Ce 23 avril 2024, des magistrats du parquet de Paris présentent à une flopée de journalistes les grands enjeux du moment. Forcément, ils évoquent les Jeux olympiques de Paris, qui vont commencer dans moins de 90 jours. Et à l’occasion d’un point sur l’état de la menace, ils évoquent le risque d’un piratage des systèmes de chronométrage. Dans ce cas de figure, la manipulation des chronomètres utilisés pendant la compétition fait, en effet, presque figure de passage obligé. Les médias citent régulièrement ce péril, compréhensible pour le grand public.
Mais, paradoxalement, si le piratage des chronomètres est fréquemment mis en avant, on n’en sait pas beaucoup plus sur les risques et les failles. Contacté par Numerama, Omega, le fournisseur officiel des Jeux, n’a ainsi pas souhaité répondre à des questions autour de la sécurité informatique de ses matériels déployés lors de ce grand événement sportif. Un mutisme qui peut s’expliquer notamment par le souhait de la marque de luxe de ne pas contrarier une communication bien calibrée.
La stratégie de la sécurité par l’obscurité
Comme le rappelle le magazine spécialisé sur l’horlogerie Europa Star, la firme suisse, une filiale de Swatch Group, « a fait de sa participation aux olympiades un élément central de son storytelling, dont l’objectif est de renforcer son ancrage historique de marque de haute précision. » Certes, le doctorant en histoire et sociologie du sport Guillaume Rayot, un spécialiste des jeux et de la chronométrie, n’a pas encore constaté dans ses recherches d’erreur autre qu’humaine dans la chronométrie sportive. Mais il n’a pas encore épluché toutes les éditions passées — il en est à l’année 1990. Cette absence de réponse ne le surprend pas. « La Suisse ne cultive pas seulement le secret bancaire, elle garde la discrétion sur ses innovations techniques dans le domaine horloger, l’un de ses secteurs de prédilection », remarque l’universitaire.
Cette stratégie de la sécurité par l’obscurité — s’appuyer sur le secret pour se protéger des hackers — a toutefois ses limites. En raison de la place centrale qu’occupent les chronomètres dans les compétitions sportives, et des enjeux de prestige qui en découlent pour les nations engagées, cela en fait des cibles particulières. Pour fausser les résultats d’autres athlètes ou pour truquer les performances de ceux que l’on veut aider.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
L’évocation du piratage des chronomètres est d’autant plus grande que, in fine, ces appareils sont des objets connectés et des gadgets comme les autres. Ils font face aux mêmes enjeux de sécurité informatique.
En l’espèce, ce sont notamment des caméras Scan’O’Vision Myria. Ces capteurs mitraillent la ligne d’arrivée des courses pour calculer le temps précis des athlètes. Cet équipement est connecté à sa station de commande, équipée du système d’exploitation Windows, via un réseau filaire local, nous apprend une version de 2017 du manuel de l’utilisateur.
Comment s’y prendrait un pirate voulant attaquer les chronos des JO ?
« Pour un pirate malveillant, la première chose à faire serait de se procurer un exemplaire de cet équipement », détaille Renaud Feil, le patron de la société de sécurité informatique Synacktiv. Qu’importe qu’il soit d’occasion auprès d’une fédération sportive, ou neuf en l’achetant à un revendeur. « Windows ou Linux seraient les cibles les plus familières à attaquer, en tentant de passer par des vulnérabilités connues pour tromper ou falsifier le chronomètre, poursuit-il. Mais pour des pirates plus motivés, le capteur ou la transmission de l’information entre le capteur et sa station peuvent être des cibles intéressantes. »
Cela pourrait représenter un challenge pour des hackers. Certes, il n’existe pas de piratage connu d’un système de chronométrage sportif Omega. Mais cela ne veut évidemment pas dire que l’équipement est invulnérable. Pour l’instant, les chercheurs en sécurité informatique se sont plutôt intéressés à des équipements s’adressant au grand public, aux fonctionnalités très différentes. De façon facétieuse, des petits malins se sont ainsi amusés dès 2015 à faire tourner le cultissime jeu vidéo Doom sur l’Apple Watch. Ces montres sont censées pourtant être bridées. Il s’agit notamment de protéger leurs utilisateurs et de les maintenir dans l’écosystème de la marque à la pomme.
« Nous n’avons fait qu’effleurer la surface »
Plus près de nous, le chercheur en sécurité Tao Sauvage s’est intéressé aux vulnérabilités des montres Garmin. Il s’agit d’un des acteurs clés du marché du sport intelligent. Comme il l’explique sur le blog de son employeur, Anvil Secure, un spécialiste de la sécurité informatique, le chercheur a déniché en 2022 une douzaine de vulnérabilités sur sa Garmin Forerunner 245. Ce qui permettait ainsi de prendre le contrôle de cette montre destinée aux coureurs.
En fin de compte, les failles trouvées affectaient « plus d’une centaine de modèles, notamment des montres de fitness, des ordinateurs de poche d’extérieur et des GPS pour vélos », a-t-il ajouté. « Une chose est sûre à mon avis : nous n’avons fait qu’effleurer la surface », poursuivait Tao Sauvage au sujet de ces vulnérabilités. Ces dernières avaient d’abord été signalées de manière responsable au fabricant avant d’être détaillées publiquement.
Falsifier le temps, un enjeu de sécurité
La question de la sécurité du temps dépasse toutefois le seul champ des montres ou des chronomètres. Le chercheur Adam Laurie l’avait montré lors d’une présentation faite à la conférence Black Hat Europe. Ce dernier avait fait alors une démonstration d’une usurpation de signal de synchronisation de l’heure. Or un signal de temps falsifié pourrait être utilisé par des acteurs malveillants pour brouiller les pistes après une attaque.
« Lorsque vous enquêtez sur un incident, vous parcourez les journaux d’événements dans une certaine fenêtre de temps pour rassembler les éléments sur le moment où une activité inhabituelle s’est produite », rappelait-il. Que se passe-t-il alors si un pirate réussit à fausser les horloges ? Les enregistrements automatiques d’activités ne seraient ainsi plus aux bonnes dates. « Vous ne verrez jamais les événements enregistrés avant que l’incident ne se produise réellement, ajoutait Adam Laurie. Et dans certains cas, vous ne réaliserez peut-être même pas que vous regardiez la mauvaise fenêtre de temps. » Qu’on soit en plein Jeux olympiques de Paris ou pas…
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !