Cybercriminalité : Le Sénégal,une cible facile ?

Le développement des infrastructures de télécommunications, la croissance de la démocratisation d’internet ainsi que la faiblesse des outils de défense font du Sénégal une proie facile pour les cybercriminels.

En 2014 et 2015, des sites gouvernementaux sénégalais avaient été piratés. La dernière attaque mondiale cybercriminelle n’a pas non plus épargné notre pays. C’est en connaissance de ce contexte que des experts de la cybercriminalité ont adopté une prudence de Sioux pour aborder la question lors des dernières Security days de Dakar (26 et 27 avril). Même s’il est difficile de trouver la subtilité qui veut qu’on tire la sonnette d’alarme sans pour autant effrayer tout le monde, ils s’en sont employés avec généralement justesse en utilisant les adages bateau comme « mieux vaut prévenir que guérir ». Sauf que l’histoire est trop souvent ironique.

71ème des pays les plus attaqués

Une quinzaine de jours après la tenue de la troisième grande messe sur la cybercriminalité, une attaque cybercriminelle d’une envergure mondiale a eu lieu. Plusieurs privés, des grandes entreprises et des Etats en ont été victimes, dont le Sénégal, malgré les refus ostentatoires de certains officiels de reconnaître la vérité. La cybercriminalité est une réalité dans notre pays. Le Sénégal serait, en effet, à la 71ème position des pays les plus attaqués dans le monde selon une étude de Kaspersky, citée par Ismaël Camara, président du Rejotic, dans une tribune. L’augmentation et le développement des infrastructures de télécommunications, ainsi qu’une plus grande démocratisation d’internet participent à accroitre l’attractivité du Sénégal pour les cybercriminels. La dernière attaque cybercriminelle a mis en exergue le virus Wannacry. Quèsaco ? Pour faire simple, Wannacry est une attaque qui crypte les données d’une entreprise ou d’une institution. Pour les libérer, les malveillants réclament de l’argent en rançon. D’après l’expert Baïdy Sy, au micro de notre confrère Basile Niane, le Sénégal a été touché « près de 3 heures après l’apparition du virus ». Ce qui montre que notre pays n’est toujours pas totalement prêt à lutter contre ce genre d’attaque.

Des outils nationaux

Si le Plan Sénégal numérique 2025 prend en compte certains aspects de cette lutte, il est lucide de reconnaître qu’il reste des choses à faire dans ce domaine. Telle qu’une agence de cybercriminalité, que Chérif Diallo, le directeur des Tic au ministère des Télécommunications, appelle également de ses vœux en dépit de l’annonce imminente de sa création. « La cybersécurité est une vision qui part d’abord d’une stratégie. Donc, une politique de sécurité des systèmes d’informations. Puis, place à la mise en place d’organes composés de ressources qui gèrent la cybersécurité de l’entreprise, mais qui seront aussi composés de procédures, de processus et de reporting jusqu’à la formation et la sensibilisation des utilisateurs du systèmes d’information », décrypte-t-il. L’urgence concerne également la mise en place d’un Centre national d’alerte et de réaction aux attaques informatiques (Cert). En l’état actuel, le Sénégal ne dispose pas encore de tout l’arsenal qu’il faut pour bien lutter contre ce mal aux apparences virtuelles mais bien réel. Le pays axe sa stratégie sur une coopération internationale.

Si elle peut dépanner, elle pose d’autres questions. L’efficacité de la cybersécurité implique nécessairement la souveraineté nationale. Le Sénégal travaille en étroite collaboration avec l’Anssi (Agence nationale de la sécurité des systèmes d’informations de la France), les Pays-Bas et la Corée du Sud. Ce sont des partenariats qui pourraient notamment questionner dans le degré d’implication des parties étrangères dans la gestion des données personnelles des Sénégalais. Donc, plus que jamais, l’urgence est à la gestion de nos propres outils pour lutter contre la cybercriminalité.

Chérif Diallo, directeur des Tic : « Une cellule pour les interventions d’urgence verra bientôt le jour »

Pour le directeur des Tic au ministère des Télécommunications, le Sénégal avance à grands pas vers son autonomie dans la cybersécurité.
« La mise en place d’une cellule pour les interventions d’urgence en cas d’attaque informatique va être fait rapidement », annonce Chérif Diallo. Il poursuit : « Nous travaillons sur différents volets de mise en place des Cert, notamment avec nos bras techniques comme l’Adie et l’Artp. Il faut dire qu’il y a différents types de Cert (équipes d’interventions d’urgence) face aux attaques informatiques. Il peut y avoir un Cert gouvernemental, un national, des Cert privé et universitaire ».

M. Diallo soutient que le Cert universitaire sera lancé bientôt. « Nous sommes en concertation avec différentes universités sénégalaises. Nous nous sommes mis d’accord pour démarrer avec de petits moyens ». C’est un projet qui sera appuyé par le gouvernement du Sénégal, l’enseignement supérieur, le ministère des Postes et Télécommunications pour pouvoir répondre à des problématiques dans ce domaine.

« Nous travaillons aussi dans un deuxième type de Cert avec l’Adie : gouvernemental et national. Celui-là nécessite plus de temps compte tenu des enjeux beaucoup plus importants et d’une technicité plus forte. Il pendra une année. C’est notre objectif. Nous y travaillons depuis l’année dernière avec nos partenaires coréens et néerlandais », informe-til.

Partenaire international 

Dans le domaine de la cybersécurité, « la coopération internationale est très importante, car la plupart des attaques proviennent de l’étranger », consent Chérif Diallo. La France avait collaboré, il y a quelques années, avec le Sénégal dans la mise en place d’une brigade de lutte contre la cybercriminalité qui est désormais opérationnelle. Notre pays collabore également avec les Etats-Unis. « Aujourd’hui, il y a d’autres pays comme les Pays-Bas, la Corée du Sud. Il ne faut pas oublier la coopération Sud-Sud avec le Maroc, l’Afrique du Sud. Ce qui veut dire que le Sénégal a compris que la coopération internationale était primordiale avec des échanges techniques renforcés pour enrayer ce problème », explique-t-il.

Moussa DIOP

CYBERCRIMINALITÉ : Entre lâcheté et ingéniosité

Tapis dans l’ombre, les cybercriminels n’en demeurent pas moins actifs. Avec des méthodes sophistiquées, ils continuent de faire des victimes dans toutes les franges de la société. Particulier comme entreprise, personne n’est épargnée.

A quarante six ans, Amadou Sow est chef comptable dans une grande entreprise florissante à Dakar. Pourtant cette stabilité apparente a été ébranlée, il y a quelques mois, par un « désobligeant phénomène » appelé la « fraude au président ». Elle est de plus en plus répandue et consiste en une prise de contact avec des personnels clés d’une entreprise en se faisant passer pour son dirigeant dans le but de se voir transférer une importante somme d’argent. « J’ai eu des sueurs froides. Tous nos comptes se sont retrouvés exposés du jour au lendemain », confie-t-il.

Des comportements criminels se renouvellent par le biais des technologies et notamment d’internet. De l’escroquerie à l’abus de confiance, en passant par l’extorsion, les criminels remettent au goût du jour des infractions dont la réalisation se trouve considérablement facilitée grâce à l’outil informatique, surtout face à un public non averti. Fatou Diène est âgée de trente ans. Elle est commerciale dans une entreprise de presse. Son compte Facebook a été piraté. Son « bourreau » est parvenu à soutirer de l’argent à plusieurs de ses amis sur le réseau social. « Son modus opérandi consistait à réclamer de l’argent à mes amis en leur demandant de faire le transfert à partir des structures dédiées. Il prenait également le soin de commencer la conversation en leur disant que j’avais changé de numéro », souligne-t-elle. Le délinquant virtuel est parvenu à ses fins avec une dizaine de personnes. Il a été démasqué à la onzième tentative. « Plus de peur que de mal. A chacun, il avait soutiré la somme de 10.000 FCfa », révèle-t-elle.

Certains cybercriminels ont commencé par voler dans le monde réel et se sont, par la suite, recyclés dans le virtuel. « D’autres deviennent délinquants par accident ou tout simplement par facilité », signale Ibrahima Bâ, informaticien. Les cybercriminels ne s’attaquent pas seulement aux néophytes. Grâce aux techniques comme « le fishing, ils ciblent le vol de données, personnelles ou industrielles », ajoute Ibrahima. Quant au skimming, c’est une pratique consistant à pirater, puis à reproduire une carte bancaire. Outre la difficulté que peuvent avoir les particuliers et professionnels à détecter ces risques, l’appareil répressif de l’Etat est confronté à des délinquants qui s’organisent au sein de réseaux. 

Personne n’est à l’abri

La cybercriminalité ne renvoie pas nécessairement à l’action d’individus malveillants isolés, des bandes organisées au fonctionnement structuré et disposant de compétences solides le font aussi. « La plupart du temps, ces délinquants du net sont en avance par rapport aux structures chargées de les traquer », souligne un policier qui préfère garder l’anonymat. « Dans une société de plus en plus connectée, la cybercriminalité est logiquement un phénomène en constante accroissement », affirme Ibrahima, l’informaticien. Qu’on pense aux objets connectés ou aux systèmes de paiement par informatique, l’impact d’une action criminelle est toujours dévastateur pour les victimes. Au regard de ces menaces et des enjeux qu’elle soulève, des solutions doivent être envisagées contre la cybercriminalité. Fréquemment, les victimes d’une attaque virtuelle se contentent de constater l’étendue des dégâts et de repenser leur défense, en vue d’une nouvelle tentative criminelle. « Or, si ces questions sont majeures, les individus et structures ne doivent en aucun cas se laisser dissuader de se défendre en justice au motif que le comportement coupable se serait produit en ligne. Le droit évolue avec la technique et il convient de ne pas l’oublier », fait savoir Amadou Niane, juriste.

Oumar BA