Close
Avez-vous trouvé cet article intéressant?

Société

Une vulnérabilité mal connue aux cyberattaques

La riposte cybersécuritaire tarde à prendre forme sur le continent, particulièrement vulnérable aux attaques informatiques. S’ouvre un vaste chantier afin de protéger les données et les finances des particuliers, des entreprises, et des États eux-mêmes, face à la prédation de cybercriminels bien organisés.

Par Nicolas Bouchet

La cybercriminalité pourrait faire du continent africain son troisième terrain de chasse après la Chine et de l’Amérique du Nord. Ce phénomène qui vise particuliers, entreprises et institutions avec des moyens qui se professionnalisent gagne en sophistication. Il touche désormais jusqu’aux activités agricoles, de plus en plus liées au numérique et donc vulnérables. « L’usage grandissant d’objets connectés et susceptibles de malveillances pose de graves problèmes », explique Chrysostome Nkoumbi-Samba, président de Afrik@cybersécurité.

L’importation de compétences semble indispensable le temps que les pays africains développent leurs moyens : structures de gouvernance, législation, infrastructures pour répondre aux attaques, formation locale de la population, sensibilisation du plus grand nombre.

Le continent souffre d’une vulnérabilité très élevée à ces pratiques du fait de la dépendance aux compétences sécuritaires situées en Europe et en Amérique du Nord, et de la faible sensibilisation des acteurs économiques et des populations à la protection de leurs systèmes et de leurs données.

Au niveau mondial, les recettes de la cybercriminalité ont été évaluées à plus de 600 milliards de dollars en 2019 par le CSIS (Center for Strategic and International Studies). Elle a pour premier effet sur le continent africain d’entraîner un coût estimé à 1% de la croissance africaine chaque année, selon le cabinet spécialisé 0X70. Certaines des techniques des cybercriminels sont connues mondialement.

Les plus courantes portent les noms de scam (fraude), de phishing (hameçonnage), ou encore d’arnaque aux sentiments. Bien plus sophistiqué et redoutable, l’usage de programmes nommés ransomwares consiste à exiger le paiement d’une rançon pour restituer l’accès d’une organisation à son propre système d’information. Cette pratique est prolongée par la « double extorsion ».

Le « rançonné » refusant de payer court le risque de voir ses informations divulguées sur l’Internet ; elles peuvent être par exemple des données personnelles et confidentielles de clients d’hôpitaux et de banques. Cas célèbre, le ransomware WannaCry a touché en 2018 plusieurs pays du continent dont l’Afrique du Sud, l’Égypte, le Niger, le Nigeria, la Tunisie ou encore la Tanzanie. Les fraudeurs s’adaptent à l’Afrique et tirent parti des particularités de son rapport au numérique et au réseau mondial.

Un fléau coûteux pour tous

Le taux de pénétration de l’Internet haut débit est globalement faible (11%) mais celui de l’omniprésent téléphone mobile est souvent supérieur à 100%. Les tentatives les plus nombreuses de fraude arrivent ainsi par SMS, par WhatsApp et par les messageries présentes dans les applications des réseaux sociaux comme Facebook. Les attaques propres au support mobile sont regroupées sous le nom de phreaking, qui désigne initialement le piratage de serveurs téléphoniques entiers, et sont l’épine dorsale de la cybercriminalité en Afrique.

Les entreprises aussi sont visées dont les TPE et PME, et surtout les systèmes informatiques des banques. Début 2021, l’entreprise Dataprotect, basée au Maroc, a ouvert une enquête dans les pays d’Europe, d’Afrique de l’Ouest, de RD Congo et du Gabon, et recueille les témoignages de tentative de cyberfraude de la part de 85% des établissements financiers interrogés.

L’ampleur globale des tentatives de fraudes en Afrique est estimée par Kaspersky à 28 millions d’attaques entre les seuls mois de janvier et août 2020. Cette grande vulnérabilité suscite le débat et des webinaires sont organisés régulièrement comme celui convié le 26 avril par Afrik@cybersécurité et qui a réuni des spécialistes du sujet, inquiets de l’inaction des pays africains.

L’Union africaine (UA) s’est dotée en 2014 de la Convention de Malabo sur la sécurité et la protection des données personnelles mais ses membres tardent, en majorité, à s’approprier ce cadre de coopération juridique. À ce jour, 14 États l’ont signée et trois seulement, le Sénégal, le Togo et Maurice, l’ont ratifiée. Sous la présidence de la RD Congo, l’UA aurait vocation à relancer la dynamique par un volet répressif bien que l’espace judiciaire soit encore théorique.

L’expert cybersécurité de la présidence congolaise, Jean-Claude Kahuadi y ajoute un volet technique pour lequel « la RD Congo attend une coopération des États africains pour développer un système de détection, de résilience et de protection de ses données ».

Simultanément, selon le fondateur de 0X70 Éric Bärenzung, « les rançons deviennent une industrie et le ransomware as a service (RaaS) représente 64% des demandes de rançon en 2020. Apparaît un écosystème de cybercriminels spécialisés dans l’équipement, d’un côté, et dans les compétences d’attaque, de l’autre ». La réaction devra d’abord passer par l’initiative des entreprises et se faire pays par pays, et son urgence se fait sentir dans le contexte du lancement de la zone africaine de libre-échange.

Des moyens encore insuffisants

Armel Mumbere, du cabinet Deloitte, évoque trois grandes lignes pour démarrer une sécurisation numérique. En plus d’établir des systèmes de paiement sécurisés propres aux membres de la Zone, il s’agit d’inciter les assureurs du continent à couvrir le risque posé par les pratiques cybercriminelles.

Chaque membre de l’UA doit renforcer la sécurité des échanges en son sein. L’ambition serait de monter une coopération régionale alternative, devant le peu d’entrain des pays à entrer dans le cadre de la Convention ; une attitude qui rend ineffective une coordination législative en matière de cybercriminalité. Mais comment avancer en l’absence du capital humain nécessaire ?

« Des partenariats sont à nouer avec des pays hors du continent pour endiguer le risque », répond Franck Kié, fondateur de CiberObs. L’importation de compétences et services offerts notamment par les cabinets privés, par la Commission européenne ou Interpol semble indispensable le temps que les pays africains « développent leurs moyens : structures de gouvernance, législation, infrastructures pour répondre aux attaques, formation locale de la population, sensibilisation du plus grand nombre ».

Ces plans pourraient bien se heurter à des craintes envers le risque encouru par la protection de la vie privée avec l’emploi de moyens de surveillance numérique par les États. Pour Chrysostome Nkoumbi-Samba, si les gouvernements prennent bien conscience des risques politiques et économiques que font peser sur eux les pratiques de la cybercriminalité, « rien ne les empêche d’employer les mêmes armes pour protéger leurs intérêts ». 

NB

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Related Posts