La cybercriminalité est un phénomène plus que d’actualité, en témoigne les divers piratages qui ont eu lieu au cours des dernières années (piratage de TV5 en avril 2015, piratage avortée d’un milliard de dollars à la banque du Bangladesh en février 2016, etc.). Pour avoir un état des lieux en matière de cybercriminalité en Afrique, nous avons rencontré le Dr Abdoul Karim Ganame, expert/chercheur en cyber sécurité et fondateur de la startup Efficient Protection inc basée à Montréal au Canada. Il est également enseignant en cyber sécurité à l’École Polytechnique de Montréal.
Aperçu de l’état actuel de la cybercriminalité en Afrique
La cybercriminalité sur le continent Africain reste dominée par le Scam nigérian (scam 419), aussi connu sous le vocable « broutage » dans la sous-région ouest-africaine. Son mode opératoire classique consiste à appâter les internautes via des messages électroniques de masse, dans l’objectif de les escroquer. Avec l’évolution des TIC et la banalisation de l’accès à Internet sur le continent, l’on a vu apparaitre d’autres dérivés du broutage, dont « l’arnaque sentimentale » (arnacoeur) où le cyber criminel tente de créer une relation sentimentale avec sa victime, y consacrant parfois plusieurs mois, dans l’objectif de la convaincre de vivre une supposée relation amoureuse. Une fois la victime conquise, s’en suit une série d’événements imprévus qui peuvent sembler anormaux pour une personne avertie, mais que la victime trouve tout à fait plausibles, et qui nécessitent qu’elle vienne en aide à son amoureux ou amoureuse (le cyber criminel). Au finish, la victime se fait escroquer et le cyber criminel se volatilise.
Dans une autre variante de l’arnacoeur appelée « sextorsion », beaucoup plus agressive et violente celle-là, le cyber criminel parvient à obtenir une photo ou une vidéo de la victime nue (via webcam par exemple) et entreprend une opération de chantage afin que de l’argent lui soit versé en échange de son silence. Ce type d’arnaque conduit malheureusement quelques fois au suicide des victimes, redoutant les conséquences de leur acte si jamais l’entourage immédiat(conjoint ou conjointe, enfants, etc.) venait à apprendre l’existence de ladite photo ou vidéo.
Il faut toutefois noter que l’Afrique n’a pas le monopole du scam nigérian, qui reste une forme de cyber criminalité universelle et que l’on trouve sur tous les continents. Les cyber criminels agissent d’ailleurs souvent en réseaux, de plus en plus internationalisés. Il est aussi à signaler que tous les pays africains ne sont pas logés à la même enseigne en matière de cyber criminalité. Certains sont actifs tandis que d’autres ne le sont pas du tout.
Un autre type de cybercriminalité ayant des impacts majeurs sur le continent est la fraude liée a la téléphonie (mobile surtout) aussi connue sous nom de « Phreaking ». A titre d’exemple, les pertes liées à ce type de cyber criminalité se sont élevées à 18 milliards de francs CFA pour le Cameroun en 2015.
Au Burkina, entre novembre 2014 et mars 2015, les pertes ont été de l’ordre de 900 millions de FCFA pour l’opérateur Airtel (Orange). Quant à l’Onatel, il estime accuser une perte entre 200 et 400 millions de FCFA par mois, lié à ce type de fraude.
Conséquences de la cybercriminalité pour les pays africains
La cyber criminalité entraine d’énormes pertes financières pour les pays africains. A titre d’exemple, la Côte d’Ivoire a subit un préjudice financier d’environ 26 milliards de FCFA de 2009 à 2011. Quant au Cameroun, la perte est estimée à environ 25 milliards de francs CFA (incluant les pertes liées au « Phreaking »), rien que pour 2015 !
Elle entraine aussi une forte atteinte à l’image et la réputation des pays reconnues comme étant des sources actives de cybercriminalité, ce qui a un impact direct sur le nouement de partenariats d’affaires entre ces pays et l’étranger.
Broutage" et « phreaking »
Le broutage et le phreaking ne sont que la face visible de l’Iceberg. Une autre forme de cyber criminalité, très peu connue celle-là sur le continent africain car elle n’en est pas la source, vient de l’extérieur et impacte les infrastructures informatiques et les ordinateurs des particuliers sur le continent. Elle consiste en l’infection des ordinateurs et leur inclusion dans des réseaux de machines infectés ou zombies, communément appelés botnets. Une fois compromis ou infectés, ces ordinateurs obéissent à distance aux instructions d’une unité de commande et de contrôle (appelée C&C)et n’attendent que des instructions pour lancer des attaques. Certains botnets sont composés de dizaines ou de centaines de milliers d’ordinateurs localisés dans plusieurs pays.
Je précise que l’Afrique n’est pas une cible expressément désignée par les créateurs de botnets. Elle en est une victime co-latérale du fait de la faible protection de ses infrastructures informatiques.
Botnets en Afrique
Pour vous donner une idée, à partir de données que nous collectons dans notre réseau sur les virus/malwares, et en les croisant avec des données de partenaires, nous avons observé la situation suivante pendant la journée du 8 décembre 2015 : 1110 ordinateurs infectés au Burkina ont établi des communications vers l’extérieur. Nous avons fait le même exercice pour certains pays africains et les résultats sont les suivants : Mali : 1221 ordinateurs, Côte Ivoire : 16114, Nigeria : 26402, Afrique du sud : 50779, Tunisie 48602, Sénégal 8022. Ainsi, pour cette journée et uniquement pour 7 pays, 152250 ordinateurs infectés ont établi des communications externes.
Ces ordinateurs infectés appartiennent sans doute à des particuliers, mais aussi à des entreprises, à des gouvernements et administrations publiques. Une question fort légitime qu’on pourrait se poser au sujet des ordinateurs infectés appartenant à des entreprises, gouvernements et administrations publiques est la suivante : à quelle fin ont-ils été infectés ? Est-ce pour une exfiltration de données, l’envoi de Spam ou pour attaquer des réseaux de tiers ? Nous n’avons mené aucune étude dans ce sens. Il appartient à chaque entreprise ou administration de prendre les mesures idoines pour protéger ses infrastructures informatiques et données, afin de minimiser ses risques de piratage.
Il faut noter que les chiffres dont je viens de parler ne sont pas exhaustifs car il est impossible d’observer l’ensemble des communications au niveau mondial à partir d’un nombre de points limités.
Nous constatons que les pays les mieux connectés à Internet sur le continent (Afrique du Sud, Nigeria, Tunisie, Cote d’Ivoire, etc.) ont un plus grand nombre d’ordinateurs infectés, ce qui signifie que l’évolution des TIC ne va pas forcement de pair avec la sécurité informatique sur le continent. Il faut donc s’attendre à ce que les menaces de cyber sécurité s’accroissent avec l’essor des TIC sur le continent.
La raison d’être d’un botnet est de lancer des attaques de grande envergure nécessitant de grandes ressources informatiques. Certains cybercriminels créent des botnets et les louent à d’autres cybercriminels qui les utilisent pour lancer des attaques de grande envergure, par exemple les attaques par déni de service distribué (DDOS) dont l’objectif est de paralyser ou rendre indisponibles des réseaux ou serveurs de tiers (sites web de banques, institutions gouvernementales, etc.), tels que nous l’avons vu aux USA, Canada, et dans plusieurs autres pays.
L’on constate d’ailleurs qu’un modèle économique assez lucratif se met en place autour des botnets. Ainsi, sur le marché noir, il est possible de louer un botnet, à l’heure ou au jour, comme un service (botnet as a service) à des prix dérisoires (entre 20 et 40$/heure). Il devient donc de plus en plus facile de lancer des attaques de grande envergure, sans avoir besoin de mettre en place de grosses infrastructure TI, ce qui aurait nécessité de gros moyens financiers.
La communauté de lutte contre la cybercriminalité dont ma startup fait partie doit constamment s’adapter et proposer des outils innovants, afin de faire face à ces menaces qui évoluent sans cesse.
La plupart du temps, les infections se font lorsque les internautes naviguent sur des sites web peu recommandables (sites web de téléchargement illégal de logiciels, de vidéos ou musique etc.). Un ordinateur peut aussi être infecté lorsque l’utilisateur clique sur un lien malicieux embarqué dans un e-mail de spam. Pour rappel, environ 90% des e-mails qui circulent sur Internet sont des spams.
L’infection peut aussi se faire via une clé USB ou tout autre périphérique de stockage amovible infecté que vous branchez à votre ordinateur.
Autres types de cybercriminalité
Le dernier type de cybercriminalité notable en Afrique est le defacage de sites web (communément appelée defacing). Lors d’un defacing, le cybercriminel exploite les vulnérabilités d’un site web, le pirate et affiche un message ou une image ainsi que sa signature.
La plupart des defacing qui ciblent l’Afrique peut être qualifié d’anodin, dans la mesure où, plutôt que de pirater des sites web et d’afficher un message ou une image très visible sur leur page principale, très souvent les cybercriminels laissent tout juste leur « signature » sur une ou deux pages du site web piraté, sans causer de dommages. Cette empreinte témoigne du caractère non ciblé du piratage, le cyber criminel opportuniste ayant tout simplement piraté un site web peu sécurisé qu’il a trouvé sur son chemin. Les auteurs de tels actes sont généralement des pirates en herbe ou ceux qui essaient d’impressionner leurs semblables dans le but d’avoir de la reconnaissance et d’être acceptés comme membres de communautés de pirates informatiques. Toutefois, si ce type d’acte malveillant est très souvent anodin, il a malheureusement des effets pervers dans la mesure où une fois le site web piraté, le cyber criminel en mal de reconnaissance doit publier son « exploit » pour être connu et reconnu. Ainsi, dès que le piratage de votre site web est publié, il devient de facto un terrain d’expérimentation où d’autres « pirates » viennent s’exercer, dans le but d’y trouver d’autres vulnérabilités à exploiter. Ainsi, après un banal defacing, votre site web pourrait être utilisé par exemple comme serveur de stockage des données illégales ou comme serveur d’envoi de spams, à votre insu.
Profil type des sites web ciblés par le defacing
Aucun site web n’est à l’abri d’un defacing d’autant plus que fourmillent un grand nombre de script-kiddies ou « pirates de dimanche ». Ayant peu de qualifications, les script-kiddies s’appuient sur les innombrables outils de piratage disponibles sur Internet et ciblent n’importe quel site web en privilégiant les moins sécurisés. Leur objectif est de remporter le maximum de trophées (sites web piratés).
Toutefois, les travaux de réponse aux incidents de cyber sécurité et d’intelligence sur les cyber-menaces (Incident Response & Threat Intelligence) que ma startup mène nous permettent d’affirmer que certaines attaques sont prévisibles. En effet, dépendant d’un certain nombre de facteurs (secteur d’activité d’une entreprise, son intérêt stratégique pour son pays d’appartenance, son contexte concurrentiel local ou international, le contexte politique ou géopolitique, etc.), certains sites web sont plus susceptibles d’être attaqués. Par exemple : les sites web gouvernementaux sont constamment attaqués lorsqu’il y’a des tensions entre deux pays (Russie vs Georgie, USA vs Chine, etc.). Quant aux sites web à forte ou très forte visibilité (médias internationaux, télé, etc.) ils sont ciblées lors des conflits ayant un lien avec la religion ou lors des conflits régionaux (ex : Israël vs Palestine). En piratant un site web très fréquenté et en y affichant un message, les cybercriminels font d’une pierre deux coups : attirer l’attention d’un grand nombre de personnes sur leur situation tout en se faisant de la publicité à peu de frais. Évidemment ce type d’activité reste illégal.
Ce à quoi les internautes africains doivent s’attendre en 2016
En 2016, les infections classiques d’ordinateurs vont continuer. Certains internautes seront victimes de « ranconware » qui est une nouvelle menace de cyber sécurité dont le mode opératoire est le suivant : un cybercriminel infecte votre ordinateur, encrypte les données qui s’y trouvent, puis demande le versement d’une rançon pour décrypter vos données.
D’autres internautes seront victimes d’utilisation frauduleuse de leurs comptes e-mail ou de vol de leur identité sur les réseaux sociaux. Bien que personne ne soit à l’abri du vol d’identité sur les réseaux sociaux, les personnalités publiques et autres célébrités seront une cible de choix.
Le continent Africain étant de plus en plus connecté à Internet et aux réseaux sociaux (incluant les sites de rencontres), un marché local va continuer à s’y développer pour le broutage classique et ses variantes, avec un fort encrage à moyen terme, plusieurs pays s’étant jusque là montré incapables de lutter efficacement contre le phénomène.
Bien qu’aucune entreprise ou organisation ne soit à l’abri des actes de piratage, les plus ciblées sur le continent risquent d’être les banques et autres institutions financières incluant les opérateurs de paiement mobile, les gouvernements et administrations publiques, les opérateurs de télécommunications classiques ainsi que les médias en ligne. Parmi les principaux risques, l’on pourrait citer des compromissions/infections via des malwares, des attaques ciblées par déni de service distribué (DDOS), du phishing (surtout contre les institutions financières et opérateurs de paiement mobile) avec pour objectif de rediriger les internautes vers des sites web frauduleux à l’apparence crédibles en vue de capturer leurs mots de passe ou informations bancaires, des tentatives de vol de données de cartes de crédit et des tentatives de fraude. Certaines entreprises pourraient être victimes de ranconwares classiques.
Au niveau international, l’on observe une augmentation des cas de menaces d’attaques de type DDOS en cas de non paiement d’une somme d’argent exigée par les cyber criminels, mais ce type de chantage a peu de chance d’aboutir dans la plupart des pays africains, dans la mesure où les pannes ou dysfonctionnements de longues durées étant assez souvent tolérées par les utilisateurs car faisant souvent partie du quotidien.
Des defacing risquent d’être notés ca et là, mais sans grand impact vue le peu de visibilité de la plupart des sites web du continent, doublé au fait que le commerce électronique est encore à l’état embryonnaire dans la majorité des pays africains. Toutefois, lorsque le commerce électronique fera partie des habitudes des utilisateurs, les defacing risquent d’avoir un plus grand impact. En effet, l’on estime qu’environ 30% des internautes arrêtent d’acheter en ligne sur un site web dont le piratage a été publié dans les médias.
L’Afrique est jusque là assez épargnée par les attaques informatiques ciblées (comparativement aux autres continents) et cette tendance devrait se maintenir à court terme. Toutefois, la donne devrait changer à moyen terme. En effet, l’effervescence TIC actuelle sur le continent (divers projets d’amélioration des infrastructures TIC nationaux notamment les projets de déploiement de la fibre optique, l’augmentation de la bande passante Internet dans plusieurs pays, le dynamisme des écosystèmes TIC, la mise en place des Clouds nationaux tels que le G-Cloud au Burkina, etc.) fera apparaitre plusieurs pays sous les radars Internet, augmentant leur intérêt auprès des cyber criminels internationaux.
Plusieurs pays africains définissent actuellement des stratégies d’économie numérique, ce qui est plus qu’opportun vu le fort potentiel lié au numérique (création d’emplois et de richesse, facilitation de l’accès à des services essentiels, etc.). Il est essentiel que la sécurité soit prise en compte dans ces stratégies, afin que les infrastructures du continent soient aussi fiables, stables et sécurisées que celles des autres continents. Il y va de sa survie et de sa croissance sur le marché numérique mondial. L’Afrique a raté la révolution industrielle, elle ne peut se permettre de rater la révolution numérique.
Conseils
Assurez-vous d’avoir un antivirus à jour sur votre ordinateur et ayez toujours à l’esprit qu’un antivirus ne vous protégera jamais à 100%. Choisissez des mots de passe robustes et n’utilisez jamais le même mot de passe sur plusieurs sites (réseaux sociaux, e-mail, téléchargement de logiciels, etc.). Cela minimisera les impacts si d’aventure, l’un de vos mots de passe venait à être compromis.
Si vous avez des données confidentielles ou sensibles sur votre ordinateur, sauvegardez-les périodiquement (ex : 1 fois par semaine), cela vous évitera des ennuis si vous êtes victimes de ranconwares ou si un virus détruit vos données.
Si vous êtes victimes d’un ranconware, la meilleure attitude à adopter consiste à ne pas verser de rançon, car si vous le faites, vous risquez d’être pris dans un engrenage (demande de paiement d’une deuxième ou troisième rançon, etc.).
Enfin, pour éviter d’être victime du broutage, soyez prudents et alertes, et chaque fois qu’un appel au secours (d’un supposé proche ou ami) vous semble douteux ou chaque fois qu’une proposition financière vous semble trop belle pour être vraie, ignorez-là.
Abdoul Karim Ganame, PhD, GCIA, GCIH, CISSP
(Source : Le Faso, 18 mars 2016)