Face à la recrudescence des cyberattaques visant les institutions africaines, que doivent faire nos gouvernements ? Réponse avec Clément Domingo, alias SaxX, hacker éthique et fondateur de l’ONG Hackers sans frontières.

Au cours des derniers mois, le fisc malien, l’Agence pour la sécurité de la navigation aérienne en Afrique et à Madagascar (ASECNA) et l’Autorité de régulation des télécommunications et des postes (ARTP) du Sénégal ont été victimes de cyberattaques. Les hackers ont volé des quantités importantes de données personnelles et numériques et demandé aux trois institutions de payer une rançon. Auparavant, les hackers ne s’intéressaient pas vraiment à l’Afrique, notamment subsaharienne, mais la donne est en train de changer, vu cette multiplication de cas en si peu de temps et contre des institutions très importantes. Pourquoi ? Pourquoi maintenant ? Que faire ? Dans cette interview pour Le360 Afrique, Clément Domingo, alias SaxX, hacker éthique et fondateur de l’ONG Hackers sans frontières, nous répond.

Le360 Afrique : Quelle lecture faites-vous des récentes cyberattaques contre des institutions africaines ?

Clément Domingo : De manière générale, on voit que les cybercriminels commencent à cibler de plus en plus les systèmes de sécurité, les systèmes d’information en Afrique. Il y a cette recrudescence des cyberattaques en Afrique, et à l’évidence, c’est quelque chose qu’on aura de plus en plus, pour la simple raison que le continent devient de plus en plus connecté. On parle aujourd’hui énormément de cryptomonnaies, de toutes ces applications, comme le mobile money, etc. Un peu comme en Europe, aux Etats-Unis, au Moyen-Orient ou en Asie, on a cette hyperconnexion, et quand il y a des failles de sécurité dans les systèmes d’information, c’est assez simple, avec certains outils, d’en profiter. Aujourd’hui, il y a des outils qui existent, à la disposition de plus ou moins tout le monde qui sait les manipuler, et qui vont vous dire où il y a telle faille et, potentiellement, vous pourrez les utiliser pour pirater une institution.

Hélas, c’est très tabou d’alerter les autorités, gouvernements, entreprises en Afrique en leur disant « vous avez une faille », parce qu’il y a cette culture cyber qui est quasi inexistante, et surtout quand vous le faites, les gens ont un peu peur ou, pire, essaient de mettre la poussière sous le tapis. Pourtant, ce n’est pas un aveu de faiblesse, au contraire, c’est pour renforcer la sécurité et, in fine, un peu la confiance des utilisateurs, des citoyens dans l’utilisation des outils numériques.

Pourquoi ce nouvel intérêt des hackers pour l’Afrique ?

Pour la simple et bonne raison que quand on parle aujourd’hui de cybersécurité, et là je m’en désole, la voix de l’Afrique n’existe pas. Cela fait à peine deux ou trois ans qu’on commence à parler de cybersécurité en Afrique. Et cela a aussi été exacerbé par la pandémie. Mais avant, le terme cybersécurité était seulement réservé à une certaine élite, et même lorsqu’on venait un peu creuser ce qu’il y avait derrière ce terme de cybersécurité dans l’espace africain, on se rendait compte qu’il n’y avait rien. Et les cybercriminels ont compris que les systèmes en Afrique sont totalement à leur portée et que vous pourrez aussi facilement vous faire de l’argent en les attaquant. Parce qu’aujourd’hui, il ne faut pas oublier que derrière 90% des cyberattaques, c’est l’aspect financier qui prime. Les hackers vont prendre vos données numériques, et dire que si vous ne payez pas telle somme, ils ne vous les rendent pas ou, pire encore, ils les divulguent. Et là, c’est un aveu d’échec, parce que vous n’avez pas pris le soin de protéger les données de vos citoyens ou de vos clients.

Concernant les trois récentes cyberattaques, les institutions ont-elles payées et quelle a été la suite ?

En Europe, il y a une posture qui dit qu’il ne faut pas payer la rançon. Cela, pour plusieurs raisons : vous n’avez pas la certitude que les attaquants vont vous rendre vos données, vous n’avez pas non plus la certitude qu’ils vont les revendre à des concurrents, et vous allez les enrichir et leur donner de quoi s’équiper et recruter encore plus de personnel. Aussi, payer peut les inciter à revenir dans 6 mois, un an… Dans les cas du fisc malien et de l’ASECNA, qui ont été attaqués par le groupe de hackers Lockbit, les données ont été publiées. Mais dans le cas du fisc malien, il y a forcément eu paiement. Quant à l’ASECNA, elle a eu de la chance, au regard de la prime demandée, 25.000 dollars. Il y avait 538 fichiers concernés, sauf qu’il y avait un peu d’information critique, mais pas au niveau des 25.000 dollars.

Dans le cas de l’ARTP, Karakurt, au contraire des autres groupes de hackers qui font du ransomware classique, a exfiltré la donnée et l’a mise sur ses serveurs, mais sans chiffrer le système. Ce qui est un point positif. Mais le point négatif est que vos données se trouvent dans la nature, exposées sur son site-vitrine, comme sur un site marchand, aux enchères. Hélas, en Afrique, et même en France, dans 99% des cas, les entreprises ne savent pas qu’elles ont été attaquées, c’est seulement lorsque c’est publié, que des chercheurs commencent à faire des publications, ou que le groupe de hackers le publie sur sa page-vitrine aux enchères, qu’elles s’en rendent compte. Alors, soit l’entreprise entre en contact avec les hackers pour négocier ou une autre partie peut être intéressée par les données. Ou alors, il n’y pas de deal et, comme ça a été le cas avec Karakurt, ils vont commencer à publier petit à petit les données pour mettre la pression.

Les données sont publiées sur le dark web. Qui y a accès ?

C’est une énorme faute professionnelle de penser que les risques sont ne sont pas grands parce que c’est le dark web, auquel 90% de la population ne peut accéder, par manque de compétences, parce que ce n’est pas du tout sûr, il faut savoir comment naviguer, etc. Mais il y aura toujours des personnes plus malveillantes qui ont les capacités d’aller sur le dark web, récupérer les informations et les publier sur le clear web que le ¾ de la population connait, et là on n’est plus du tout sur le dark web.

Cela remet sur la table l’urgence de politiques adaptées…

Il y a d’abord eu la convention de Malabo, un texte fondateur signé en 2014 avec les 54 états africains autour de la table, à l’instar de la fameuse convention de Budapest, pour que le cyberespace africain ne soit pas une espèce de Far West. Mais 8 ans après, c’est un peu moins de 20 pays qui ont ratifié cette convention et seulement 3 ou 5 qui l’ont signée. Cette convention n’est pas peut-être pas adaptée aux différentes réalités numériques de l’Afrique, dans toutes ses spécificités régionales.

Il y a d’abord eu la convention de Malabo, un texte fondateur signé en 2014 avec les 54 états africains autour de la table, à l’instar de la fameuse convention de Budapest, pour que le cyberespace africain ne soit pas une espèce de Far West. Mais 8 ans après, c’est un peu moins de 20 pays qui ont ratifié cette convention et seulement 3 ou 5 qui l’ont signée. Cette convention n’est pas peut-être pas adaptée aux différentes réalités numériques de l’Afrique, dans toutes ses spécificités régionales.

Lorsque j’ai décelé l’attaque contre l’ARTP, j’ai automatiquement essayé d’entrer en contact avec l’institution, qui ne m’a d’ailleurs jamais répondu, et j’ai dû passer par d’autres personnes. S’il y avait eu un organe central, comme l’Agence national de sécurité des systèmes d’information en France, qui protège les sociétés et les opérateurs d’importance vitale, au niveau de la sous-région ou directement au niveau du Sénégal, peut-être que les choses se seraient passées différemment. Et au-delà de ça, il y a aujourd’hui un vrai vide en termes juridique, pour un organe qui pourrait jouer ce rôle.

Egéalement, il faudrait, à moyen ou long terme, mettre tous les acteurs au niveau de l’Afrique de l’Ouest, ou du continent, autour d’une table et rebattre les cartes, et se dire ce qu’on fait au regard de la menace grandissante, parce qu’on va se faire attaquer de plus en plus. Il s’agit de décider comment on s’organise, comment on organise cette réponse régionale et cette coordination, en s’inspirant peut-être du modèle européen, qui fonctionne très bien.

Avant de parler d’un mouvement d’ensemble, que peut faire chaque pays à son niveau ?

Je pense que d’une manière assez simple, il faut initier, au niveau de chaque ministère, une petite cellule de veille, ou avoir tout simplement un « single point of contact » (SPOT) qui soit affiché, par exemple, sur le site de la présidence, du ministère de l’Intérieur ou du ministère des Télécommunications. Comme ça, en cas de cyberattaque ou d’alerte, il y a de nombreux ingénieurs au niveau de la diaspora, qui sont bons et qui ont envie de travailler pour l’Afrique, qui tomberont sur des failles totalement aberrantes et sauront qui alerter. C’est assez simple à mettre en place. Ne serait-ce que d’avoir un numéro vert ou un mail de contact.

Une autre chose très concrète est qu’au sein de toutes les entreprises d’importance vitale, c’est-à-dire celles qui font fonctionner l’économie et qui sont dans des secteurs stratégiques (hydrocarbures, énergie, transport, etc.), si on parvenait à avoir les numéros des DSI (direction du système d’information) et les mettre dans une espèce de liste rouge, laquelle, si on l’active assez rapidement, pourrait permettre de maîtriser les crises assez rapidement.

Et il y a aussi les CERT (computer emergency response team), des équipes qui, quand il y a une cyberattaque, vont réagir très rapidement et à la fois donner de la transparence en expliquant à la population ce qui se passe.

Que fait concrètement une CERT ?

Il y a plusieurs étapes que je vais simplifier en trois. Quand des organismes se font attaquer, la première chose à faire, c’est comprendre comment on a été attaqué, comment les hackers ont fait pour s’introduire dans le réseau et ensuite pour voler l’information. C’est la partie forensique, ou investigation numérique. Ensuite, il faut reconstruire, colmater les brèches. C’est-à-dire identifier les trous, les failles et les corriger et peut-être rehausser le niveau de sécurité. La troisième étape peut se subdiviser en deux parties. D’une partie, il s’agit d’assurer toute la partie post-communication, expliquer aux salariés ce qu’il s’est passé, essayer de mettre en place des plans de résilience au niveau du système d’information. En parallèle, il faut se dire qu’on peut éventuellement être à nouveau victimes d’une cyberattaque, alors on va faire des exercices de gestion de crise, au moins une fois l’année. C’est en quelque sorte se préparer à la vague avant la vague. Ainsi, le jour où on est attaqués, on sait qui ou quoi mobiliser, et on peut rapidement réagir.

(Source. : Afrique 360, 8 novembre 2022)