OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Articles de presse > Archives 1999-2024 > Année 2023 > Juin 2023 > Les cyberattaques contre le Sénégal expliquées

Les cyberattaques contre le Sénégal expliquées

jeudi 1er juin 2023

Cybersécurité/Cybercriminalité

Outre l’argent qui demeure la principale motivation des cyberattaquants, une autre motivation émerge progressivement depuis le début XXIe siècle : le hacktivisme. Dans ce contexte, les cyberattaques sont perpétrées dans un but de militantisme.

Cette tendance s’est clairement manifestée à travers les récentes cyberattaques qui ont touché les sites du gouvernement. « Nous ne travaillons pas pour l’argent (…). Nous travaillons pour la justice », a précisé Mysterious Team Bangladesh.

Mysterious Team Bangladesh ?

D’après nos recherches, MTB, également connu sous le nom de « cyberguerriers du Bangladesh », serait un groupe hacktiviste bangladais politico-religieux. En début du mois de mai 2023, il a revendiqué la responsabilité de plusieurs cyberattaques, dont certaines en Éthiopie. Selon leurs dires, ces attaques sont motivées par des accusations de soutien aux juifs, à Israël et de torture de femmes musulmanes dans ce pays situé sur la corne de l’Afrique. Mysterious Team Bangladesh est aussi responsable des cyberattaques perpétrées contre Israël, affirmant agir en solidarité avec le peuple palestinien.

Le 29 mai, au moment de la rédaction de cet article, en France, le site de La Poste a été la cible d’une cyberattaque, entraînant une perturbation temporaire de ses services. Cette attaque a été revendiquée par Mysterious Team Bangladesh, le même groupe responsable des cyberattaques dirigées contre le Sénégal.

Mais il fallait s’y attendre…

Le 5 mars 2021, le collectif Anonymous avait en effet alerté le régime en place à la suite des restrictions d’accès à Internet observées dans le pays pendant les « événements du mois de mars », marqués par des vagues de soulèvement.

C’est probablement cette mise en garde contre le Sénégal qui a conduit certaines personnes à penser qu’Anonymous était derrière les cyberattaques subies par le pays depuis le vendredi 26 mai 2023. Cependant, il est certain que le collectif n’a jamais revendiqué officiellement ces attaques. Anonymous est souvent associé à des cyberattaques encore plus graves. Mais en raison de son fonctionnement décentralisé, probablement pour éviter d’être démantelé, n’importe qui peut se revendiquer comme faisant partie d’Anonymous.

Rappelons qu’Anonymous est un collectif de hackers créé vers 2003. Il est considéré comme l’un des dix collectifs de hackers les plus célèbres de tous les temps par le géant de la cybersécurité Kaspersky. Il est connu pour son implication dans de nombreuses cyberattaques à travers le monde. En 2022, le collectif avait déclaré une cyberguerre contre la Russie après son invasion de l’Ukraine.

Les prémices de la cyberattaque

Le 22 mai 2023, aux environs de 20 heures, sur Twitter, un sondage presque passé inaperçu a été lancé par Mysterious Team Bangladesh en vue de préparer ses attaques. Sur les 134 votants, 90 % se sont exprimés en faveur de l’opération, tandis que 10 % y étaient opposés. Enfin, le 24 mai, à la même heure, à l’issue du sondage, le groupe a annoncé qu’il allait bientôt lancer une opération dans le cyberspace sénégalais. À ce stade, les dés étaient jetés.

Le début des hostilités

Le vendredi 26 mai, aux environs de 20 heures, l’opération « #OpSN » a été mise en marche, déclenchant une attaque de type DDoS — déni de service distribué — massivement dirigée contre une vingtaine de sites gouvernementaux. Cependant, les attaquants avaient clairement du mal à mettre tous les sites hors ligne, car certains sont redevenus accessibles quelques minutes plus tard. Pour ainsi se rattraper, vers 23 heures, l’un de leurs membres a lancé un appel sur Twitter, demandant des renforts : « Join the DDoS attack, together we can make a difference ». Et quelques minutes plus tard, une vingtaine de sites en gouv.sn étaient devenus inaccessibles.

Le samedi 27, le gouvernement, par le biais de son porte-parole Abdou Karim FOFANA, a confirmé l’attaque. « Après vérification, il s’agit d’une attaque DDoS », a-t-il déclaré.

Le 29 mai, c’était au tour du Groupe Futur Média de subir les assauts de la Mysterious Team. Les sites Igfm et l’obs ont été mis hors ligne en milieu de matinée. On leur reproche d’avoir publié de fausses informations sur la situation du pays. Les mêmes faits ont également été reprochés au journal LeQuotidien, dont le site est resté indisponible pendant plus de 2 heures le 30 mai, peu avant 7 heures. L’attaque était toujours de type DDoS.

Une attaque DDoS, c’est quoi au juste ?

Une attaque par déni de service (DDoS) se manifeste sous différentes formes et a pour objectif de rendre un site web ou une ressource informatique indisponible en le submergeant de trafic. Afin de mener ce type de cyberattaque, les pirates informatiques commencent par infecter des appareils à l’insu de leurs propriétaires, tels que des ordinateurs ou des objets connectés (IoT). Ces appareils infectés sont ensuite activés pour envoyer un volume élevé de trafic malveillant visant à surcharger, par exemple, la bande passante d’un site et le mettre hors ligne. Ce réseau d’appareils « zombifiés » enrôlés dans le cadre d’une attaque DDoS est appelé un botnet.

Bien que les attaques par déni de service distribué (DDoS) soient fréquentes, elles ne représentent pas les cyberattaques les plus redoutables. En réalité, elles ne sont même pas considérées comme complexes à mettre en place. Car il est possible aujourd’hui d’acheter ou de louer un botnet prêt à l’emploi pour moins de 20 $ sur le Darkweb, permettant à quiconque, même sans compétences techniques particulières, de mener des attaques DDoS.

Les attaques plus dévastatrices, comme les ransomwares, sont bien plus préoccupantes. Un exemple marquant est l’attaque qui a touché l’ARTP en octobre 2022. Ces attaques ont un impact beaucoup plus significatif et peuvent causer des dommages considérables.

En effet, lors d’une attaque de type ransomware, le pirate informatique cible les fichiers de la victime et les crypte, ou exploite des failles de sécurité pour bloquer les systèmes informatiques. Ensuite, il demande le paiement d’une rançon dans un délai fixé à sa convenance, en échange d’une clé de déchiffrement. Lors de l’attaque de l’ARTP, le groupe Karakurt aurait exigé, selon certaines sources, une rançon de 70 000 $, faute de quoi les 102 Go de données qui leur ont été volées seraient divulgués. Quelques jours plus tard, les hackers ont mis leur menace à exécution en publiant toutes les données en accès libre sur leur site Darkweb Karanews.

La plus grande demande de rançon connue à ce jour s’élève à 70 millions de $. Ce montant pharaonique a été réclamé à Kaseya, une entreprise informatique américaine, après que son système informatique a été paralysé par le ransomware REvil. Cette attaque avait eu des répercussions sur près de 1500 entreprises à travers le monde. À la lumière de ce qui précède, il apparaît clairement que le Sénégal ne fera pas exception.

Tout compte fait

Il est crucial pour l’État d’accorder une plus grande priorité à la cybersécurité. Le cadre juridique ne pose pas de problème, car le Sénégal, fidèle à ses habitudes, a adhéré à presque toutes les conventions dans le domaine de la cybercriminalité et de la cybersécurité, notamment les conventions de Budapest et de Malabo.

Depuis 2008, le Sénégal dispose de sa propre loi sur la cybercriminalité, qui a ensuite été intégrée dans le code pénal. Parallèlement, une Stratégie Nationale de Cybersécurité a été élaborée dès 2017, avec une vision à l’horizon 2022. Récemment, le Président de la République a exprimé la nécessité de mettre à jour cette stratégie afin de renforcer la souveraineté numérique du Sénégal.

À notre avis, il apparaît urgent de renforcer les ressources humaines et techniques des structures telles que la DCSSI — Direction générale du Chiffre et de la Sécurité des Systèmes d’Information. Conformément à l’article 2 de son décret de création n°2021-35, cette entité est chargée de mettre en œuvre la politique de sécurisation et de défense des systèmes d’information. Ce renforcement permettrait de mieux faire face à toutes les formes de cyberattaques auxquelles le Sénégal pourrait être confronté. En effet, des cyberattaques plus sophistiquées pourraient cibler à l’avenir des infrastructures plus critiques du pays plutôt que de simples sites web.

Mamadou Lamine Niang DIA, juriste spécialisé en droit du Numérique et auteur d’un mémoire de Master sur la cybercriminalité soutenu en 2021 à l’Université Alioune Diop de Bambey.

(Source : Social Net Link, 1er juin 2023)

Fil d'actu

  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)
  • Quelles différences entre un don et un cadeau ? Burkina NTIC (22 avril 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 4105/4409 Régulation des télécoms
  • 346/4409 Télécentres/Cybercentres
  • 3059/4409 Economie numérique
  • 1610/4409 Politique nationale
  • 4409/4409 Fintech
  • 499/4409 Noms de domaine
  • 1621/4409 Produits et services
  • 1384/4409 Faits divers/Contentieux
  • 719/4409 Nouveau site web
  • 4356/4409 Infrastructures
  • 1616/4409 TIC pour l’éducation
  • 180/4409 Recherche
  • 243/4409 Projet
  • 2873/4409 Cybersécurité/Cybercriminalité
  • 1715/4409 Sonatel/Orange
  • 1545/4409 Licences de télécommunications
  • 264/4409 Sudatel/Expresso
  • 922/4409 Régulation des médias
  • 1202/4409 Applications
  • 989/4409 Mouvements sociaux
  • 1515/4409 Données personnelles
  • 121/4409 Big Data/Données ouvertes
  • 590/4409 Mouvement consumériste
  • 358/4409 Médias
  • 642/4409 Appels internationaux entrants
  • 1462/4409 Formation
  • 90/4409 Logiciel libre
  • 1674/4409 Politiques africaines
  • 814/4409 Fiscalité
  • 166/4409 Art et culture
  • 572/4409 Genre
  • 1381/4409 Point de vue
  • 957/4409 Commerce électronique
  • 1476/4409 Manifestation
  • 312/4409 Presse en ligne
  • 124/4409 Piratage
  • 204/4409 Téléservices
  • 830/4409 Biométrie/Identité numérique
  • 300/4409 Environnement/Santé
  • 315/4409 Législation/Réglementation
  • 334/4409 Gouvernance
  • 1698/4409 Portrait/Entretien
  • 144/4409 Radio
  • 672/4409 TIC pour la santé
  • 264/4409 Propriété intellectuelle
  • 58/4409 Langues/Localisation
  • 997/4409 Médias/Réseaux sociaux
  • 1834/4409 Téléphonie
  • 190/4409 Désengagement de l’Etat
  • 970/4409 Internet
  • 114/4409 Collectivités locales
  • 377/4409 Dédouanement électronique
  • 990/4409 Usages et comportements
  • 1020/4409 Télévision/Radio numérique terrestre
  • 558/4409 Audiovisuel
  • 2683/4409 Transformation digitale
  • 382/4409 Affaire Global Voice
  • 150/4409 Géomatique/Géolocalisation
  • 289/4409 Service universel
  • 660/4409 Sentel/Tigo
  • 174/4409 Vie politique
  • 1455/4409 Distinction/Nomination
  • 34/4409 Handicapés
  • 679/4409 Enseignement à distance
  • 637/4409 Contenus numériques
  • 585/4409 Gestion de l’ARTP
  • 181/4409 Radios communautaires
  • 1598/4409 Qualité de service
  • 424/4409 Privatisation/Libéralisation
  • 132/4409 SMSI
  • 446/4409 Fracture numérique/Solidarité numérique
  • 2542/4409 Innovation/Entreprenariat
  • 1306/4409 Liberté d’expression/Censure de l’Internet
  • 46/4409 Internet des objets
  • 170/4409 Free Sénégal
  • 315/4409 Intelligence artificielle
  • 194/4409 Editorial
  • 16/4409 Yas

2025 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous