Alors que de nouveaux services numériques foisonnent et que les crimes en ligne évoluent, les investigations de la Plateforme de lutte contre la cybercriminalité pour sécuriser le cyberespace ivoirien butent contre des « Gafam insensibles à la détresse de leurs usagers, et un manque de réciprocité avec des procédures rigides opposées par les pays du nord ». Patron de la PLCC, le Colonel Guelpetchin Ouattara dénonce cette « coopération à sens unique » dans un entretien accordé à Cio Mag, en marge du Cyber Africa Forum 2022.

Cio Mag : En 2020, la PLCC a traité 1101 cas de fraude sur transaction électronique pour un préjudice de 427 millions de FCFA. En 2021, vous avez enregistré 994 cas pour un préjudice financier de 726 millions de FCFA. Le nombre de cas est en légère baisse mais le préjudice cumulé est en forte hausse. Comment l’expliquez-vous ?

Colonel Guelpetchin Ouattara : Cette hausse est due à quelques affaires à gros préjudice. De façon générale nous estimons que les fraudes sur des transactions électroniques (mobile money) restent constantes mais élevées et en bonne place dans le top 5 des infractions de cybercriminalité enregistrées. C’est le lieu d’inviter les opérateurs du secteur à plus de sensibilisation des usagers, à l’amélioration des procédures de gestion, mais aussi à une meilleure protection des systèmes. Car nous notons quelques atteintes directes à leurs systèmes d’information occasionnant de gros préjudices aux opérateurs eux-mêmes.

Ces dix dernières années, en tout cas depuis 2016, les fraudes sur transaction électronique occupent la première place dans le triste classement des infractions de cybercriminalité. Est-ce que ce sont les prestataires de mobile money (telcos, établissements financiers et startups de la finance digitale) qui ne font pas suffisamment d’effort pour sécuriser l’environnement ou les utilisateurs finaux qui manquent de sensibilisation sur les risques ?

Nous ne dirions pas que les premiers n’en font pas assez. Nous disons plutôt qu’ils ont la responsabilité de rendre leurs produits plus sûrs. C’est dans l’intérêt de leurs clients, et à double titre dans leur propre intérêt : (1) la croissance des volumes de transaction par la confiance en des services sûrs ; (2) la réduction des préjudices directs qu’ils subissent eux-mêmes via les atteintes à leurs systèmes d’information. Alors oui, les opérateurs n’en n’ont pas seulement la responsabilité, c’est surtout dans leur intérêt.

Les raisons de s’inquiéter sont quand même légitimes, au regard de la propagation époustouflante des services de base du mobile money (dépôt, retrait, transfert), du paiement marchand et de la transformation digitale du secteur bancaire ?

Même si ces services sont toujours en cours de maturation (sécurité, prise en main par les usagers, etc.), les préjudices déclarés par les plaignants particuliers et opérateurs eux-mêmes inclus, restent faibles par rapport à l’ordre de grandeur du volume total des montants transitant par ces services. Le rapport annuel 2020 de l’UEMOA sur les services financiers numériques fait état d’un volume de transactions de 14.000 milliards de FCFA pour la Côte d’Ivoire. Sur la même période nous relevions un préjudice déclaré et cumulé d’environ 0,5 milliard (427 millions) de FCFA. Néanmoins, chaque victime vit une grande détresse que ces chiffres ne sauraient amoindrir. C’est la raison de notre appel aux opérateurs du secteur à accentuer la sensibilisation des usagers et à mieux sécuriser leurs infrastructures et leurs services.

Justement, ces détresses, on n’en parle peut-être pas assez, mais les victimes de la cybercriminalité subissent d’innombrables préjudices moraux : suicides, dépressions, pertes de réputation, etc. Comment les accompagnez-vous dans ces épreuves ?

Depuis 2020, nous avons mis en place au sein de la PLCC, une section en charge de l’assistance aux victimes. Une chose est de rechercher et d’interpeller les suspects, mais une autre tâche importante consiste à faire cesser les infractions et les souffrances des victimes. Ainsi en 2021, 1444 comptes d’utilisateurs ont été sécurisés et récupérés après avoir été hackés ; 1085 faux comptes avatars et usurpateurs ont été supprimés ; 285 vidéos à caractère sexuel mises en ligne par des maîtres chanteurs ont été retirées des sites pornographiques. Cela dit, cette assistance n’est possible que lorsque les victimes vivent en Côte d’Ivoire.

Chaque pays devrait apporter la même assistance aux personnes vivant sur son sol. Ce n’est malheureusement pas le cas dans de nombreux pays du nord qui préfèrent stigmatiser des pays africains qui déploient de nombreuses initiatives. Les Gafam devraient y contribuer également. Ni ces suicides, ni ces détresses morales n’ameutent ceux qui détiennent les preuves conduisant aux suspects.

Les chiffres de ces trois dernières années montrent que nous avons atteint un plateau avec une moyenne de 5.000 affaires…

D’autres chiffres permettent de mesurer l’ampleur du phénomène de la cybercriminalité et ses conséquences sur l’économie ivoirienne : en deux ans, la PLCC a traité plus de 10.000 affaires de cybercriminalité pour plus de 12 milliards de FCFA de préjudices financiers chez les particuliers, les banques, les opérateurs de TIC, etc. N’est-il pas temps de tirer la sonnette d’alarme ?

La sonnette d’alarme est tirée depuis plusieurs années. Déjà de 2010 à 2015, les cadres légaux et institutionnels se sont mis en place et ont énormément évolué jusqu’aujourd’hui. C’est grâce à cela que le phénomène est suivi avec des chiffres clairs et un bon regard sur des indicateurs depuis plus de 10 ans. Les chiffres de ces trois dernières années montrent que nous avons atteint un plateau avec une moyenne de 5.000 affaires par an et un préjudice financier moyen annuel de six milliards de FCFA. Pour aller plus loin, en décembre 2021, la Côte d’Ivoire a adopté une stratégie de cybersécurité 2021-2025. La vision est claire : sécuriser le cyberespace pour soutenir l’accélération de la transformation digitale. Cette stratégie mobilise l’ensemble des acteurs publics et privés pour améliorer la coopération et optimiser les cadres légaux et institutionnels ainsi que la gouvernance. En bref, nous faisons face au phénomène et nous sommes en perpétuelle adaptation pour mieux anticiper sur des problèmes de cybersécurité dans un environnement numérique fortement changeant.

En 2019, vous avez accusé les multinationales de l’internet, mais aussi et surtout les filiales des grands groupes de téléphonie mobile de faire obstacle aux réquisitions judiciaires dans les enquêtes de police. Qu’en est-il aujourd’hui ?

La situation s’est considérablement améliorée avec les opérateurs locaux. Grace à la bonne volonté de chaque opérateur et la facilitation de l’Union nationale des entreprises de télécommunications (UNETEL), l’organisation patronale du secteur des télécommunications. Même si les délais de réponse aux demandes judiciaires ont été réduits, l’un de nos opérateurs (qui se reconnaitra) a encore des efforts à faire pour se mettre au niveau des autres.

Les sites français de vente en ligne et de rencontre ne daignent même pas répondre à nos demandes légales d’information, bien que les victimes soient françaises.

Au niveau international, seul Facebook fait des efforts depuis deux ans. Quant aux autres multinationales de services en ligne, c’est le statu quo. Nous faisons face à un mur silencieux. Les sites français de vente en ligne et de rencontre ne daignent même pas répondre à nos demandes légales d’information, bien que les victimes soient françaises. Ils ne mesurent pas encore qu’ils favorisent l’accroissement des crimes, et donc la détresse de leurs propres usagers. Dommage que les médias, principalement français, continuent de nous stigmatiser, tout en ignorant la contribution active de leurs propres plateformes internet au phénomène des cyber escroqueries.

Justement, quelle collaboration avez-vous avec les forces de sécurité étrangères lorsqu’il s’agit de crimes sur des réseaux transnationaux ?

La coopération se passe bien entre pays ouest africains, avec qui nous partageons les mêmes typologies de crime et les mêmes organisations sous-régionales. C’est tout autre chose avec les pays du nord.

En plus de 10 ans, aucune affaire signalée par notre pays n’a été prise en charge par les services de police du nord.

En matière d’investigation et de prise en charge des affaires, le constat est clair : c’est une coopération à sens unique. Nous prenons en charge depuis plus de 10 ans tous les faits qui nous sont transmis par ces pays. Nous sommes saisis même par les services de base (commissariats, brigades de gendarmerie, etc.) des hameaux les plus reculés des pays du nord : Allemagne, Belgique, Canada, Espagne, Etats-Unis, France, Italie, Suisse, etc. Les procédures sont assouplies tout en restant conformes à nos lois et aux règles de coopération internationale. Peu importe pour eux que nous soyons signataires ou non de la convention de Budapest sur la cybercriminalité, nous sommes à leur écoute. Et nous obtenons de vrais résultats.

A contrario, en plus de 10 ans, aucune affaire signalée par notre pays n’a été prise en charge par les services de police du nord. Ne parlons même pas d’interpellation de suspects vivant dans ces pays et faisant des victimes en Côte d’Ivoire. La plupart des pays d’Afrique de l’Ouest font face à la même coopération à sens unique. Signataires ou non de la convention de Budapest sur la cybercriminalité, c’est le même silence. Il nous est généralement opposé des procédures rigides, frisant un manque de bonne volonté.

Les services en ligne où les infractions sont commises sont généralement des plateformes multinationales. Alors que par l’intermédiaire d’Interpol ou par la coopération bilatérale, nous prenons en charge des demandes d’information issues des pays du nord, là encore, la réciprocité n’est pas de mise.

Malgré ces efforts de coopération, d’assistance aux victimes, et de prise en charge des affaires, nous sommes victimes d’une forme de stigmatisation de la part de ceux mêmes qui coopèrent difficilement. L’on préfère qualifier sans chiffres et sans preuves, certains pays de “plaques tournantes de la cybercriminalité”. Tantôt, c’est la Côte d’Ivoire ou le Nigéria, ou encore le Bénin, le Ghana ou le Maroc. Personne ne nous donne d’études comparatives globales. Comme si ce qui se passe en Europe de l’Est et en Asie du Sud-Est était complètement ignoré et passé sous silence.

Encore une fois, une mobilisation des acteurs africains pourrait faire bouger les lignes.

Des milliers de courriels spam de chantage et d’usurpation en provenance d’Afrique cibleraient des Français et auraient fait d’innombrable victimes. Là aussi, les pays africains sont interpellés…

Au cours des 18 derniers mois, les canaux de coopération policière ou judiciaire nous ont fait remonter moins d’une vingtaine de cas soumis par les services français. Tous ces cas ont été pris en charge et plus des deux tiers ont été résolus avec des interpellations. Nous n’avons pas officiellement connaissance de ces milliers de cas rapportés par la presse et non par les services officiels d’enquête. Comment voulez-vous que nous prenions en charge des affaires méconnues de nous : pas de données techniques, pas de plaignants connus et entendus, pas de sollicitation légale. Les affaires pénales ne se transmettent pas à travers la presse ou sur les réseaux sociaux. Avant de s’en prendre médiatiquement à un pays et ternir son image, il faut avoir l’humilité de s’informer auprès de toutes les parties.

Dans ce contexte, comment la Côte d’Ivoire peut-elle parvenir à améliorer la sécurité de son cyberespace et quelles sont vos perspectives de progrès sur les prochaines années ?

La sécurité est un cycle permanent d’anticipation et d’adaptation aux enjeux nouveaux. La Côte d’Ivoire apporte des réponses originales adaptées à son contexte et à ses écosystèmes numériques et sécuritaires.

L’environnement numérique a la particularité d’évoluer rapidement sur notre continent : croissance des taux de pénétration, élargissement de la couverture réseau, augmentation de la qualité et des débits de connexion, foisonnement de nouveaux services numériques, digitalisation des administrations, etc. Pour répondre à tous ces facteurs impactant sa sécurité, la Côte d’Ivoire a bâti et adopté en décembre 2021, une stratégie de cybersécurité pour la période 2021-2025. Six axes pertinents sont en cours de mise en œuvre : (1) le renforcement du cadre légal, (2) la protection du cyberespace, (3) le renforcement de la confiance numérique, (4) la refonte du cadre institutionnel, (5) le renforcement des capacités du capital humain, et (6) l’accentuation de la coopération internationale. Pour chacun des axes, les objectifs et les plans d’action sont clairement définis.

La Stratégie nationale de cybersécurité 2021-2025 (SNCS 2021-2025) s’attaque à la prévention par une gouvernance optimisée et une mobilisation des acteurs de l’écosystème de la cybersécurité, mais également à la détection et la réponse tant aux crimes et qu’aux incidents numériques, avec des outils modernes dont certains, existant déjà, sont de vrais fleurons de la cybersécurité africaine : Direction de l’informatique et des traces technologiques (DITT), Plateforme de Lutte Contre la Cybercriminalité (PLCC), Laboratoire de Criminalistique Numérique (LCN), Centre de Fusion et d’Analyse de Données (CFAD), Côte d’Ivoire-CERT, Ecole Supérieure Africaine des TIC (ESATIC), pour ne citer que ceux-là.

Anselme Akéko

(Source : CIO Mag, 15 juillet 2022)