Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Cybersécurité : « La plupart des sites Internet burkinabè sont vulnérables aux attaques informatiques »

Lefaso.net : Présentez-vous aux fasonautes…

Younoussa Sanfo : Je dirige la société Intrapole présente au Burkina, déjà, depuis une décennie. Mais l’entreprise existe en France depuis 1995. Le rôle d’Intrapole, c’est d’assister ses clients, les entreprises du privé comme de l’Etat à mettre en place des stratégies de gouvernance de la sécurité de leur système d’information. Nous avons aussi un rôle de conseil. De temps en temps, nous tirons la sonnette d’alarme quand nous sentons que la sécurité peut être menacée parce que nous estimons que c’est notre rôle. Enfin, il nous arrive de mettre la main à la pâte pour sécuriser une entreprise.

Je fais également partie du club de la sécurité des systèmes d’information. C’est un club qui existe depuis plusieurs années au Burkina Faso qui, de temps en temps, anime des conférences pour sensibiliser des décideurs, mais aussi des citoyens. Je suis le chargé des relations extérieures du CLUSI-BF.

Plusieurs sites burkinabè auraient été piratés ces derniers temps, en tant qu’expert en cybercriminalité, vous confirmez ?

Oui, plusieurs sites Internet ont été attaqués ces derniers temps. Certaines structures qui habituellement s’intéressent à la sécurité des systèmes d’information ne semblent pas informées de ces récentes attaques. Même dans la presse, je n’ai vu aucune information. Nous avons constaté à Intrapole que des webmasters ont précipitamment remis des vieilles sauvegardes. J’ai vu des sauvegardes de 2009, 2010 sur des sites la semaine dernière après cette attaque. Donc pour répondre à votre question, je dis oui, plusieurs sites ont été attaqués, je confirme.

Quel est le type d’attaque que vous avez pu constater ces derniers jours ?

Le phénomène est quasi-mondial. Ces types d’attaques ont un but revendicatif. En général, ces attaques sont opérées par des hacktivistes, qui piratent des sites Internet ou des plateformes électroniques pour afficher des messages revendicatifs. C’est ce qui s’est passé. Plusieurs sites ont constaté le matin - ça s’est passé entre 23h et 2h du matin- que non seulement leur site n’avait pas le visage habituel, mais également, il y avait un message.

C’était quel type de message ?

C’est un groupe qui s’appelle la Cyber-armée du Nigeria (Nigerian cyber army) qui se plaint contre le gouvernement nigérian en disant qu’ils ont trop de pannes d’électricité, ils n’ont pas d’eau potable, il n’y a pas de médicaments, il n’y a pas de routes, pas d’écoles et ils demandent au gouvernement de faire quelque chose. C’est en gros ça.

Quel est l’ampleur du phénomène actuellement ?

Tout d’abord, il faut distinguer les cyber-armées des Etats des groupuscules qui se font appeler "cyber-armée". En Estonie ou en Chine ils ont des militaires qui ont été formés aux techniques d’attaque et de contre-attaque des plateformes électroniques. En marge de cela, on a vu des groupes en Inde, au Pakistan, en Iran et dans plusieurs pays arabes qui se font appeler "cyber-armée". La Nigerian Cyber Army" en fait partie. Parfois la cyber-armée n’a pas de frontières dans le sens d’un pays. Le groupe est formé parce que ses membres partagent les mêmes idées, la même idéologie, etc ...

Le phénomène va grandissant et ce n’est pas seulement au Nigéria qu’il y a une cyber-armée. Plein de pays ont des "cyber-armées" et ils ont la même façon d’opérer. Ce sont des revendications. Au lieu de faire une marche ou un sit-in, ils défigurent des sites et ils affichent le message dessus. Et, c’est quasiment la mode. Moi, je ne serai pas étonné que dans d’autres pays d’Afrique de l’Ouest en dehors du Nigéria, il y ait ce type de revendication. Il faut savoir que ce n’est pas le seul moyen, ni la seule méthode, il en existe d’autres. Tant qu’on défigure le site et on affiche un message, ça va. Mais, il y en a qui vont jusqu’à détruire quelque chose, commettre des actes de vandalisme. Il y a une banque qui a déjà été attaquée. Elle a été immobilisée toute une journée parce que des pirates ont estimé que la banque soutenait des activités que, eux ils condamnent.

Pourquoi des activistes nigérians s’en prennent à des sites burkinabè ?

C’est vrai, on peut bien se demander quel est le rapport entre les activistes nigérians qui veulent que leur gouvernement entende leur message et le Burkina Faso. En fait, le but du cyber-attaquant c’est que son message soit diffusé. Et il cherche des sites vulnérables. Il y a des sites qu’il ne peut pas pirater. Dans la recherche de sites vulnérables, il va élargir son champ en dehors de son pays, et il cherche à l’aveuglette. Les sites qui ont été piratés n’ont pas été individuellement ciblés. Ils recherchaient des sites vulnérables et ils en ont trouvé au Burkina Faso.

Le paradoxe, c’est qu’ils ont réussi leur coup, puisque vous êtes en train de m’interviewer dans le but de diffuser cette information. C’est ce qu’ils voulaient !

Que peut-on dire de la sécurité de nos sites web burkinabè ?

D’abord, un préalable. On reproche à la société Intrapole et ses dirigeants de montrer du doigt les problèmes de sécurité. Les gens font de grandes rencontres pour s’auto-congratuler, se distribuer des lauriers et dire que tout est génial. Ce n’est pas le rôle d’Intrapole de participer à la politique de l’autruche. La sécurité, nous savons ce que c’est, et nous avons les moyens de vérifier concrètement la sécurité d’un système. De ce que nous savons, il n’ya pas de quoi organiser des fêtes, bien au contraire, il faudra beaucoup travailler pour ne pas être à la traîne.

Savez-vous que les premiers sites Internet africains sont burkinabé ? Aujourd’hui, les autres sont très loin sur tous les plans, s’agissant des TIC. En fait, les gens veulent qu’on dise que tout va bien. Et ils veulent que nous participions à cette pensée unique. Ce n’est pas du tout notre rôle.

Donc, notre rôle c’est d’attirer l’attention surtout des décideurs sur les enjeux liés à l’insécurité. Pour répondre à votre question, je dirai que la plupart des sites burkinabè ne sont pas bien protégés. Nous avons effectué plusieurs tests. Parfois, nous contactons les webmasters pour leur dire attention, on a vu des failles sur votre site. Ils ne prennent même pas la peine de nous répondre. L’année dernière nous avons alerté 24 webmasters pendant la semaine nationale de l’Internet. Un seul nous a répondu pour nous dire qu’il sait que son site est vulnérable. Curieux !

Il nous est arrivé de faire toute une campagne sans qu’un seul webmaster ne nous réponde. Mais, nous en parlons et nous continuons à en parler. La plupart des sites burkinabè sont vulnérables et nous le disons depuis des années. Nous l’avons déjà dit sur Lefaso.net il y a trois ou quatre ans, nous avons même listé les vulnérabilités les plus courantes des sites burkinabè. Jusqu’à présent, l’amélioration n’est pas flagrante. Un malfaiteur peut faire ce qu’il veut des sites burkinabè, même les grands sites.

Cela est-il dû à un manque de compétence des webmasters ou à une négligence ?

La sécurité, c’est un métier. On demande aux informaticiens d’installer des logiciels, d’aider les utilisateurs à bien utiliser les ordinateurs, à gérer les réseaux etc... On leur demande trop de choses dont la sécurité. La sécurité, c’est un métier à part. Ce n’est pas celui qui fait le site web ou celui qui développe l’application qui s’occupe de sa sécurité. Il n’a pas forcément les compétences. Il est très rare que quelqu’un ait les compétences pour faire toute la chaine. Maintenant, au Burkina on n’a pas l’habitude de faire appel à un expert en sécurité pour s’occuper de la sécurité. Il n’y a que les banques qui le font parce si elles ne le font pas, elles risquent gros. En dehors des banques et puis certaines structures, les gens ne le font pas. Ils demandent à leur informaticien de s’en occuper, sans lui donner les moyens de le faire. De plus, parfois les gens parlent de sécurité juste pour faire des deals. Ils n’ont pas un vrai projet de sécurité qui correspond à une stratégie de gouvernance globale. C’est juste un moyen pour sortir des sous de la caisse. Dans ce cas, ils font appel au premier vendeur d’antivirus car le but n’est pas de sécuriser.

Autre gros problème, la plupart des entreprises d’informatiques au Burkina Faso savent tout faire. Ils vendent du matériel, ils vendent des logiciels, ils font de la maintenance, ils font des audits et ils font de la sécurité. Ils disent qu’ils font tout, mais nous on sait que c’est du faux parce qu’on est souvent passé après des entreprises qui ont pris beaucoup d’argent pour sécuriser des sociétés, mais en réalité il n’y avait même pas le minimum acceptable.

Quelles mesures faut-il prendre pour s’assurer de la sécurité de son site web ?

Quand on a un site important sur Internet, on doit de temps en temps faire des audits du site. Ces audits vont révéler les failles parce que les failles ne sont pas statiques. On peut ne pas avoir une faille aujourd’hui et l’avoir demain. Donc, il faut régulièrement faire des audits, en gros, faire la chasse aux failles. Toutes les failles peuvent être gérées. Toutes les failles ont leur antidote.

La principale mesure c’est donc l’audit… ?

Oui, la principale mesure, c’est l’audit et ensuite la sécurisation. On audite pour connaître les failles et une fois qu’on a toutes les failles, on procède à la sécurisation proprement dite.

Le Forum panafricain sur le partage des meilleures pratiques dans le domaine des technologies de l’information et de la communication s’ouvre le 11 octobre sous le thème « exploiter les opportunités des données numériques pour la croissance et la sécurité » ; en tant qu’expert en sécurité informatique, que pensez-vous d’un tel thème ?

C’est un très bon thème, c’est d’actualité. Aujourd’hui, les problèmes de sécurité c’est surtout la gestion des données, la gestion de l’information. Qui dit information dit aussi transaction, stockage et gestion quotidienne de l’information. Mais, c’est vrai qu’au final, c’est l’information qui doit être protégée.

Que peut-on bien attendre de ce thème ?

Franchement je ne suis pas très informé côté organisation, je ne sais pas ce qui sera fait et dit.

Intrapole n’a pas été invité (nous sommes maintenant habitué), mais puisqu’il s’agit aussi de sécurité, j’irai écouter ce qui se dit même si je n’aurai pas droit à la parole.

Un message ?

Ce qui me tient à cœur, c’est qu’il faut que les décideurs prennent très au sérieux la sécurisation des systèmes d’information stratégiques, surtout tout ce qui concerne les systèmes d’information de l’Etat, la gestion de l’eau, la gestion de l’électricité, les banques, les salaires des fonctionnaires etc...

Toutes ces entités sont de plus en plus dépendantes de leurs systèmes d’informations. Leur sécurisation doit faire partie des priorités du pays

Et que tout cela se fasse vraiment, sans faire semblant, sans créer des structures ronflantes et vides, sans favoriser la sécurité par l’obscurantisme juste pour distribuer des gros marchés à des potes.

Entretien réalisé par Moussa Diallo

Lefaso.net