Le groupe IDG Connect a récemment publié le 19 Octobre dernier un rapport concernant les tendances de la cybercriminalité et ses contours en Afrique. Le rapport est téléchargeable sur le site de IDG Connect à cette adresse (nécessite au préalable une inscription qui est gratuite) Africa 2013: Cyber-Crime, Hacking and Malware

Tout d’abord c’est toujours une bonne chose que de voir de données statistiques fiables sur les évènements de Cyber Sécurité en Afrique, vu que les remontées d’informations ne sont pas souvent évidentes, ceci pour plusieurs raisons, mais tel n’est pas l’objet du présent article. J’ai parcouru avec un certain intérêt ledit rapport. Mon analyse se porte principalement sur la présentation globale de ces fléaux en Afrique tel que mentionné dans le document. Pour ce qui est des spécificités liés à des pays individuels,  je n’entrerai pas dans les détails car je trouve que le présent rapport est déjà assez détaillé là-dessus, du moins concernant les pays mentionnés.

Avec un taux actuel de pénétration d’Internet d’environ 13%, l’Afrique a connu entre 2000 et 2011 une croissance spectaculaire de 2998,4%. Face à la grande croissance de l’adoption des  Technologies de l’Information et de la Communication (Internet, télécoms, dématérialisation, Mobile, …) l’Afrique se retrouve avec un plus grand nombre de terminaux connectés au reste du monde. Et ceci n’a pas qu’un côté positif car malheureusement tous ces équipements et personnes connectés, généralement naïves et pas assez éduquées sur les mesures de sécurité dans cet environnement,  constituent un vivrier potentiel pour les cybercriminels et les logiciels malveillants.

D’entrée de jeux, il est mentionné que pour certaines raisons (voir les remarques en fin d’article) le rapport ne s’appesantira que sur 4 principaux pays d’Afrique à savoir le Nigéria, l’Egypte, le Kenya et l’Afrique du Sud. La figure suivante présente le taux de pénétration Internet dans ces différents pays ainsi que les valeurs de leurs marchés respectifs
IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis.

Le rapport mentionne quelques indicateurs globaux en Afrique parmi lesquels nous avons :

  • Les Malwares et les logiciels piratés

L’association Internationale « Business Software Alliance » fait état pour l’année 2011 d’un taux d’utilisation de logiciels contrefaits, c’est-à-dire sans licence originale, d’environ 73% pour l’Afrique de façon globale. La situation ne s’est pas beaucoup améliorée, loin de là, de 2010 à 2011 elle s’est même aggravée en Afrique du Nord. Ceci est attribué au printemps Arabe et l’utilisation massive par les populations de logiciels d’origines douteuses pour manifester contre leurs gouvernements (LOIC et autres logiciels client pour lancer des DDoS et rester anonyme). De plus suite à l’inflation globale qui a suivi cette période de trouble les utilisateurs étaient plus enclins à l’utilisation des logiciels piratés qui revenaient nettement moins chers, sinon gratuits (en apparence !).

Dans le même ordre d’idées, le rapport de renseignement de sécurité de  Microsoft (Microsoft Security Intelligence Report) vient confirmer ces estimations dans son édition du 2e semestre de 2011 avec le nombre d’infections et des logiciels malveillants en Egypte qui après une croissance considérable les deux dernières années, passe au premier rang en Afrique et figure dans le top 5 mondial.
Rapport Microsoft Security Intelligence

  • Les régulations sur la Cybercriminalité

Ici le constat est flagrant car très peu de pays Africains disposent de textes de loi spécifiques au cyber espace en général et à la cybercriminalité en particulier. Ceci est à l’avantage des cybercriminels qui s’y jette comme sur du pain béni !

Toutefois, ces dernières années ont vu la mise en œuvre de plusieurs CERT (Computer Emergence Response Team) et CIRT (Computer Incidence Response Team) ainsi que de quelques alliances régionales et sous régionales afin de contrer la progression de la cybercriminalité dans la zone. La figure ci-dessous représente quelques mesures déjà mises en place par certains pays Africains pour endiguer le phénomène.

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis.

Il est à rappeler que certains pays mentionnés dans cette figurent présentent bien un CERT/CIRT mais ces Agences ne sont pas pour ainsi dire vraiment opérationnelles. C’est le cas par exemple pour le Cameroun qui en ce début d’année 2012 a mis sur pieds son CIRT (Centre d’Alerte et de Réponses aux Incidents Cybernétiques (CIRT/ANTIC) ). Mais pour ce qui est de la communication, on peut dire sans se tromper que très peu sont les usagers (individus, entreprises privées, Administrations publiques) qui sont au courant de son existence, de ses activités et qui remontent les informations de Cyber Sécurité auprès d’eux (et vice versa). Mettre sur pieds une CERT/CIRT c’est déjà bien, mais le tout ne s’arrête pas là, il faut des mesures d’accompagnement (Ressources Humaines compétentes, Moyens financiers, infrastructurels, législations) sans lesquels le dit CERT/CIRT ne pourra pas s’exprimer totalement ni exercer sa mission principale ; ce qui serait bien entendu assez dommageable.

Selon l’expert Contador Harrison, Software Director à Somodo Oy, en Finlande, il revient à l’Union Africaine de prendre les mesures nécessaires pour vite palier à ces problèmes, comme le font les autres organisations continentales outre atlantique. D’autant plus que la course actuelle au cyber-armement (et par ricochet à la Cyber Défense) ne nous laisse pas vraiment le choix de rester passif à observer. Selon cet expert, les gouvernements Africains ne devraient pas lancer leurs différents projets d’eGovernment tant que ces besoins essentiels en matière de Cyber Sécurité ne sont pas encore garantis. A défaut, leur réseau d’eGovernment ne devra couvrir que les infrastructures et systèmes critiques via un réseau sécurisé interne qui ne  devrait en aucun cas être relié au réseau Internet afin de réduire tant que cela ce peut la surface d’exposition aux attaques extérieures.

Sur ce point je suis entièrement d’accord mais cela soulève un autre problème qui est celui des ressources Humaine ; tant pour la mise en œuvre de ce genre d’Infrastructure que pour sa maintenance et son utilisation quotidienne (recyclage et formation des potentiels utilisateurs). Car les ménaces peuvent aussi venr de l’intérieur du réseau, principalement à cause de certains utilisateur véreux ou des mauvaises manipulations. La semaine passée encore j’ai reçu un mail d’un haut responsable à la Communication du Département de la Défense des Forces Armées du Cameroun depuis son adresse privée Yahoo! , pourtant il s’agissait d’une réponse à un courrier officiel et non privé. Ce genre de petits détails qui nous échappent encore et qui au final nous portent préjudice doivent déjà être éradiqués. Et ceci passe par la formation des agents de maîtrise ainsi que par la mise sur pieds de référentiels de procédures dans ce genre de contexte.

Depuis quelques années on nous parle d’Infrastructure à clé publique ci et là, mais concrètement les avancées dans leur déploiement ne sont pas encore vraiment parlante.

Mr Harrison revient aussi sur le problème des équipements (routeurs, ordinateurs, …) d’occasion qui sont plutôt prospèrent ici en Afrique (coût accessible pour les populations) présentant pourtant un risque inhérent de sécurité car rien ne garantit l’authenticité de ces matériels ou des logiciels embarqués dedans. Il en est de même pour l’usage des systèmes d’exploitation et des logiciels crackés dont on ne sait pas toujours ce que le crackeur a bien pu ajouter sur le code initial de l’OS (ou de l’application).

A cet effet je pense que les éditeurs de logiciels ainsi que nos gouvernements doivent mettre sur pieds des partenariats pour d’une part subventionner certains produits logiciels de base  et d’autre part encourager davantage la production locale via des formations adéquates dans nos universités, via l’amélioration du soutien des Etats aux startup locales qui proposent généralement des produits à coût accessible pour nos populations et qui méritent grandement d’être encouragées dans ce sens. De plus l’Afrique doit sur cet item booster ses capacités en recherche de développement (R&D) tant pour dans l’industrie Logicielle que Matérielle, non pas seulement en matière de Cyber Sécurité, mais de technologies en général.

Quelques remarques :

Tout d’abord je pense que le fait qu’on ait eu une analyse détaillée que pour les 4 pays est assez maigre pour un document sensé couvrir la cybercriminalité dans tout le continent. Certes l’Afrique compte 57 pays et environ 3000 langues (excuses avancées par les auteurs du rapport) mais je tiens à préciser que ces langues ne sont pas toutes officielles car en terme de langues officielles, on en décompte au trop une trentaine, le reste ne sont que des dialectes locaux. Les éditeurs auraient bien pu s’arranger pour nous fournir de plus amples détails sur au moins deux pays de chacune des 5 divisions sous régionales que comporte l’Afrique.

Ceci étant je suis assez triste de ne point trouver d’informations par exemple sur les scams Ivoiriens, Béninois ou Ghanéens qui depuis plusieurs années ne cessent de proliférer sur internet. Par la même occasion on n’a aucune information des différents problèmes de cybercriminalité (défaçage  de site institutionnels, vols de données bancaire, infection virale généralisée, …) qu’il y’a eu ces derniers années dans des pays comme la Tunisie, le Ghana, le Maroc, l’Uganda, la cote d’Ivoire, le Cameroun et bien d’autres ; d’autant plus que ce n’est pas ça qui a manqué.

Par ailleurs le lecteur aurait aussi aimé pourvoir trouver au sein d’un rapport de ce type des informations sur les différentes stratégies qui sont mises en place tant par les gouvernements Africains que par les institutions privées et les organismes communautaires pour stopper ce problème de prolifération de la cybercriminalité en Afrique. J’entends par là de façon non exhaustive, les évènements annuels, les partenariats avec d’autres gouvernements ayant déjà une bonne maîtrise de la chose, les rencontres thématiques, les Forums dédiés à la Cyber Sécurité, les  programmes de formation des experts dans ce domaine, les estimations pour les années à venir  non pas seulement en matière de chiffre d’affaire comme c’est le cas dans le rapport, mais aussi en matière de ressources humaines qualifiées afin de répondre efficacement aux besoins…

Toutefois étant donné qu’une fois n’est pas coutume, j’ose croire que les prochains rapport du genre seront bien plus fournis. Toujours est-il que l’initiative est à encourager chez eux comme chez tout autre organisme œuvrant dans ce sens ici en Afrique.

Valdes T. Nzalli

Quelques liens Utiles :

Arnaque Mail

L’Afrique de l’Ouest se mobilise contre la cybercriminalité

Africa: Risk of Cyber War Poses Serious Security Threat, Says Computer Expert Kaspersky

Experts deliberate cyber security with growth of Africa’s information economy

Better Cyber Security Urged in West Africa

Africa’s Cybersecurity: an Internet W.M.D. by Ukeme Esiet

Africa’s Cyber WMD

The Balancing Act: How Universities Can Prevent Malware and Enable Information Access

Cameroun, nos Vitrines Web brisées!