En Afrique, l’essor rapide de nouvelles technologies a entrainé le développement de nouveaux usages. Internet multiplie les accès sur l’extérieur mais aussi les possibles déviances. Le nombre d’internautes a cru considérablement sans que ceux-ci ne soient accompagnés et sensibilisés aux risques. La cybercriminalité s’est considérablement développée ces dernières années.
En Afrique, l’essor rapide de nouvelles technologies a entrainé le développement de nouveaux usages. Internet multiplie les accès sur l’extérieur mais aussi les possibles déviances. Le nombre d’internautes a cru considérablement sans que ceux-ci ne soient accompagnés et sensibilisés aux risques. La cybercriminalité s’est considérablement développée ces dernières années.
Bref panorama des pratiques de cyber escroquerie
Au Nigeria, la révolution technologique s’est accompagnée du développement d’une nouvelle criminalité. La méthode nigériane consiste à envoyer des emails à des adresses récupérées sur des listes de diffusion, en prétextant un gain à une loterie, ou un héritage débloqué à condition que l’interlocuteur débloque une certaine somme d’argent. Les pirates nigérians sont souvent jeunes et sans diplôme. Quant aux victimes, elles sont nombreuses et se trouvent principalement aux Etats-Unis.
La Côte d’Ivoire compte un nombre très important de cybercriminels. Cependant, il semblerait que les pratiques des cybercriminels ivoiriens restent à la marge par rapport à l’ampleur des méthodes nigérianes. Les brouteurs ivoiriens auraient en majorité entre 12 et 25 ans et proviendraient du Nigeria, ayant fui la répression contre les activités cybercriminelles. Ils agissent surtout depuis les cybercafés publics.
Deux méthodes sont fréquemment utilisées. La première consiste à rentrer en contact avec les victimes via un site de rencontres sur internet. Après avoir établi une relation de confiance, les cyberesrocs réclament des sommes d’argent prétextant des frais médicaux ou bien des voyages pour leur rendre visite. Un autre type d’escroquerie consiste à recueillir de l’argent pour de faux projets humanitaires, de préservation de l’environnement ou de rénovations bâtiments religieux.
Dans un rapport publié par la société Trend Micro en 2012, « les cybercrimes en provenance de l’Afrique sont classés parmi les dix principales menaces qui pèseront sur les entreprises et le grand public dans les années à venir, car comme le cyberespace, la cyberescroquerie n’a pas de frontières. Les Etats-Unis, inquiets des attaques venant d’Afrique, ont dressé un classement des dix premières sources mondiales de cyberarnaques : le Nigéria arrive en 3ème position, le Ghana en 7ème, et le Cameroun est 9ème du classement ».
Les cyberhacktivistes africains
Le cyber hacktivisme cherche selon Patrick Chambet, à « réveiller la société et à l’éduquer sur certains sujets » . Quatre principaux groupes de cyberhacktivistes sont recensés en Afrique.
- En 2013, le groupe Anonymous Côte d’Ivoire a attaqué les fournisseurs d’accès à internet du pays. L’attaque WAR ISP 225 réclamait aux fournisseurs la baisse des tarifs afin de démocratiser l’accès à internet à l’ensemble des ivoiriens.
- En avril 2014, le serveur de l’Agence de l’Informatique de l’Etat a été attaqué par le collectif Anonymous Sénégal. Ainsi, 47 sites gouvernementaux (primature, ministère des finances, de l’éducation nationale, de l’agriculture…) ont été défacés. En janvier 2015, le serveur de l’Agence De l’Informatique de l’Etat (ADIE) a de nouveau été attaqué suite aux évènements de Charlie en France.
- La Nigerian Cyber Army attaque régulièrement les sites gouvernementaux, comme celui de l’Assemblée nationale du Nigeria. En mars 2015, le groupe a attaqué le site internet de la Commission Electorale Nationale Indépendante du Nigeria.
- Quant à Anonymous Africa, ce groupe milite contre la corruption et pour la démocratie.
Ainsi, des groupes cyberhacktivistes sont bien présents en Afrique de l’Ouest mais sont globalement peu dangereux car ils disposent de faibles moyens et sont mal organisés. Les attaques menées sont principalement des attaques DDoS ou de défacement. Pour l’instant, ces groupes ne semblent pas en mesure de mener des attaques de grande ampleur.
Le cyberterrorisme en Afrique
Le cyber terrorisme est « la convergence entre le terrorisme traditionnel et les réseaux internet. C’est une action délibérée de destruction, dégradation ou modification de données, de flux d’informations ou de systèmes informatiques vitaux d’Etats ou d’entreprises cruciales au bon fonctionnement d’un pays, dans un but de dommages et/ou retentissement maximum pour des raisons politiques, religieuses ou idéologiques »
Internet permet aux groupes terroristes agissant sur le sol africain de s’affirmer. Pour le moment, nous ne recensons pas encore de véritables groupes cyberterroristes en Afrique de l’Ouest. Cependant, quelques groupuscules commencent à prendre part à des opérations internationales.
- La Mauritania attacker est membre actif du groupe « Anonghost » qui a participé au défacement massif de sites internet français en janvier 2015.
- En outre, Boko Haram se sert d’internet pour défier Goodluck Jonathan, à travers des vidéos de revendications. Internet est principalement une voie de recrutement et de propagande, pour l’instant, Boko Haram n’a pas véritablement les moyens d’agir directement sur la toile.
Les groupes cyberterroristes africains utilisent des canaux de communication qui leur sont propres : le réseau TOR permet d’anonymiser les connexions, mais aussi les chatrooms de jeux vidéo qui leur permet de discuter librement sans être surveillés. Cependant, pour l’Afrinic, « si le risque cyberterroriste existe, il reste mineur. Au-delà des fuites de documents, difficile d’imaginer une offensive ayant pour but de paralyser un Etat ».
Ces attaques qui ont ciblé les plus hautes autorités sont la preuve que les infrastructures en Afrique de l’Ouest sont très vulnérables.
Les Etats africains menacés
Le Nigeria, le Sénégal et la Côte d’Ivoire sont les pays les plus vulnérables, plus de 10 000 cybermenaces ont été recensées en 2015 dans ces pays. Les pays les plus exposés sont également ceux qui ont un taux de pénétration d’internet et de la téléphonie mobile les plus élevés. Ainsi, l’Afrique n’est pas à la marge de la cybercriminalité. Elle en est victime, et cela est principalement dû à la faible, voire à l’absence, de sécurité de ses infrastructures.
Il est difficile d’évaluer l’impact de la cybercriminalité en Afrique. Cependant, pour les Etats d’Afrique de l’Ouest, le coût de la cybercriminalité n’est pas négligeable. Selon la dernière étude, Net losses : Estimating the Global Cost of Cybercrime, menée par McAfee, le cybercrime coûte 0,08 % du PIB par an au Nigeria. Une proportion proche de celle de la France, qui compte 0,11 % de son PIB affecté par la cybercriminalité.
Face à ces attaques, les gouvernements prennent progressivement conscience de l’enjeu de la cybercriminalité et la nécessité d’y faire face.
L’Union Internationale des Télécommunications (UIT) soutient l’élaboration de cadres législatifs et de structures opérationnelles de lutte contre la cybercriminalité via, notamment, le développement de CERT (Computer Emergency Response Team). Aujourd’hui, 15 pays africains sur les 54 du continent disposent d’un CERT opérationnel, notamment le Bénin, le Burkina Faso, la Côte d’Ivoire, le Ghana et le Nigeria. En outre, la majorité des pays d’Afrique de l’Ouest (Bénin, Burkina Faso, Côte d’ivoire, Ghana, Nigeria, Togo, Sénégal) dispose désormais d’une législation en matière de cybercriminalité.
Le 27 juin 2014, a été signée la Convention de l’Union Africaine sur la Cybersécurité et la Protection des données à caractère personnel. Elle est un élément fondateur de la prise en compte de la menace par les Etats. Le chapitre 3 de la Convention est consacré à la promotion de la cybersécurité et la lutte contre la cybercriminalité. Ainsi, « chaque Etat partie s’engage en collaboration avec les parties prenantes, à se doter d’une politique nationale de cybersécurité qui reconnaisse l’importance de l’infrastructure essentielle de l’information pour la nation, qui identifie les risques auxquels elle est confrontée en utilisant une approche tous risques et qui définit dans les grandes lignes la façon dont les objectifs seront mis en œuvre ». Les Etats signataires sont donc incités à « créer les institutions compétentes pour lutter contre la cybercriminalité, de mener une veille, une réponse aux incidents et aux alertes, d’assurer la coordination nationale et transfrontalière des problèmes de cybersécurité et également la coopération mondiale ».
Quelques exemples de réglementation
Petit pays, le Burkina Faso s’est doté d’un CERT en 2013 avec l’aide l’Union Internationale des Télécommunications. L’Autorité de Régulation des Communications Electroniques et des Postes (ARCEP) a par ailleurs élaboré un Plan National de Cybersécurité dont les trois principaux axes sont la réduction de la vulnérabilité du cyberespace, la gestion des incidents et le renforcement de la culture de cybersécurité. Outre ce CERT, le Burkina Faso s’est doté d’une Agence nationale de Sécurité des Systèmes d’Information en novembre 2013.
Le Sénégal veut devenir le pays leader de la région dans la lutte contre la cybercriminalité. Le 25 janvier 2008 a été promulguée au Sénégalla loi n° 2008-11 portant sur la cybercriminalité. Celle-ci a pour objectif la modernisation des infractions à travers l’adoption d’infractions spécifiques aux TIC et l’adaptation d’infractions classiques à l’usage des TIC. De nouvelles infractions ont été créées, comme l’atteinte au système d’informations, l’infraction informatique (fraude et falsification) et l’atteinte aux données informatiques. Le dispositif procédural a été adapté afin de permettre la création de nouveaux dispositifs de procédure, comme la conservation rapide des données archivées et l’interception de données relatives au contenu. Pour lutter contre ces infractions, ont été mises en place des structures telles que la Section de Recherche de la Gendarmerie Nationale, le Bureau des Investigations Criminelles et des Stupéfiants (BICS) et la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC).
En outre, la Commission des données personnelles récemment créée a pour missions :
- La protection des citoyens sénégalais contre les abus ;
- Le conseil des pouvoirs publics ;
- Le contrôle des traitements en cours ;
- La sanction en cas de violation de la législation en matière de protection des données personnelles.
Par conséquent, la législation sénégalaise s’est mise en conformité avec l’Union Européenne suite à son adhésion à la Convention de Budapest et avec l’Union Africaine pour son Projet de convention sur la Cybersécurité.
A l’occasion de la Conférence mondiale sur la cybersécurité tenue à La Haye en avril 2015, le ministre des Postes et Télécommunications du Sénégal, Yaya Abdou Kane, a engagé son pays dans la mise en œuvre d’une politique de traitement de la cybercriminalité.
En outre, un CERT est actuellement en cours d’implantation.
Ainsi, dans les années à venir, le Sénégal souhaite renforcer la coopération judiciaire et policière internationale et réformer le code pénal ainsi que le code de procédure pénale pour les adapter à ces nouveaux types d’infraction.
Le 20 novembre 2008, à l’occasion d’une Conférence régionale sur la cybersécurité à Yamoussoukro, un Plan d’Action de Yamoussoukro de la Cybersécurité a été adopté par la Côte d’Ivoire afin de proposer des textes de loi, identifier et définir le cadre institutionnel, juridique, légal des structures à mettre en place (CERT, Agence de certification, Agence de sécurité informatique) et définir une stratégie de protection des infrastructures critiques nationales.
Le 2 septembre 2011 a été créée une Plateforme de Lutte Contre la Cybercriminalité (PLCC) qui a pour missions de mener des enquêtes judiciaires, d’aider les services de Police, de mener des actions de sensibilisation, de former les personnels dédiés à la lutte contre la cybercriminalité.
Ces initiatives démontrent que la réglementation contre la cybercriminalité est en marche. La coopération est une des façons de transmettre des moyens et du savoir-faire aux pays qui en ont besoin.
Néanmoins, si la mise à niveau ou l’adoption des législations sont d’ores et déjà une première étape importante, elles ne sont pas, à elles-seules, suffisantes pour contrer les menaces liées à la cybercriminalité. Ces législations calquées bien souvent sur les réglementations européennes peuvent apparaître pour l’heure comme des coquilles vides dans la mesure où elles ne s’accompagnent pas, comme l’a souligné avec justesse M. Pape Assane Touré, de structures ad hoc tant judiciaires que policières.