Depuis le début de l’année, une vingtaine de fédérations sportives françaises ont été visées par des attaques informatiques. Derrière ces incidents se cache une réalité moins visible : l’industrialisation des attaques automatisées. Selon DataDome, ces organisations constituent des cibles attractives pour les cybercriminels, qui exploitent des bases de données riches en informations personnelles et des niveaux de sécurité parfois insuffisants.
Des bases de données sportives qui valent de l’or
Plusieurs fédérations sportives ont déjà été visées ces derniers mois : la Fédération française de football a subi une cyberattaque exposant des données de licenciés, la Fédération française de golf a été victime d’une intrusion dans son système d’information, et la Fédération française de voile a connu une fuite de données liée à un compte compromis.
Pourquoi s’attaquer à des fédérations sportives, a priori éloignées des secteurs stratégiques ou financiers ? La réponse tient à la nature des données qu’elles hébergent.
« On pourrait penser que ces organisations ne détiennent pas d’informations très sensibles, mais en réalité leurs bases de données sont riches », explique Jérôme Segura, VP of Threat Research chez DataDome. « Elles contiennent des informations personnelles sur les licenciés, parfois des mineurs ».
Ces informations peuvent ensuite alimenter plusieurs types d’activités criminelles. Les cybercriminels peuvent tenter d’extorquer les organisations en menaçant de divulguer les données volées. Mais elles servent aussi de matière première pour construire des profils numériques détaillés.
« Avec une adresse e-mail récupérée dans une base, on peut retrouver la même personne sur d’autres services et reconstituer progressivement un profil complet », précise l’expert. « Cela peut ensuite être utilisé pour des campagnes d’usurpation d’identité ou d’hameçonnage très ciblées. »
L’industrialisation des attaques automatisées
Au-delà du ciblage des organisations sportives, l’un des phénomènes les plus marquants reste l’ampleur des attaques automatisées.
DataDome rapporte ainsi qu’un de ses clients du secteur sportif a subi, à la mi-décembre, un pic d’activité malveillante dépassant 48 millions de requêtes provenant de bots. Parmi ces tentatives figurent notamment 10,5 millions de créations de faux comptes et 5,4 millions d’attaques de type credential stuffing, consistant à tester massivement des combinaisons d’identifiants volés.
Ces attaques s’inscrivent dans une logique d’automatisation bien rodée. « Les attaquants utilisent des botnets pour tester des identifiants sur un grand nombre de sites », explique Jérôme Segura. « Lorsqu’ils obtiennent un couple e-mail et mot de passe dans une fuite de données, ils essaient ensuite de se connecter sur d’autres services pour récupérer davantage de comptes. »
Si l’intelligence artificielle peut faciliter l’analyse des données volées, elle n’est pas nécessairement à l’origine de ces attaques. « Ces campagnes automatisées existent depuis longtemps », rappelle le spécialiste. « L’IA peut simplement accélérer l’analyse de bases de données volées pour identifier rapidement les profils les plus intéressants. »
Bots sophistiqués et prévention encore insuffisante
La difficulté pour les organisations réside dans la capacité de ces bots à imiter le comportement humain.
Certains sont faciles à détecter, car ils se limitent à envoyer des requêtes automatisées. D’autres sont beaucoup plus avancés. « Les bots les plus sophistiqués imitent l’activité d’un utilisateur réel : ils reproduisent le comportement d’un navigateur, utilisent des adresses IP résidentielles et simulent des interactions humaines », souligne Jérôme Segura. « Dans ces cas-là, un simple pare-feu ne suffit pas à les distinguer du trafic légitime. »
Face à ces menaces, les fondamentaux restent essentiels : mise à jour des systèmes, correctifs de sécurité et contrôle strict des accès privilégiés. Car dans de nombreux cas, les attaques exploitent aussi les failles humaines.
« Les cybercriminels vont souvent chercher à compromettre un compte administrateur via une campagne de phishing », explique l’expert. « Lorsqu’ils disposent déjà d’informations personnelles sur la victime, leurs messages deviennent beaucoup plus crédibles. »
Un constat qui renvoie à un problème plus large : la cybersécurité reste encore trop souvent reléguée au second plan dans certaines organisations.
« C’est un peu comme l’assurance », observe Jérôme Segura. « Beaucoup d’organisations ne voient l’intérêt de se protéger qu’après un incident. Pourtant, réparer les dégâts coûte souvent bien plus cher que la prévention. »
