Le dynamisme des Béninois à l’épreuve des cybercriminels

Le dynamisme des Béninois à l’épreuve des cybercriminels

Pris individuellement, les Béninois sont remplis de talents et de dynamisme. » Tels sont les propos du Président de la République, Patrice Talon, lors de la présentation du Programme d’Actions du Gouvernement[1], le 16 décembre dernier.

Ce Programme, « Bénin Révélé », constitue la feuille de route de l’action gouvernementale pour la période 2017-2021. Il repose sur un panel de 45 projets phares, complétés par 95 projets sectoriels en vue de la transformation économique et sociale du Bénin.

 

 

 

 

 

Avant de se protéger contre le vol, il faut d’abord créer de la valeur, et c’est précisément ce à quoi s’emploie le PAG.

 

Parmi ses 45 projets-phares, 6 d’entre eux sont dédiés au numérique :

20.   Internet haut/très haut débit

21.   Télévision numérique terrestre

22.   Administration intelligente

23.   Généralisation du e-commerce

24.   Généralisation du numérique par l’éducation et la formation

25.   Promotion et développement de contenus numériques

 

Leur réalisation est confiée à l’Agence béninoise du numérique[2], dirigée par Serge Adjovi, (ci-contre), qui veille également sur le volet numérique des 39 autres projets phares dédiés à d’autres secteurs.

 

Autant dire que le Président de la République compte sur le dynamise des Béninois et sur l’économie numérique pour réussir la transformation économique et sociale du Bénin.

 

 

Dans cette lutte pour le développement de son pays, le Président tient également compte des opposants que sont, notamment, les cybercriminels de l’intérieur et de l’extérieur du pays.

C’est ainsi que l’agence béninoise du numérique a soutenu la 3ème édition du forum IT Bénin, qui s’est tenue à Cotonou le 3 avril 2017. Ce forum organisé par CIO MAG a fait salle comble grâce à l’action de tous et, en particulier, du jeune club des DSI du Bénin qui s’est structuré de manière exemplaire au cours de l’année 2016.

Dans son discours d’ouverture Alain Gbagdidi, président du jeune club des DSI du Bénin, précise que le thème de la Cybersécurité a été retenu car « les citoyens d’une nation libre ne peuvent en jouir sans un minimum de sécurité ».

Pour ce qui concerne l’Etat, Serge ADJOVI compare une économie numérique sans cybersécurité à un réfrigérateur plein, la porte ouverte, et pour éviter cela, il annonce une série de mesures en faveur de la cybersécurité au Bénin, qui devraient voir le jour en 2017 :

·         mise en place d’une base d’identification des personnes ;

·         déploiement de solutions de paiement électronique sécurisée  ;

·         adoption d’un code du numérique[3] incluant des articles sur la cybersécurité visant notamment à reconnaître la validité juridique de la signature électronique et de documents sécurisés ;

·         incitation à la création de data center pour pouvoir stocker de façon sécurisée et traiter les données concernant le Bénin, dont la quantité augment de manière exponentielle[4] ;

·         création du CERT en 2018 ;

·         appel à la contribution de tous car la cybersécurité n’est pas seulement une affaire de technique mais elle nécessite aussi changement de culture et de manière de penser.

 

 

La lutte contre la criminalité économique et financière

S’agissant de criminalité économique et financière, il faut tout d’abord observer que le numérique permet une traçabilité des données qui permet de lutter contre la corruption, avec de nombreux exemples réussis au Bénin[5] et ailleurs. Ainsi, le recensement précis des fonctionnaires a permis à plusieurs états d’économiser près de 20 % de la masse salariale en cessant de payer les fonctionnaires qui ne travaillent pas effectivement au service de l‘Etat dans les postes pour lesquels ils sont prévus.

Quant à la cybercriminalité proprement dite elle repose sur quatre piliers que sont :

  • L’intelligence économique qui permet de savoir qui détient des informations importantes et où ;
  • L’ingénierie sociale qui consiste à trouver des personnes fragiles à l’intérieur de l’entreprise cible et, en utilisant des moyens légaux ou illégaux, pour lui soutirer de l’information confidentielle comme des mots de passe ou lui soutirer de l’argent par le mensonge,
  • La technologie permettant de pénétrer les systèmes d’information et accéder aux informations recherchées, ou utiliser les ordinateurs cibles comme vecteur d’attaques.

 

 

 

Un des intervenants[6] a présenté les différentes formes que revêt la cybercriminalité qui casse la confiance et fait peser des menaces sur l’économie et la cohésion sociale du pays :

  • Technologie comme Instrument : Fraude par marketing de masse ; Blanchiment d’argent ; Vol d’Identité ; Violation de propriétés intellectuelle ; Vol d’argent…
  • Technologie comme Cible : Piratage à des fins criminelles, Réseaux de Zombies (BotNet), Logiciels malveillants, attaques par déni de Services (DoS), Virus et logiciels espions…
 

 

Sur le premier type d’attaques, le commissaire Nicaise Dangnibo, Directeur de l’Office central de répression de la cybercriminalité (OCRC), décrit le visage que revêt actuellement cette cybercriminalité au Bénin :

 

Il présente un premier bilan éloquent de l’activité de ses services :

  • 76 plaintes de victimes d’abus de confiance basée sur le sentiment amoureux, 29 suspects appréhendés, 100 millions de FCA de préjudice financier associé ;
  • 54 plaintes de victimes d’abus de confiance relatifs à des prêts à taux avantageux, 23 suspects appréhendés, 75 millions de FCA de préjudice financier associé ;
  • 66 plaintes de victimes d’abus de confiance pour des achats et ventes en ligne, 12 suspects appréhendés, 100 millions de FCA de préjudice financier associé ;
  • 106 plaintes de victimes d’abus de confiance pour des piratages de comptes dématérialisés, 32 suspects appréhendés, 20 millions de FCA de préjudice financier associé ;
  • 16 plaintes de victimes d’abus de confiance pour des faux dons, héritages ou bourses d’études, 5 suspects appréhendés, 30 millions de FCA de préjudice financier associé ;
  • 65 plaintes de victimes d’abus de confiance pour d’autres gains fallacieux proposés par voie téléphonique, 15 suspects appréhendés, 130 millions de FCA de préjudice financier associé ;

 

Voici quelques exemples du deuxième type d’attaques :

  • Yahoo a déclaré avoir subi 2 vols de données, en 2013 puis en 2014 pour un total de 1,5 milliards de comptes piratés.
  • En février 2017, une université américaine a été attaquée par ses propres distributeurs de boissons mais aussi par des ampoules connectées.
  • En 2015, une attaque a visé le site de TV5 monde, qui a dû arrêter ses émissions (Cf ci-dessous).
Description de l’attaque de TV5 Monde

•       En janvier 2015, un courriel est envoyé à la rédaction de la chaîne internationale francophone TV5 Monde (hameçonnage / phishing) Trois journalistes y répondent, permettant aux hackers de pénétrer dans le système de la chaîne grâce à un logiciel pirate (cheval de Troie)

•       En mars, la deuxième phase de l’offensive est lancée, et un virus contamine plusieurs ordinateurs de TV5 Monde. L’agence nationale de la sécurité des systèmes d’information (ANSSI) prévient TV5 Monde d’une utilisation frauduleuse d’un de ses serveurs non protégés. L’agence récupère le serveur en question et la chaîne internationale se met à la recherche d’un prestataire pour un audit de sécurité.

•       Les 8 avril à 20H50, l’offensive proprement dite démarre avec l’attaque des serveurs de diffusion (multiplexage) puis des serveurs de messagerie. Parallèlement, les comptes Twitter et Facebook sont piratés et des messages de soutien à l’Etat islamique y sont publiés. Vers 22H00, TV5 monde coupe les émissions. Peu avant minuit, les équipes reprennent le contrôle des réseaux sociaux et postent des messages aux internautes.

•       Le 9 avril vers 5H00, une quinzaine d’ingénieurs de l’ANSSI, dépêchés sur place au cours de la nuit, parviennent à relancer le système informatique de TV5 monde. A 10H00, des émissions préenregistrées sont diffusées. A 18H00 la chaîne reprend ses émissions normales

•       Le 9 avril 2015, le parquet de Paris saisit la direction générale de la Sécurité intérieure (DGSI) et les cyber-policiers de la direction centrale de la Police judiciaire (DCPJ). Le procureur ouvre une enquête pour « accès, maintien frauduleux et entrave au fonctionnement d’un système de traitement automatique de données » ainsi qu’ « association de malfaiteurs en relation avec une entreprise terroriste ». L’enquête s’oriente vers un groupe de hackers russes nommé APT28 (ou Pawn Storm),

•       Depuis cette attaque, TV5 Monde a lancé un programme de cybersécurité de 10 millions d’euros.

 

Face à de telles attaques, de plus en plus sophistiquées[7], les gouvernements mobilisent en général cinq types d’instruments :

  • une politique nationale de cybersécurité résultant de la concertation entre les principaux ministères concernés et notamment les ministères de la défense nationale, de l’intérieur, de la justice, du numérique, des finances[8];
  • une agence nationale de la sécurité des systèmes d’information (ANSSI) qui s’occupe entre autres, de protéger les organismes d’importance vitale pour l’Etat et de sensibiliser les entreprises[9];
  • une agence nationale de protection des données personnelle, comme il en existe déjà au Bénin qui prend des décisions à l’égard des possesseurs de données personnelles comme les opérateurs mais qui n’a pas encore véritablement démarré les contrôles
  • un ou plusieurs CERT gouvernementaux ou privés[10],
  • des Responsables de la sécurité des systèmes d’information dans chaque ministère[11] et des équipes spécialisées de lutte contre la cybercriminalité (cyberpolice, cybergendarmerie, cyberdouanes, tracfin, …)

 

Quant aux entreprises et aux particuliers, combien utilisent un antivirus pour protéger leur ordinateur, leur téléphone portable, combien utilisent un VPN pour éviter que des personnes malveillantes ne volent les numéros de carte lorsqu’ils utilisent le WIFI public, combien protègent leurs mots de passe au cas où un hacker pénètre dans leur ordinateur ?

 

Les Béninois sont également actifs en dehors de leur pays, au point que le colonel Nicolas Duvinage, chef de centre de lutte contre les criminalités numériques (C3N) de la gendarmerie française, a recensé 950 plaintes contre des cybercriminels béninois sur les 18 derniers mois, sans révéler le nombre de plaintes contre des cybercriminels français qui n’ont, d’après lui, rien à envier aux cybercriminels béninois. En France, le Club des experts de la sécurité de l’information et du numérique (CESIN) considère que la demande de rançon est la forme de cyberattaque la plus fréquemment rencontrée en France en 2016 (80%) devant l’attaque par déni de service (40%).

 

Aux côtés des cyber-crimes, susceptibles de sanctions pénales, il ne faut pas oublier les cyber-délits, voire les cyber -escroqueries d’apparence légale, qui détruisent la confiance sans que leurs auteurs ne soient inquiétés : on pense aux publicités tendancieuses et aux informations imprécises données aux consommateurs qui découvrent trop tard que l’assurance qu’ils ont achetée en ligne comportait des clauses qui exclut leur cas, ou que la pénalité en cas de changement de billet d’avion doit être augmentée car il n’y a plus la même catégorie de siège, tout en restant dans la même classe.

Il existe aussi des abus en matière de collecte et de traitement des données personnelles qui, sans constituer des crimes, constituent néanmoins des délits ou pour le moins des désordres. A ce propos, M. Etienne Fifatin, magistrat, président de la CNIL, signale qu’il y a actuellement désordre dans l’utilisation des données personnelles au Bénin. En effet, les services administratifs de santé (hôpitaux, laboratoire), les services de police, les banques ou les opérateurs GSM collectent au quotidien des données personnelles dont l’utilisation est potentiellement dangereuse pour la société.

Enfin, Béninois, Africains et Français doivent se défendre contre les abus de position dominante des grandes sociétés multinationales qui collectent leurs données en toute légalité et les exploitent en créant de la valeur. A nous d’être suffisamment intelligents pour trouver des parades et créer un écosystème numérique qui permet à nos pays et nos habitants de conserver une grande partie de la valeur ajoutée qu’ils créent.

Une chose est certaine : sur les 7 prochaines années, il y aura un déficit mondial d’experts en matière de cybersécurité. Les structures de formation deviennent critiques dans ce domaine.

A titre d’exemple, l’ANSSI française a mis en place un label SecNumedu validant la qualité des formations en cybersécurité.

S’agissant de l’Afrique, le sommet des chefs d’Etats franco-africains tenu en janvier à Bamako apporte un premier élément de réponse avec le lancement d’un partenariat franco-africain pour la sécurité numérique incluant la création d’au moins une école africaine de cybersécurité[12].

 

 

 

Alain Ducass,

Expert de la transformation énergétique et numérique de l’Afrique

www.energeTIC.fr ; alain.ducass @ energeTIC.fr

 

[1] https://lanouvelletribune.info/archives/benin/politique/31757-gouvernement-version-complete-pag

[2] Egalement appelée Unité d’Exécution du Conseil du Numérique de la Présidence de la République, à ne pas confondre avec l’Agence béninoise des TIC (ABETIC), créée par le décret n° 2013-554 du 30 décembre 2013, mais qui n’a pas souhaité répondre à l’invitation de CIOMAG pour présenter son action et son expérience de la cybersécurité.

[3] En fin mars 2017, le projet de loi a été adopté en Conseil des ministres et il est en cours d’examen par la commission ad hoc de l’Assemblée

[4] Cf. L’article relatif au Togo évoquant les centres de données.

[5] Au Bénin, l’Office Central pour la Répression de la Corruption (OCRC) est une entité de la Direction centrale de la lutte contre la criminalité grave et organisée. Les investigations de l’OCRC concernent principalement les infractions de corruption, concussion, prise d’intérêt et détournement dans les domaines des marchés publics, subsides, permis et agréments.

[6] Gratien Etiah, DIGITAL CORE 4 AFRICA.

[7] Les Advanced Persistent Threats (APT) sont des menaces complexes combinant souvent différents vecteurs et stratégies d’attaques, pouvant utiliser des techniques inconnues ou des failles non répertoriées, dites « zero day ». Ces attaques sont la plupart du temps ciblées et les hackers restent en moyenne un an avant d’être détectés.

[8] La stratégie française pour la sécurité du numérique porte sur cinq objectifs stratégiques :

  1. Intérêts fondamentaux, défense et sécurité des systèmes d’information de l’État et des infrastructures critiques, crise informatique majeure.
  2. Confiance numérique, vie privée, données personnelles, cybermalveillance.
  3. Sensibilisation, formations initiales, formations continues.
  4. Environnement des entreprises du numérique, politique industrielle, export et internationalisation.
  5. Europe, souveraineté numérique, stabilité du cyberespace.

[9] L’Anssi publie un guide qui présente les 42 mesures d’hygiène informatique essentielles pour assurer la sécurité des systèmes d’information des entreprises et les moyens de les mettre en œuvre, outils pratiques à l’appui.

[10] Les tâches prioritaires d’un CERT sont :

  • la centralisation des demandes d’assistance à la suite des incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
  • le traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CERTs, contribution à des études techniques spécifiques ;
  • l’établissement et maintenance d’une base de données des vulnérabilités ;
  • la prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
  • la coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet CERTs nationaux et internationaux.

[11] En France, chaque ministère dispose en son sein d’un DSI et un RSSI dépendant opérationnellement du ministre avec une coordination du Premier ministre ar le biais de deux services distincts. Les DSI des ministères sont coordonnés par la direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) qui dépend du Secrétaire général pour la modernisation de l’action publique (SGMAP) tandis que les RSSI des ministères sont coordonnés par l’ANSSI qui dépend du Secrétaire général pour la défense nationale (SGDN).

[12] Source = David Martinon, ambassadeur français de la cybersécurité. http://www.diplomatie.gouv.fr/IMG/pdf/12_01_16_-_dossier_de_presse_-_deplacement_du_president_de_la_republique_au_mali_cle07369c.pdf

Une réflexion au sujet de « Le dynamisme des Béninois à l’épreuve des cybercriminels »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *