Les responsables de la FIFA, qui ont reconnu le piratage de leurs systèmes informatiques, s’attendent à la publication dans la presse de plusieurs articles basés sur des documents internes que s’était procuré le site Football Leaks en 2015. Dans un communiqué, l’instance dirigeante de la FIFA condamne « toute tentative visant à compromettre la confidentialité, l'intégrité et la disponibilité des données par toute entreprise aux pratiques illégales ». Le président de la FIFA, Gianni Infantino, a déclaré à l'Associated Press que la fédération avait été contactée par les médias pour l’informer qu’ils étaient en possession de documents fuités.
« Nous avons répondu aux questions qui nous étaient posées », a-t-il justifié. « Mon travail consiste à avoir des discussions, des conversations, à échanger des documents, des projets, des idées, sur un très grand nombre de sujets. Sans cela, il serait impossible d’avancer. Je veux dire que si je devais rester à mon bureau, sans parler à personne et sans rien faire, je ne pourrais pas faire mon travail correctement. Cela pourrait être mal jugé, mais je dois dire que je fais mon travail honnêtement, de manière professionnelle, dans le seul but de défendre les intérêts du football ». Une campagne de phishing est sans doute à l’origine de ce piratage. Selon la FIFA, il a eu lieu en mars, soit quelques mois à peine après une autre cyberattaque majeure orchestrée par le groupe de pirates russes Fancy Bears, attaque qui avait débouché sur la divulgation d’informations sur les contrôles antidopages de joueurs de football.
Des mesures préventives en cours
Selon Tim Sadler, cofondateur et CEO de Tessian, une start-up spécialisée dans la sécurité du courrier électronique, il semble que pour ce piratage les attaquants ont utilisé la classique technique du hameçonnage et trompé un modeste employé. « La FIFA emploie des milliers de personnes, et pour les attaquants, chacune est un maillon faible qu’ils peuvent cibler, exploiter, le but étant d’exfiltrer le plus de données de valeur possible », a-t-il déclaré. « Pour éviter que ces personnels soient victimes d’une campagne de phishing - et de toute autre escroquerie - il est important de les sensibiliser à une vigilance critique. En d'autres termes, ils doivent considérer à tout moment qu’ils sont une cible potentielle pour les fraudeurs et traiter comme suspecte toute demande d'information ou de paiement qu’ils reçoivent dans leur boîte mail, et c’est encore plus vrai depuis cette nouvelle effraction ». « Il est important d’informer le personnel sur les techniques d’hameçonnage, le mode opératoire de ces campagnes et les impacts financiers et de réputation qu’elles peuvent avoir sur l’entreprise. Cependant, la FIFA ayant été piratée deux fois cette année et parce que les tentatives d’usurpations d'identité sont à la fois plus nombreuses et de plus en plus efficaces, la vigilance seule ne suffit pas ».
Selon Tim Sadler, la meilleure défense consiste à utiliser des outils d'apprentissage machine capables d’analyser les comportements des courriels et de repérer des anomalies pouvant révéler des tentatives d’effraction. Tony Pepper, CEO d'Egress Software, a la même analyse que Tim Sadler. Selon lui, l'apprentissage machine est la meilleure solution pour atténuer les risques d’hameçonnage. Il a également exprimé toute sa sympathie à Gianni Infantino.
Des modifications simples qui se font attendre
« Le Président de la FIFA explique que l'échange de documents, de projets et d'idées est au cœur de son travail, et je pense que c’est quelque chose que nous pouvons tous comprendre », a déclaré Tony Pepper. « La quantité de données qui restent dans une base de données ou sur un serveur unique est vraiment faible. Quand vous partagez des documents contenant des informations sensibles, la première chose à faire est de crypter les e-mails et les pièces jointes qui circulent et celles qui sont stockées dans la boîte mail. Ensuite, il faut ajouter une authentification multifactorielle et compléter par des politiques de contrôles si l’impératif de sécurité est plus important ». « Cette nouvelle atteinte à la protection des données montre que les entreprises doivent reconsidérer la manière dont elles protègent leurs données non structurées, en particulier dans les courriels, de sorte que si ces informations sensibles tombent entre de mauvaises mains, les risques de divulgation sont réduits. Quoi qu’il en soit, c'est un risque auquel les entreprises sont confrontées. Elles doivent donc revoir leurs procédures de cybersécurité pour éviter que cela ne se produise ou ne se reproduise ».
Pour Simon McCalla, CTO de Nominet, quelques modifications mineures dans les processus et les systèmes, en plus d’une sensibilisation au problème, auraient pu empêcher le piratage. « Les pirates utilisent couramment des domaines « proches de » pour tromper les utilisateurs, en remplaçant par exemple l’adresse du destinataire john@fifa.com par john@fi-fa.com ». Selon lui, « il est possible de réduire ce risque en déployant un système anti-hameçonnage robuste. Mais on ne doit pas compter uniquement sur les systèmes de défense », a-t-il ajouté. « Il est important de sensibiliser les utilisateurs sur les dangers de l'hameçonnage et de leur apprendre à repérer les courriels suspects. Mais il est tout aussi essentiel d’entretenir une culture de la sécurité qui encourage le personnel à vérifier tout ce dont il n'est pas sûr ».
« L’élément peut-être le plus intéressant du piratage de la FIFA, c’est que la fédération a reconnu qu'elle « n'avait pas réussi à trouver les traces d'un piratage dans ses systèmes informatiques ». Cela en dit long sur la difficulté à détecter les techniques d'exfiltration de données, souvent masquées par les flux massifs de données qui transitent quotidiennement dans des organisations comme la FIFA. L’application de règles plus strictes, comme celles qui régissent le RGPD, aurait permis de détecter plus rapidement la fuite de données et incité l’entreprise à plus de prudence ».