Mise à jour sur la cyber sécurité : réaction de l’AMA concernant l’incident

Comme les médias l’ont signalé, depuis le 13 septembre, le groupe de cyberespions « Fancy Bear » publie sur son site Web des blocs de données confidentielles sur certains sportifs concernant les autorisations d’usage à des fins thérapeutiques (AUT). Le processus d'AUT permet aux sportifs de faire approuver l’utilisation d’une substance ou d’une méthode interdite afin de traiter un problème de santé légitime. Le programme des AUT est rigoureux et fait partie intégrante du sport d’élite; il est très largement accepté par les sportifs, les médecins et l’ensemble des partenaires du mouvement antidopage à l’échelle mondiale. L’activité criminelle menée par ce groupe de cyberespions, qui cherche à miner le programme des AUT ainsi que les efforts déployés par l’Agence mondiale antidopage (AMA) et ses partenaires pour la protection du sport propre, est un coup bas visant des sportifs innocents dont les renseignements personnels ont été exposés.

Fancy Bear a obtenu ces données illégalement à partir d’un compte créé pour les Jeux olympiques de Rio 2016 (compte ADAMS pour Rio 2016) dans le Système d’administration et de gestion antidopage (ADAMS) de l’AMA, ce qui lui a permis d’accéder à l’historique des AUT des athlètes qui ont participé aux Jeux.

Le système ADAMS dans son ensemble n’a pas été compromis par cette attaque.

Dès qu’elle a été informée de l’incident, l’AMA a mis sur pied une cellule de crise multidisciplinaire , composée de ressources internes et externes, y compris des représentants de ses services informatiques, juridiques et des communications. Elle collabore étroitement avec les principaux groupes des forces de l’ordre du Canada et d’autres pays, et cette collaboration s'étend à toutes les facettes de l’enquête, notamment les décisions relatives au retrait des renseignements sur le site Web de Fancy Bear et sur d’autres sites de médias sociaux. 

Dans le but de tenir les partenaires informés de sa réaction, l’AMA a préparé le sommaire suivant, qui comprend un aperçu de l’incident et présente les mesures que l’Agence a prises jusqu’à maintenant afin de colmater la fuite.   

Veuillez noter que l’enquête de l’AMA est en cours; par conséquent, bien que l’Agence souhaite informer les parties concernées, elle est consciente des risques associés à la divulgation d’informations qui pourraient compromettre l’intégrité de son enquête.

Sommaire

• En juin 2016, l’AMA a créé le compte ADAMS pour Rio 2016 afin d’y stocker les renseignements sur les athlètes olympiques dont elle avait besoin pour gérer le programme de contrôle du dopage aux Jeux olympiques de 2016. Le Comité international olympique (CIO) détenait les pleins pouvoirs administratifs sur ce compte. À titre d’administrateur du compte, le CIO a créé des accès supplémentaires à celui-ci pour les personnes intervenant dans l’administration du programme antidopage durant les Jeux, y compris deux comptes pour des représentants de l’AMA qui faisaient partie du programme d’observateurs indépendants (OI) de l’Agence pour les Jeux olympiques de Rio 2016.
• Avant et durant les Jeux de 2016, un certain nombre de comptes de courriel ont été la cible d’un harponnage, et il est possible que les cyberespions aient obtenu des mots de passe d’ADAMS. Remarque : Le harponnage de comptes de courriel vise à soutirer des renseignements du destinataire, comme le nom d’utilisateur et le mot de passe, permettant d’accéder à une application donnée.
• Selon les équipes techniques et d’informatique judiciaire de l’AMA, un intrus aurait accédé à un compte ADAMS créé pour Rio 2016 entre le 25 août et le 12 septembre 2016, après avoir obtenu illégalement les informations d’identification de l’un des utilisateurs ciblés.
• Le 13 septembre, l’intrus, qui se fait appeler « Fancy Bear », a publié sur son site Web le premier lot de données, notamment des renseignements relatifs aux AUT. Depuis, il a publié des renseignements (AUT en cours ou expirées) à cinq autres occasions. Il s’agissait toujours d’informations liées aux athlètes ayant participé aux Jeux olympiques de 2016. Les données publiées correspondent toutes aux données qui ont été volées durant la période du 25 août au 12 septembre.
• Le jour même où elle a été mise au courant de l’intrusion dans ADAMS, le 13 septembre, l’AMA a commencé à prendre des mesures additionnelles afin de sécuriser le système et de contenir les effets connus de l’attaque, notamment :
  • désactivation de tous les comptes ADAMS pour Rio 2016;
  • désactivation de la fonction libre-service de réinitialisation du mot de passe;
  • fonctionnalités de journalisation accrues pour les événements liés à la sécurité;
  • surveillance accrue des journaux et de l’activité sur le réseau;
  • désactivation des comptes inactifs. 
• Sans tarder, l’AMA a demandé à FireEye Inc., cabinet de consultation de premier plan spécialisé en sécurité et criminalistique qui fait affaire sous le nom de Mandiant, d’examiner en profondeur ses actifs, ses réseaux et ses systèmes, notamment ADAMS, afin de déterminer l’étendue de l’intrusion et de l’accès aux données stockées sur les systèmes, et d’endiguer toute menace. En date du 3 octobre, Mandiant avait réalisé plus de 90 % de son analyse, et aucun indice de compromission des données d’ADAMS n’a été relevé, autre que l’exportation, jusqu’au 12 septembre, de données des comptes ADAMS pour Rio 2016.
• Outre les communications avec les partenaires et les médias ayant suivi immédiatement chaque fuite, l’AMA a contacté, et continuera de le faire au besoin, tous les sportifs touchés ainsi que leurs organisations antidopage (OAD), soit les fédérations internationales (FI) et les organisations nationales antidopage (ONAD),  pour que celles-ci puissent leur offrir le soutien nécessaire.  
• De plus, l’AMA a demandé à tous les utilisateurs d’ADAMS de surveiller de près leurs communications électroniques et d’être à l’affût de toute tentative de harponnage. À cet effet, l’AMA a été informée la semaine dernière que certains utilisateurs avaient reçu des courriels suspects provenant soi-disant du directeur général adjoint de l’AMA, Rob Koehler, qui leur annonçait que le président de l’AMA souhaitait leur parler des cyberattaques. Sachez que le directeur général adjoint n’a jamais envoyé un tel courriel. Veuillez demeurer vigilants afin de repérer ce type de fraude.
• Il convient de noter également que, durant son enquête, l’AMA a constaté que les données publiées par le groupe de cyberespions Fancy Bear (dans ses documents en PDF) ne concordaient pas toutes exactement avec les données d’ADAMS. Nous continuons d’examiner de façon prioritaire la portée de ces écarts et encourageons les parties touchées qui découvrent des inexactitudes dans les données publiées à communiquer avec l’AMA.
• En ce qui concerne des mesures à plus long terme prises par l’AMA pour sécuriser davantage le système ADAMS, en plus de mettre en œuvre des contrôles d’authentification supplémentaires, l’Agence apporte actuellement des améliorations à son programme de journalisation et de surveillance des événements liés à la sécurité. En outre, elle réalisera une évaluation complète pour renforcer ses contrôles liés aux vulnérabilités et à la sécurité. Enfin, l’Agence encadrera mieux les utilisateurs afin de les aider à prévenir la communication involontaire de mots de passe à des tiers qui ont recours à des techniques de harponnage de comptes de courriel.    

L’AMA tient à remercier les sportifs et les OAD de leur compréhension et de leur appui. Si ceux-ci ont des questions ou des préoccupations, ou ont été témoins de toute activité suspecte relative à ADAMS, comme des courriels de harponnage, nous les encourageons à contacter le Service d’assistance de l’Agence à l’adresse adams@wada-ama.org ou à téléphoner au +1 514 904-8800.

L’AMA prend cette situation, à savoir une atteinte à la vie privée des sportifs, très au sérieux et continuera de communiquer des mises à jour au fur et à mesure que la situation évolue.