Piratage : quand l’Afrique prend sa sécurité en main
Source www.jeuneafrique.com (par Stéphanie Wenger)
Les cyberattaques contre les établissements financiers se sont multipliées ces dernières semaines en Afrique de l’Ouest. Mais, face à des procédés de plus en plus sophistiqués, les moyens manquent.
À mesure que l’économie digitale se développe, les paiements dématérialisés augmentent (396 millions de comptes mobile money en 2018, +14 %, 26,8 milliards de transactions), et les menaces concernant la sécurité des opérations s’accroissent également. Une étude menée dans plusieurs États d’Afrique de l’Ouest publiée en mars 2017 par Interpol et l’éditeur de logiciels Trend Micro relevait que « le nombre de cyberescroqueries avait augmenté de 132 % entre 2013 et 2015, et que le montant moyen des sommes dérobées chaque année aux entreprises s’était élevé à 2,7 millions de dollars et à 422 000 dollars pour les particuliers ».
L’organisation de lutte contre le crime soulignait aussi la sophistication croissante des attaques, et l’émergence de cybercriminels d’un nouveau genre, rompus à des modes opératoires très élaborés, utilisant des logiciels de capture de frappe ou des chevaux de Troie qui permettent la prise de contrôle à distance. Les attaques se sont multipliées ces dernières semaines.
Des cybercriminels aux méthodes de plus en plus pointues
Mi-mars la Banque de Dakar (BDK), au Sénégal, aurait ainsi perdu, selon la presse sénégalaise, 50 millions de F CFA. Selon les premiers éléments de l’enquête, les auteurs du piratage seraient parvenus à pénétrer dans le système informatique de la banque en ouvrant un compte dans l’établissement. Début mars, toujours à Dakar, c’est Ecobank qui a été victime d’une fraude importante, alors qu’UBA parvenait à déjouer de son côté un ordre de virement frauduleux.
Fin 2018, deux mois après son lancement, la plateforme de paiement universelle PayQin (comprenant 10 000 comptes en Côte d’Ivoire et au Cameroun), qui permet de recevoir, d’envoyer de l’argent et d’accéder aux services marchands en ligne, même non partenaires, a vu sa base de données supprimée. « Heureusement on fait des sauvegardes régulièrement. Techniquement, PayQin est une coquille vide, toutes les données sensibles sont abritées chez Visa, les fonds sont dans les banques partenaires. Finalement les pirates n’ont obtenu que des noms et des adresses e-mail cryptés », rapporte son fondateur, l’ancien banquier franco-ivoirien Fabrice Amalaman.
A un niveau encore plus important, les États sont aussi confrontés à ce genre de situations. Ceux-ci tentent de dématérialiser le plus possible les transferts d’argent afin de réduire la corruption, les escroqueries comptables et les efforts demandés aux bénéficiaires (qui font parfois des trajets longs et dangereux pour encaisser paies ou pensions). Avec des politiques publiques qui sont amenées à davantage se digitaliser (comme pour le remboursement des frais médicaux au Sénégal), les montants et les volumes en circulation sont de plus en plus importants. Mais les moyens financiers et techniques manquent souvent pour mettre en œuvre une politique d’ensemble.
Un environnement juridique à améliorer et à harmoniser
Ancien secrétaire permanent du ministère de l’Information et des Communications kényan, Bitange Ndemo met en avant les solutions mises en œuvre par son pays, qui compte 50 % des utilisateurs de mobile money, passant notamment par l’intelligence artificielle et la blockchain. « Cette dernière est très difficile à briser, puisqu’il faut s’attaquer à plus de 50 % des serveurs des mineurs (procédés de sécurisation des transactions de la blockchain). La reconnaissance vocale peut être une bonne mesure. Au Kenya, le gouvernement essaie de créer une “identité digitale de confiance” avec des technologies qui s’améliorent pour permettre des paiements digitaux sécurisés et inviolables. »
Pour Yoann Lhonneur, directeur associé au sein du cabinet Devlhon Consulting, « des efforts ont été accomplis, mais on revient de loin. La question est encore considérée sous le seul angle informatique et technique, alors qu’elle doit aussi être abordée du point de vue stratégique et logistique. La sécurité des transactions doit être envisagée à tous les niveaux de l’entreprise ».
Le secteur est aussi en attente d’un arsenal juridique adéquat. « Sur une cinquantaine de pays, seul un tiers se sont dotés de lois complètes », poursuit l’expert. Mais, alors que 80 % des transactions frauduleuses en Afrique sont générées depuis l’Europe et les États-Unis, le principal défi réside dans la formation d’équipes locales. Qui commencent à émerger au Maroc ou en Tunisie.