattaques simulées, mais réalistes.

Cette méthodologie permet non seulement aux acteurs de l’industrie du sport d’identifier leurs faiblesses, mais aussi de recommander des actions correctives pour renforcer leur sécurité. Les experts d’Orange Cyberdefense fournissent ainsi une évaluation précise de la robustesse des systèmes d’information contre les menaces actuelles.