Tout commence le 25 novembre 2018. Alors que l’attention des Congolais était tournée vers la finale-aller de la Coupe des confédérations de la CAF entre l’AS Vclub et le Raja de Casablanca au Maroc, un compte Twitter annonce la mise hors service d’une dizaine de sites du gouvernement congolais. Se réclamant du groupe Anonymous, les pirates font planter pendant quelques heures les sites du ministère du Budget, de la Direction générale des impôts, du ministère du Plan… Des opposants au régime en profitent alors pour leur suggérer des cibles. Dans le lot, outre les banques implantées en RDC, on retrouve la base de données et le site web de la Commission électorale nationale indépendante.
Opérations coordonnées
Nulld3vice et Ghost Squad sont les groupes de pirates qui sont à l’œuvre pour cette opération. C’est ce qu’a reconnu le commanditaire de ces attaques, Lorian Synaro, après avoir visé le site du ministère de l’Enseignement supérieur et celui de la Céni. Ces pirates disent lutter contre les régimes autocratiques et dictatoriaux dont ferait partie le gouvernement congolais. En 2012, l’Opération Coltan avait également été commanditée par les Anonymous et visait à pirater les sites des sociétés utilisant le coltan exploité en RDC. Une façon de dénoncer le lien entre la persistance des conflits armés en RDC et les intérêts des multinationales.
Une guerre symbolique
Le Congo n’en est pas à sa première expérience des sites web piratés. Déjà le 30 juillet 2001, Inter-Connect, alors principal fournisseur d’accès à Internet, voyait son site se faire pirater par le groupe Ownedbr. Le 5 septembre 2004, cela sera au tour du site du parti présidentiel, le PPRD, d’être la cible des Rebellious Fingers. Le 29 juillet 2005, c’est le site web de la société civile qui a été visé. Le message laissé par les pirates a un lien direct avec les attentats terroristes de Londres la même année.
Plusieurs autres attaques suivront contre :
– La direction des recettes de Kinshasa (www.dgrk.cd) le 24 août 2008 par des hackers turcs ;
– L’école américaine de Kinshasa (www.tasok.cd) le 1er mai 2010 par le groupe Limi’hack ;
– Le Soft Online (www.lesoftonline.net) le 14 février 2012 par Anonymous ;
– la Faculté de médecine de l’Université de Kinshasa (www.facmedecine-unikin.cd) le 27 juin 2012 par le groupe Evil DZ se réclamant également à l’époque membre des Anonymous ;
– Le ministère de la Justice le 14 avril 2011 (www.justice.gov.cd) par le groupe KabuS.
Non à la machine à voter
Mais ce qui est plus intriguant c’est l’affirmation de Lorian Synaro, le commanditaire de ces attaques, qui dans une interview à Jeune Afrique, dit être opposé à l’utilisation de la machine à voter le 23 décembre 2018. Une position défendue par une frange de l’opposition congolaise. Cette situation inquiète les autorités qui craignent un risque de sabotage du principal outil qui sera utilisé pour imprimer les bulletins de vote.
Le gouvernement est-il préparé ?
Pirater des sites web ne se limite pas à mettre hors ligne un site pendant quelques heures. Ces opérations appelées « défacement » servent surtout à transmettre des messages. Un excellent moyen de véhiculer des fakenews (infox). Au-delà, les risques qui pèsent sur la machine à voter présentent une autre dimension. Les assises mondiales de la normalisation des télécommunications avaient préconisé la mise sur pied d’équipes nationales d’intervention en cas d’incidents informatiques.
Du 18 au 21 septembre 2018, un sommet étatique a été tenu à Kinshasa pour analyser les voies et moyens de doter le pays d’une unité nationale publique contre ce phénomène, CERT. A la place, des divergences ont émergé entre le ministère des PT-NTIC initiateur de la rencontre, et d’autres institutions comme l’autorité de régulation (ARPTC) et le ministère de l’Intérieur, qui ne s’accordaient pas sur la tutelle du CERT. Du côté juridique, on estime que créer un CERT sans préparer le cadre législatif, prendre en compte la répression (police et armée) revient à mettre la charrue avant les bœufs.
A l’heure où la technologie joue un rôle important dans le processus électoral en RDC, le gouvernement devrait ratifier au plus vite la convention de Maputo sur la cybercriminalité et promulguer une loi spécifique sur la cybersécurité en RDC. Il ne sert à rien d’avoir des équipes techniques alors que les dispositions pénales et réglementaires font encore défaut.