Paris 2024 : comment les organisateurs ont-ils structuré la billetterie pour faire face aux cyberattaques ?

A l'heure des cyberattaques toujours plus nombreuses dans les administrations ou les hôpitaux, la sécurité de la billetterie des Jeux olympiques et paralympiques de Paris 2024 était un enjeu majeur. Au total, 10 millions de billets seront vendus pour les JO, et 3,5 millions pour les Paralympiques. A titre de comparaison, la dernière Coupe du monde au Qatar a rassemblé près de trois millions de spectateurs dans ses stades, d'après les chiffres de la Fifa.

Ces volumes font de cette billetterie une cible pour les cybercriminels. "Ils ont une rapidité et une habitude à saisir tous les grands événements pour pouvoir faire ce qu'ils font au quotidien : gagner de l'argent sur le dos de leurs victimes. Il n'y aucune raison que les JO et/ou une billetterie de cette ampleur ne fasse exception, et encore plus au regard du tarif de certains billets. Car plus c'est cher, plus c'est rare, et plus cela attire", assure Benoit Grunemwald, expert en cybersécurité au sein d'ESET, une entreprise qui développe des logiciels et des services de sécurité informatique.

Cette billetterie constituait donc un "défi". Damien Rajot, directeur commercial et expérience sur site à Paris 2024, le reconnaît, il fallait "gérer la volumétrie de plus de 750 sessions", à l'achat en simultané, à travers le monde entier. Alors que la deuxième phase de la billetterie est lancée, mercredi 15 mars, franceinfo: sport a décrypté les méthodes employées par le Comité d'organisation des Jeux olympiques et paralympique (Cojop) de Paris 2024 pour contrer ces menaces.

Des cyberattaques en hausse

Bien que les attaques cybercriminelles sur les billetteries soient difficilement quantifiables, le Syndicat national du spectacle musical et de variété Prodiss a réalisé une étude en 2017, montrant que la vente illicite touchait jusqu’à un billet sur quatre. Dans le même temps, "l’évolution du nombre de décisions de justice concernant la revente illicite sur le marché secondaire de billets dans le secteur sportif a augmenté de 250 % entre la période 2008-2010 et la période 2020-2022", a relevé le groupe intégré d’avocats et de notaires De Gaulle Fleurance. 

Pour faire face à ces menaces variées – fraudes, usurpation et marché noir – les organisateurs de Paris 2024 ont "mis en place dès le départ une réflexion pour gérer les volumes et trouver une solution pour vendre de manière sécurisée quelque chose de très complexe, en peu de temps", souligne Damien Rajot, "même si le risque zéro n'existe pas", précise-t-il.

"Si la considération pour la fraude est bien prise en compte par Paris 2024, on sait qu'en cybersécurité, il n'y a pas de solution qui fonctionne à 100 %."

Benoit Grunemwald, expert en cybersécurité chez ESET

à franceinfo: sport

"Il y a toujours une faille dans le système, et les cybercriminels sont ingénieux. Les efforts sont là, on verra si c'est suffisant", remarque encore côté Benoit Grunemwald, avant de prédire : "Il y a fort à parier qu'il y aura des manœuvres d'importance contre l'événement car tout le monde aura le regard tourné vers les JO."

Le tirage au sort et des créneaux d'achat, une sécurité contre les robots

Il s'agissait d'une grande nouveauté. Pour obtenir des places aux Jeux de Paris, il faut déjà s'inscrire à un tirage au sort, puis être tiré au sort afin de pouvoir ensuite acheter des tickets pour les compétitions. L'acheteur se voit alors assigner un créneau d'achat de quarante-huit heures. "Passer par une phase d'inscription et de créneaux d'achat permet de repérer les robots, et d'éviter d'avoir des gens qui organisent des multi-ventes dans tous les sens", explique Damien Rajot.

Un système efficace selon Corinne Henin, experte en cybersécurité. "Ce mécanisme d'inscription par mail, de tirage puis de limite à 30 billets par compte, évite dans une certaine mesure qu'un robot ne se connecte, achète de nombreux billets puis les revende. Car cela nécessite beaucoup de manipulations pour peu de billets à la fois", analyse-t-elle. Le système de créneau d'achat a également permis d'étaler les flux, évitant ainsi des files d'attente interminables lors de l'achat. L'objectif était en effet de ne pas réitérer la mauvaise expérience utilisateur de la Coupe du monde de rugby entre autres, où la plateforme de vente avait été saturée dès son ouverture. 

Une plateforme de revente officielle pour lutter contre le marché noir

Acheter des billets un an et demi à l'avance présente un risque pour les acheteurs, qui peuvent ne plus être disponible le jour-J. Pour cela, le Cojop a annoncé mettre en place une unique plateforme de revente en 2024. "Nous voulons contrôler et organiser cette plateforme afin d'éviter toute forme de sur-commercialisation et de spéculation", affirme Damien Rajot. Ainsi, les billets ne pourront être revendus que sur ce site, au prix d'achat. 

Des billets 100 % digitaux et une application unique pour éviter les faux billets

Autre sécurité annoncée par Paris 2024 : les billets seront uniquement proposés au format digital et seront nominatifs. Aucun billet papier ne sera accepté. Les tickets ne seront délivrés et validés que sur une application mobile officielle dédiée. Et les organisateurs préviennent : ils ne seront envoyés aux acheteurs que quelques semaines avant les Jeux. "Pour lutter contre les faux billets, les tickets digitaux sont efficaces. Déjà, ils sont plus difficiles à copier que des billets papiers. Ensuite, les délivrer au dernier moment laisse moins de temps aux arnaqueurs d'étudier à quoi ils ressemblent", précise Corinne Henin, experte en cybersécurité. 

"S'il y a une petite erreur dans le billet, ils auront moins de temps pour la trouver. C'est la sécurité dans l'obscurantisme."

Corinne Henin, experte en cybersécurité

à franceinfo: sport

Toutefois, pour que le système fonctionne, un accompagnement de l'utilisateur est nécessaire pour le guider dans la marche à suivre, lui donner les bonnes informations, l'aider à préparer sa venue, etc. "C'est très important, surtout aux JO où on se rend sur plusieurs sites dans la même journée. Il y a une nécessité de pouvoir diffuser de l'information aux gens en direct", admet Damien Rajot.

Surtout pour éviter au maximum que les spectateurs tombent dans des campagnes d'hameçonnage. "On peut imaginer que celles-ci soient lancées avant le jour-J, ou au moment où le billet devient accessible, avec une invitation à télécharger une fausse application de billetterie. En arrivant sur les lieux, vous pourriez recevoir un sms vous disant 'Bienvenue aux Jeux olympiques de Paris, mettez à jour votre mot de passe'", détaille le spécialiste Benoit Grunemwald. Et ainsi avoir accès à vos données personnelles pour récupérer votre vrai billet.

Des QR codes dynamiques, un niveau de sécurité en plus

En plus d'être digitaux, les billets se présenteront sous forme de QR codes dynamiques, générés dans un créneau horaire précis juste avant l'événement. "Un QR code est une manière d'écrire une donnée qui est facilement lisible pour un ordinateur. Un QR code dynamique est composé d'un URL et ce qu'il y a derrière l'URL va changer régulièrement. C'est un niveau de sécurité supplémentaire", vulgarise Corinne Henin, experte en cybersécurité. "Ce type de QR code, qui tourne, renforce la difficulté de piratage et/ou d'avoir une personne qui scanne le QR code à votre place ou qui en fait une copie", appuie Benoit Grunemwald.

Malgré un système jugé "plutôt sûr" par les experts interrogés, "les menaces ne sont jamais désuètes, tranche Benoit Grunemwald. On est obligé de se protéger contre A, B, C, D, et cela change très vite et s'ajoute. Et peut-être que A et B ne sont plus exploitables mais encore faut-il que les utilisateurs aient une bonne hygiène en cybersécurité, c'est-à-dire mettent bien à jour leurs appareils, ont des bons mots de passe, et une double authentification. On le répète constamment, mais cela ne va pas s'arrêter." Car la menace ne va pas faiblir, bien au contraire.