Intelligence de données générative

Cyber sécurité

Le Super Bowl LVIII présente une vaste surface d'attaque pour les acteurs menaçants

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

Le résultat du match du Super Bowl de cette année entre les Chiefs de Kansas City et les 49ers de San Francisco, le 11 février au stade Allegiant de Las Vegas, restera probablement inconnu jusqu'au dernier down du match. Mais une chose qui est déjà très claire est que les attaquants ne manqueront pas de cibles à attaquer lors de l’événement.

La numérisation continue de la NFL presque tous les aspects de l'événement, de la billetterie aux systèmes d'accès aux portes et pratiquement tous les autres points de contact avec les fans, a ouvert de nouvelles vulnérabilités et cibles que son équipe de sécurité a dû sécuriser. Les préoccupations incluent les menaces pour la sécurité de l'arène, les attaques de ransomware sur les systèmes critiques, le phishing et le vol d'identifiants, ainsi que les menaces contre les données personnelles et autres informations sensibles appartenant aux fans, aux employés de la NFL, aux joueurs et aux entraîneurs.

Se préparer au grand jeu (de sécurité)

Dans une conversation avec Dark Reading au début de la saison 2023/2024, NFL CISO Tomás Maldonado a identifié des attaques de phishing basées sur l'IA et les escroqueries audio et vidéo deepfake, qui s'ajoutent à la multitude d'autres défis de sécurité existants auxquels la ligue a dû faire face en général.

La NFL elle-même se prépare depuis un certain temps à identifier et à évaluer les menaces qui pèsent sur le Super Bowl – de loin l'événement télévisé le plus regardé chaque année – et à mettre en œuvre des plans pour y faire face. Septembre dernier, les responsables de la ligue en coordination avec 100 autres parties prenantes, y compris le Département américain de la Sécurité intérieure et la Cybersecurity and Infrastructure Agency (CISA), ont mené une exercice sur table où ils ont exécuté une série de scénarios d'attaque qui, ensemble, ont eu un impact en cascade sur les systèmes physiques prenant en charge l'événement.

Cet exercice faisait partie d'un effort continu entre la NFL et les autres participants pour se préparer à tout problème de sécurité qui pourrait survenir lors du match. Les parties prenantes ont ajouté que les préparatifs seront particulièrement essentiels compte tenu des tensions géopolitiques accrues autour des événements au Moyen-Orient.

Les implications en matière de sécurité de la numérisation des événements sportifs

Karl Mattson, RSSI chez Noname Security, considère les problèmes de sécurité liés aux API comme étant probablement une priorité pour les attaquants cette année, compte tenu des transformation numérique approfondie ces dernières années.

« Les menaces API entourant le Super Bowl se situent dans trois domaines : l'expérience numérique des fans, la publicité et l'infrastructure événementielle », explique Mattson.

Le scénario le plus probable, si une attaque liée à l'API devait se produire, serait une compromission à grande échelle des informations personnelles des fans de la NFL volées, qui pourraient inclure des informations d'authentification ou biométriques, note-t-il. L'expérience numérique des fans en matière d'achat de billets, d'achat de marchandises, de paris en ligne et d'autres interactions utilise toutes des services activés par des API. "Chaque aspect de la consommation d'un produit de la NFL par un fan implique l'échange d'informations personnelles ou de paiement qui peuvent être exploitées par un attaquant qui découvre une API mal contrôlée", explique-t-il.

Il en va de même pour les annonceurs qui diffusent des publicités pendant l'événement et créent un nouveau site Web ou un nouveau service pour répondre aux réactions des consommateurs. Sans les tester au préalable face à un flot de visiteurs ou à des efforts DDoS, les efforts peuvent échouer. Mattson souligne la publicité mémorable du Super Bowl 2022 de Coinbase qui ne comprenait qu'un code QR rebondissant, qui dirigeait les téléspectateurs vers un site Web de promotion que la société avait créé pour la publicité. Le site Web a fini par planter peu de temps après la diffusion de l'annonce en raison du grand nombre de visiteurs.

Infrastructures physiques et publiques spécifiques aux événements pour soutenir le Super Bowl sont également rendus possibles par des technologies API-first. Le réseau 5G du stade, les services locaux de sécurité et d'urgence, ainsi que les systèmes de services publics utilisent tous des services basés sur des API pour les opérations de routine que les attaquants pourraient potentiellement chercher à perturber, explique Mattson.

Le jeu en ligne : un terrain fertile pour de nouvelles escroqueries

L’essor des jeux d’argent et des paris sportifs en ligne ouvre un nouveau terrain de jeu pour les cyberattaquants. Le phénomène a créé un terrain fertile pour de nouvelles escroqueries en évolution ciblant des événements comme le Super Bowl, explique Stuart Wells, CTO chez Jumio.

"Une pléthore d'applications et de sites Web de paris sont facilement disponibles à portée de main, attirant un public plus large, y compris des groupes démographiques plus jeunes plus habitués aux interactions numériques", explique Wells. Malheureusement, cette accessibilité coïncide avec une augmentation de la fraude à l’identité synthétique, où les criminels créent de fausses identités en utilisant un faux nom et des éléments d’informations d’identité volés, comme une véritable date de naissance et des numéros de sécurité sociale.

"La fraude à l'identité synthétique, en particulier, peut être délicate pour les opérateurs de jeux car elle rend les acteurs malveillants extrêmement difficiles à retracer", note Wells. "Si un attaquant parvient à contourner les défenses et à opérer sous une identité synthétique, il pourra opérer sans être détecté, ce qui signifie que les opérateurs ne pourront pas attraper un fraudeur tant que le compte d'un joueur n'a pas été manipulé ou qu'une sorte de fraude n'a pas été commise."

La situation est aggravée par le manque relatif de protection de la vie privée dans de nombreuses applications de paris que les gens utilisent pour parier lors d'événements comme le Super Bowl. Une nouvelle étude par la société de confidentialité des données Incogni a examiné sept des applications de paris les plus populaires ; la plupart d’entre eux collectent et partagent massivement des données privées sans les divulguer correctement.

Le plus gros consommateur de données était DraftKings, qui, selon Incogni, rassemblait 22 points de données auprès des utilisateurs, y compris leur emplacement précis, leurs contacts, leurs messages, leurs photos et leurs vidéos. Les applications de paris de Caesars, Sky Bet et William Hill étaient relativement proches derrière, rassemblant chacune 17 points de données, y compris la localisation précise, l'historique de recherche dans l'application, les informations sur la santé et l'historique des achats. Pendant ce temps, Caesars a dominé le reste en ce qui concerne le partage des données collectées sur les appareils des utilisateurs avec des tiers.

Les fans du Super Bowl doivent également s'attendre à une vague de faux billets et de produits contrefaits sur les marchés en ligne, tentant les fans avec des maillots, des chapeaux et des souvenirs qui semblent réels mais sont fabriqués à bas prix et dépourvus de logos officiels, dit Well.

« Toutes ces escroqueries sont susceptibles d’atteindre les consommateurs via des e-mails et des SMS de phishing. Les consommateurs doivent procéder avec prudence et vérifier avec qui ils font affaire avant de transmettre des informations personnelles ou un paiement », prévient-il.

Risque commercial lié aux sites de streaming non autorisés

Ken Carnesi, PDG de DNSFilter, souligne que les sites de streaming non autorisés constituent un risque pour les organisations qui permettent aux employés d'utiliser des appareils non gérés à des fins professionnelles. Les données recueillies par l'entreprise sur son réseau au cours du mois dernier ont montré une forte augmentation des sites bloqués avec « NFL » dans le nom de domaine, dit-il.

"Le trafic a augmenté sur notre réseau pendant les séries éliminatoires, atteignant un sommet le 28 janvier, le même jour que le match de championnat de l'AFC et de la NFC", explique Carnesi. "Dans l'ensemble, du 5 janvier au pic du 28 janvier, il y a eu une augmentation de 125 % du trafic bloqué par la sécurité."

Les risques pour les organisations qui autorisent l’utilisation personnelle d’appareils professionnels sans aucun contrôle incluent une probabilité accrue d’infections par des logiciels malveillants et d’attaques de phishing.

« De plus, ces activités de streaming peuvent créer des vulnérabilités du réseau, avec des canaux non sécurisés et des connexions peer-to-peer posant des risques pour l'intégrité des données de l'organisation », explique Carnesi. "L'exfiltration de données est également une possibilité accrue, exposant potentiellement des informations sensibles de l'entreprise provenant de sites illicites collectant et utilisant à mauvais escient les données des utilisateurs."

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.