article comment count is: 0

Cybercriminalité : la RDC et son domaine .CD se sont fait pirater

Ce sont des révélations qui font froid dans le dos. Un ami a attiré mon attention sur un article publié par un expert en sécurité informatique qui se vante d’avoir pris le contrôle de la gestion du domaine .CD de notre pays. Après avoir lu l’article, j’ai contacté un autre ami quelque part en Afrique pour vérifier si les informations communiquées par le hacker sont vraies. Deux heures plus tard, il n’y avait plus aucun doute. Le Congo s’est fait pirater.

Les indices semblent accréditer la thèse d’un couac administratif (factures en souffrance). Le gestionnaire public du domaine, la SCPT, est sur le banc des accusés. C’est vers eux que Fredrik Nordbeg Almroth, le spécialiste qui a pris le contrôle du domaine pour éviter qu’il ne tombe entre de mauvaises mains, a signalé le problème dès le 7 janvier. Les conséquences pour les usagers du domaine auraient été en effet plus fâcheuses, si des personnes mal intentionnées avaient flairé cette « opportunité ».

Des cybercriminels auraient ainsi pu se faire passer pour n’importe quel site légitime (une banque par exemple) pour récupérer des identifiants et des mots de passe, intercepter des données ou lancer des attaques sur des réseaux locaux.

Quelles réponses au niveau local ?

Une nouvelle loi N° 20/017 relative aux télécommunications et aux technologies de l’information et de la communication a été promulguée par le président de la République, remplaçant celle de 2002 qui n’était plus adaptée.

L’intégration du numérique et des risques cybernétiques dans cette nouvelle mouture reprennent 12 types d’infractions liées à la cybercriminalité à savoir :
– La pornographie infantile ;
– Le racisme ;
– La xénophobie ;
– Les atteintes portées notamment :
a. Aux prestataires des services de communication ouverts au public par voie électronique ;
b. A la publicité par voie électronique ;
c. A la prospection directe ;
– Les atteintes aux biens liés aux technologies de l’information et de la communication ;
– Les atteintes par tout moyen de diffusion publique ;
– Les atteintes à la défense nationale ;
– Les atteintes à la confidentialité des systèmes informatiques ;
– Les atteintes à la disponibilité des systèmes informatiques ;
– Les atteintes aux données informatiques en général ;
– Les atteintes spécifiques aux données à caractère personnel.

La loi place, à compétences égales, les juridictions déjà existantes traitant les cas de cyber criminalité (l’unité spécialisée de la police judiciaire des parquets et Interpol) avec l’Autorité de régulation dont les agents ont désormais compétence pour rechercher et constater l’une ou l’autre des 12 infractions.

Le test mené par Almroth est une preuve qu’une attaque menée depuis l’extérieur contre nos infrastructures technologiques critiques est possible et que la Société congolaise des postes et télécommunications, n’est pas encore en mesure de sécuriser le domaine. Un black-out en 2020 aurait même nécessité l’intervention de l’équipementier chinois Huawei.

Déjà par le passé, l’indisponibilité du domaine avait paralysé l’univers médiatique en ligne, mettant plusieurs principaux médias à l’arrêt.
Pourtant, le Plan national sur le numérique précise qu’un Centre national de la cybersécurité devait être créé. Ce centre devrait, selon l’énoncé où il est évoqué, servir de cadre stratégique pour des opérations et des formations plus approfondies.

Il est évident que si ce test avait été mené au Congo par des Congolais dans une optique scientifique pour détecter des failles, leurs auteurs auraient été appréhendés, car ne bénéficiant pas d’un statut sécurisant une telle démarche dans la nouvelle loi. Pourtant, sans tests de vulnérabilité menés par des tiers, il sera difficile d’établir une réelle cartographie des risques sur nos infrastructures technologiques névralgiques.

Plusieurs mois plus tard, rien n’est fait dans ce sens et les failles de l’écosystème numérique national qui accueille près de 500.000 nouveaux usagers aux services chaque année ne sont pas de bon augure.

 

Est-ce que vous avez trouvé cet article utile?

Partagez-nous votre opinion