L’Afrique à l’épreuve des nouvelles formes de cybercriminalité

Les gouvernements africains sont confrontés à des menaces cybernétiques qui évoluent très rapidement : espionnage, sabotage d’infrastructures critiques, crime organisé et atteinte à l’innovation.

En juin 2020, l’Ethiopian Information Network Security Agency (INSA) (agence nationale de la sécurité des systèmes d’information) a réussi à déjouer une cyberattaque d’un acteur basé en Égypte, baptisé « Cyber_Horus Group ». Selon l’INSA, le but de cette attaque était de faire peser une « énorme pression économique, psychologique et politique sur le pays » à l’occasion du remplissage du barrage de la Renaissance construit sur le Nil. Le barrage était et est toujours une grande source de conflits entre l’Éthiopie et l’Égypte. Bien que les autorités éthiopiennes aient déclaré avoir évité une attaque de plus grande ampleur, celle du groupe Horus a réussi à pirater une dizaine de sites du gouvernement pour y poster des messages brandissant des menaces de guerre en lien avec le remplissage du barrage.

Ces attaques témoignent de la progression des menaces cyber et du risque qu’elles représentent pour la sécurité africaine. Les acteurs participant à ces activités sont très divers, du hacker « loup solitaire » aux États-nations. Leurs moyens et leurs intentions sont variables. Les gouvernements africains et les acteurs du secteur de la sécurité commencent pourtant tout juste à identifier et à réagir à ces technologies numériques qui transforment la sécurité africaine. Les quatre catégories d’activités liées à la sécurité qui doivent retenir notre attention sont les suivantes : l’espionnage, le sabotage d’infrastructures critiques, le crime organisé et les nouveaux contours des combats armés en Afrique.

Espionnage

L’espionnage ou le piratage de systèmes informatiques « ennemis » afin d’en extraire des informations sensibles ou protégées constitue le moyen le plus utilisé par les États sur le cyberespace. La diffusion rapide des outils cyber et des techniques de surveillance donnent à de nombreux acteurs présents en Afrique ou la prenant pour cible les moyens de se livrer à l’espionnage informatique. Par exemple, le logiciel espion Pegasus, l’un des programmes espions parmi les plus sophistiqués, aurait selon de récentes découvertes infecté les systèmes informatiques de 11 pays africains. Les auteurs de ces attaques, non contents d’espionner, se livreraient également à des actions de surveillance. Ils semblent être originaires de pays africains voire de pays extérieurs au continent et certains auraient parfois plusieurs pays pour cible.

« Les plus grandes craintes liées à l’espionnage informatique en Afrique sont à rattacher à la Chine ».

Les plus grandes craintes liées à l’espionnage informatique en Afrique sont à rattacher à la Chine. En 2018, une information est relayée selon laquelle tous les contenus des serveurs du siège de l’Union africaine (UA) ont été systématiquement transmis à Shanghai. Des ingénieurs réseau notent un pic d’utilisation entre 10h00 et 14h00. Malgré le remplacement de ces serveurs par des ingénieurs africains, les hackers chinois ont pu continuer à espionner l’UA grâce à la capture d’enregistrements des caméras de surveillance. Ils ont réussi à passer inaperçus en transmettant les informations à la Chine pendant les heures normales de bureau.

La menace représentée par l’espionnage chinois de l’Union africaine revêt une grande importance en raison du rôle joué par la Chine comme fournisseur d’infrastructures de TIC auprès de ladite Union. Le siège de l’Union africaine a été construit par les Chinois, ce qui leur a permis d’introduire des portes dérobées dans les serveurs de celle-ci et d’installer des dispositifs d’écoute. Il n’est pas exclu que la Chine ait agi de même dans d’autres pays d’Afrique, puisqu’elle est à l’origine de 80 % de l’ensemble des réseaux de télécommunications existants et a mis en place les systèmes d’information publics dans plus de 20 pays.
Sabotage d’infrastructures critiques

Toute infrastructure connectée à un réseau informatique (réseaux de distribution d’énergie, réseaux de télécommunications, systèmes bancaires, gouvernementaux et militaires) est vulnérable face au sabotage, car celui-ci peut entraîner une panne dudit réseau. Les cyberattaques les plus sophistiquées et les plus destructrices, comme ce fut le cas de l’attaque Stuxnet (qui a affecté les sites nucléaires iraniens) et des cyberattaques russes contre l’Ukraine en 2007 (qui auraient entraîné des dégâts à hauteur de 10 milliards de dollars et la coupure du système de surveillance de la radioactivité sur le site nucléaire de Tchernobyl), sont le résultat d’actes de sabotage émanant d’États.

L’Afrique assiste à une multiplication des attaques dirigées contre des infrastructures critiques. Les banques notamment constituent des cibles courantes et les vols et pannes de service leur font perdre des milliards de dollars. L’ agence de Sécurité nationale (National Security Agency) du Nigeria et la municipalité de Johannesburg ont toutes deux été victimes d’attaques ayant entraîné une interruption des services ou une fuite d’informations sensibles. Au vu de la progression des cyberattaques contre les infrastructures maritimes, qui vont du piratage au vol de journaux de transactions, les experts craignent que les ports et les industries de transport maritime africains ne soient la cible d’une attaque susceptible de perturber gravement les échanges et le commerce.

Les actes de sabotage informatique ont souvent des conséquences imprévisibles et ne sont pas toujours le fait d’acteurs expérimentés. L’une des attaques les plus destructrices du continent a eu lieu au Liberia en 2016 lorsqu’un hacker employé dans l’une des principales sociétés de télécommunications du pays a, dans un excès de zèle, saboté le réseau d’une entreprise concurrente. Cet acte a eu pour effet de suspendre toutes les transactions bancaires dans la moitié du pays. Le ministre de l’Information du Liberia, aux commandes de ces questions, fut privé de tout accès à Internet et en fut réduit à demander de l’aide sur une radio française. En dépit des appels lancés à l’étranger par le Liberia, les autorités n’ont pu procéder à aucune arrestation avant que le logiciel utilisé dans le cadre de cette attaque ne serve à bloquer le géant des télécommunications allemand, Deutsche Telecom, soit des mois après le début de l’attaque.

Au fur et à mesure de la pénétration grandissante d’Internet et de l’interconnexion accrue des systèmes, les infrastructures critiques d’Afrique sont de plus en plus à la merci de cyberattaques qui pourraient s’avérer coûteuses et pernicieuses.
Crime organisé

Les actes malveillants via le cyberespace sont souvent dictés par des motifs financiers. La cybercriminalité préoccupe grandement les entreprises africaines, qui ont perdu en 2017 une somme estimée à 3,5 milliards de dollars dans des fraudes et des vols en ligne, et qui classent systématiquement la cybercriminalité parmi les menaces les plus grandes auxquelles elles ont à faire face. La cybercriminalité de moindre ampleur, comme l’envoi illégal de courriers indésirables ou la fraude à la Sim Box, ne présente pas de risque important quant à la sécurité nationale en Afrique.

« Les entreprises africaines ont perdu en 2017 une somme estimée à 3,5 milliards de dollars dans des fraudes et des vols en ligne ».

Toutefois, le développement du cyberespace donne lieu à de nouvelles formes déstabilisantes du crime organisé, à la croissance exponentielle et de portée transnationale. Au cours des dernières décennies, le nombre d’attaques de fraudeurs contre les messageries d’entreprises (Business Email Compromise (BEC)) a tant progressé qu’il s’agit aujourd’hui de l’une des menaces les plus rentables et importantes, qui a occasionné 26 milliards de dollars de pertes à l’échelle internationale entre 2016 et 2019. Les fraudeurs à l’origine de ces attaques sont vaguement rattachés à des réseaux transnationaux recourant à des logiciels malveillants à la pointe de la technique et à des méthodes d’hameçonnage leur permettant de voler des données à des entreprises peu soupçonneuses, à des gouvernements et des organismes. SilverTerrier, l’un des groupes les plus actifs en la matière, se compose de plusieurs centaines d’individus qui pour la plupart résident dans les grandes villes du Nigeria. Les autres sont dispersés aux quatre coins du monde, notamment aux États-Unis, deuxième pays au monde le plus touché dans ce domaine. SilverTerrier a créé plus de 81 000 logiciels malveillants et mené 2,1 millions d’attaques, avec des dégâts se chiffrant en milliards de dollars pour des individus et des organisations situés en Afrique ou en-dehors de celle-ci.

La pénétration en hausse d’Internet et les progrès des technologies numériques commencent également à modifier le monde de la finance et la dynamique des marchés du crime organisé plus traditionnels. Avec Facebook, Instagram et d’autres plateformes du « darkweb » moins facilement accessibles, les réseaux criminels africains procèdent au trafic illicite de diamants, d’armes légères, d’humains, d’œuvres d’art et d’artefacts en ligne.
Des combats armés remodelés par les technologies émergentes en Afrique

Les TIC et technologies associées comme les drones, l’intelligence artificielle et l’expansion des réseaux 5G ont des conséquences de plus en plus importantes sur les opérations militaires et les tactiques retenues sur les champs de bataille, qu’il s’agisse des combats aériens ou terrestres. Bien qu’elles ne soient pas encore largement diffusées ni complètement intégrées au combat moderne, les technologies émergentes, qui connaissent une véritable prolifération, devraient avoir pour effet d’accroître l’importance de l’intelligence artificielle, de la précision et de l’automatisation dans les guerres du futur.

Les systèmes informatiques constituent à la fois un avantage pour les renseignements et une vulnérabilité si les forces de l’ordre s’appuient trop sur eux alors qu’ils peuvent être piratés, inactivés ou transformés. La Syrie en a offert assez tôt un exemple révélateur : le réseau de sa défense aérienne, très respecté, fut verrouillé par des opérations cyber israéliennes à l’occasion d’une attaque menée en 2007 contre un projet suspecté d’armes nucléaires. Plus récemment, dans le cadre de la guerre du Haut-Karabagh, l’Azerbaïdjan a dû en partie sa supériorité au déploiement de drones et d’autres armes autonomes ayant échappé à la défense aérienne arménienne et aux systèmes de guerre électronique.

La technologie qui vraisemblablement devrait transformer le plus la façon de mener une guerre en Afrique au cours de la décennie à venir sera le drone. Du fait de sa nature autonome et de sa maniabilité, le drone se substitue aux avions classiques, voire les supplante dans certains cas. Par ailleurs, les modèles à bas prix (certains peuvent s’acquérir et être transformés en drones de combat pour la modique somme de 650 dollars) sont intéressants pour des acteurs qui cherchent à optimiser leur efficacité. Les drones sont d’ores et déjà utilisés par 14 pays africains et ont été acquis et utilisés à des fins de renseignements par des groupes extrémistes africains. L’utilisation par le groupe extrémiste nigérian Boko Haram de drones de surveillance paraît-il plus sophistiqués que ceux utilisés par le gouvernement ont contribué à la progression de ce groupe.

La Libye, où les drones sont désormais largement utilisés lors des combat par tous les camps en présence, offre un exemple parlant de la manière dont les nouvelles technologies influent sur la manière de faire la guerre. La défaite de l’armée nationale libyenne de Khalifa Haftar lors de l’offensive de 2019 a été largement imputée à l’intervention de la Turquie, au déploiement par celle-ci de drones ISR (intelligence, surveillance et reconnaissance (ISR)) et à sa capacité à mener une guerre électronique.
Un manque de réactivité de la part des gouvernements

Jusqu’à présent, les gouvernements africains n’ont pour la plupart pas soutenu le rythme de l’évolution rapide des menaces cybernétiques dans leur pays.

Le manque de réponse efficace est en partie dû à une insuffisance de moyens. Le continent doit pourvoir à un manque d’effectifs de plus en plus criant de 100 000 cyber-experts. De nombreuses organisations, entreprises et agences manquent des connaissances de base pour comprendre ce qui se joue sur le cyberespace et omettent de mettre en œuvre les mesures rudimentaires de cybersécurité. Les gouvernements de leur côté ne surveillent pas toujours les menaces, pas plus qu’ils ne font collecter par la police les preuves électroniques ou poursuivent les infractions relevant de la cybercriminalité. Quatre-vingt-seize pour cent des incidents de cybersécurité ne seraient pas signalés ou resteraient non résolus, ce qui signifie que les menaces cyber en Afrique sont bien pires que ce l’on croit.

« Le continent doit pourvoir à un manque d’effectifs de plus en plus criant de 100 000 cyber-experts ».

L’insuffisance de moyens est aggravée par le peu de mesures prises en faveur de la formulation et de l’adoption de politiques fondatrices en matière de cyberdéfense. Seuls 15 pays africains ont mis en œuvre des stratégies nationales de cybersécurité prévoyant des objectifs stratégiques et assignant des responsabilités à tous les niveaux du gouvernement pour le contrôle des menaces cyber et la réponse à y apporter. Dix-huit ont mis sur pied des ersatz de centres nationaux d’alerte et de réaction aux attaques informatiques (national computer incident response teams (CIRTs)) ou des groupes multipartites composés de cyber-experts qui aident au plan national à réagir aux principaux incidents de sécurité et à rétablir le statu quo. Seuls six pays africains ont ratifié la Convention de Budapest sur la cybercriminalité et huit la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, deux traités importants qui aident les nations africaines à partager des informations sur les menaces, à fixer des normes uniformes et à bénéficier de l’assistance technique et de la coopération de la communauté internationale.

Le problème est particulièrement aigu dans le secteur de la sécurité africaine. Les responsables de ce secteur ne sont pas bien conscients des liens de plus en plus forts qui unissent sécurité numérique et sécurité nationale. Pour être plus précis, le recours par les armées africaines aux technologies de l’information, de la communication et autres dans leurs stratégies militaires, plans opérationnels et tactiques reste embryonnaire. Les pays africains ne sont pas prêts à affronter les graves menaces cyber en pleine évolution sur le continent. L’inquiétude porte aussi sur le fait de savoir comment les gouvernements africains sauront répondre aux cyberattaques commises par des acteurs étatiques étrangers qui, du fait de leur expertise, de leur sophistication et de leur capacité à installer des logiciels malveillants sur des infrastructures de TIC critiques, sont parmi les plus difficiles à contrôler, à anticiper et à empêcher.

Le manque de connaissance des questions liées à la cybersécurité explique le manque de réglementation et de surveillance efficaces et, parallèlement, l’accroissement des pratiques frauduleuses, qui s’en trouvent facilitées. Les gouvernements africains se servent de l’ambiguïté et du caractère général des lois sur la sécurité de l’information pour identifier l’opposition politique, réprimer les dissidents politiques et limiter la liberté d’expression. Les élus africains ont bloqué des dizaines de fois l’accès à Internet ces dernières années dans le but d’étouffer la dissidence et ont cherché, main dans la main avec des sociétés et des gouvernements du monde entier spécialisés dans l’acquisition de renseignements, à se procurer des moyens de surveillance des communications électroniques puissantes et pour la plupart non réglementées.
Points clés

Afin de combattre l’éventail toujours plus large des menaces cyber qui planent sur le continent, il faudra que les gouvernements africains investissent davantage dans la cybersécurité, dans les stratégies et politiques nationales et dans des CIRT conformes aux normes internationales. Toute réponse efficace nécessitera toutefois d’aller au-delà d’une simple importation de l’expertise et des bonnes pratiques de l’étranger.

Les dirigeants africains pourraient tirer profit d’une plus grande coopération régionale. Les nations africaines étant les plus exposées aux cyberattaques, elles auront tout intérêt à participer aux forums internationaux qui normalisent le comportement des États sur le cyberspace et l’utilisation d’armes létales autonomes. Ces forums peuvent les aider à parvenir à un accord collectif et à identifier certains usages très meurtriers des nouvelles technologies (cyberattaques contre des infrastructures critiques, ingérence dans les élections ou usage d’essaims de drones pour infliger des pertes humaines massives). La ratification de la Convention de Malabo, qui exige que les États membres identifient et protègent les réseaux informatiques critiques contre tout type de menaces, constitue une première étape importante.

Quelques priorités s’imposent aux acteurs du secteur de la sécurité. Ils doivent d’abord renforcer leurs systèmes de défense en protégeant les ordinateurs des armées, les réseaux de communication et autres infrastructures essentielles à la sécurité contre toute cyberattaque. Deuxièmement, ils doivent disposer de plus de moyens pour contrôler et réagir à l’espionnage, aux actes de sabotage ou à des transferts illicites de ressources commis par des réseaux du crime organisé ou par des acteurs étatiques. Enfin, dernier point important, les forces armées du continent devraient tenter autant que possible d’incorporer à leurs stratégies et techniques militaires les progrès réalisés dans les TIC et les technologies associées.

« Les droits numériques sont essentiels pour préserver la sécurité des citoyens ».

Dans le même temps, il est essentiel que les gouvernements africains adoptent des politiques multipartites et des cadres juridiques reprenant l’expertise d’acteurs non-gouvernementaux et garantissant une surveillance adéquate des acteurs de la sécurité impliqués dans l’arène des TIC. La nature ouverte de la révolution numérique dicte de ne pas laisser entre les seules mains du secteur de la sécurité les décisions sur les modalités de contrôle et d’usage des technologies numériques. La plupart des personnes faisant partie de la communauté de la sécurité informatique appartiennent au secteur privé. Point plus important encore, la tendance des gouvernements africains à opter pour des approches musclées et axées sur la sécurité dans l’univers de l’information doit être atténuée. Il conviendra donc d’adopter une législation forte et spécifique régissant l’usage des données privées, le respect dû aux autorités civiles dans l’élaboration et la mise en œuvre des stratégies et politiques nationales de cybersécurité et la responsabilité à l’égard des groupes d’opposition, des experts indépendants et de la société civile. Les droits numériques sont essentiels pour préserver la sécurité des citoyens et doivent être respectés.

Sur un point crucial, les menaces cyber sont identiques aux menaces physiques : pour lutter efficacement contre elles, il appartiendra aux gouvernements africains de respecter les principes de gouvernance appropriés du secteur de la sécurité.