Les nuits sont courtes depuis trois semaines pour Clément Domingo. Le 11 octobre dernier, le hacker éthique franco-sénégalais, membre du collectif Hexpresso et co-fondateur de l’ONG Hackers sans frontières, découvre que l’Autorité sénégalaise de régulation des télécommunications et des postes (ARTP) pourrait être victime d’une cyberattaque de grande envergure.
Depuis, tout va de mal en pis pour l’agence. Clément Domingo, aka SaxX, doit, lui, se contenter de chroniquer la réponse à incident catastrophique de l’ARTP depuis les réseaux sociaux, malgré les informations dont il dispose et la cyber-expertise qu’il possède. Teknolojia déroule, étape par étape, une histoire qui « fera date en Afrique et au Sénégal », d’après les mots du hacker sur LinkedIn le 21 octobre.
Chapitre 1 : La révélation
11 octobre 2022. « Le groupe de rançongiciel (ransomware) Karakurt affirme avoir hacké l’Autorité sénégalaise de régulation des télécommunications et des postes (ARTP), une organisation basée au Sénégal en charge de promouvoir une concurrence loyale dans le secteur des télécommunications », annonce sur son compte Twitter BetterCyber, une entreprise de conseil en sécurité consacrée aux marchés en développement, récemment créée.
#Karakurt #ransomware group claims to have hacked the Regulatory Authority for Telecommunications and Posts (#ARTP), an organization based in Senegal 🇸🇳 charged with promoting fair competition in the telecommunications industry… pic.twitter.com/7hXpLl3X0w
— BetterCyber (@_bettercyber_) October 11, 2022
Le lendemain, Clément Domingo confirme l’information de la revendication mais reste prudent. « Voici que l’Autorité de régulation des télécommunications et des postes du Sénégal serait victime du groupe ransomware Karakurt », note-t-il sur LinkedIn. En usant du conditionnel, à ce stade, le hacker éthique ne relaie que la revendication du groupe malveillant, pas son analyse.
D’après leur message, les membres du groupe Karakurt posséderaient 159 Go de données de l’ARTP. Ils réclament 70 000 dollars (70 390 euros) à l’agence avant le 17 octobre, sans quoi ils menacent de commencer à divulguer ces données.
Le 13 octobre, SaxX affirme cette fois-ci qu’il est « en mesure de confirmer la cyberattaque dont [l’ARTP a] été victime ». Avec quelques informations en plus dans sa besace : l’attaque daterait au moins du 7 juin dernier et les informations dont disposerait Karakurt comprennent notamment « les [emails] de tous les collaborateurs de l’ARTP, donc [probablement] des échanges sensibles avec d’autres ministères et organes au Sénégal et ailleurs ».
Repéré par les équipes d’Accenture Security dès septembre 2021, lorsque ont été créés les noms de domaine Karakurt.group et Karakurt.tech, le groupe Karakurt a fait 40 victimes entre septembre et novembre 2021. Vraisemblablement motivé par l’argent, il s’attaque en priorité à des petites ou moyennes structures privées ou publiques de différents secteurs. Jusqu’ici, ses cibles étaient en grande majorité nord-américaines (95% des cas). Les autres (5%) étaient européennes.
Cette fois-ci, néanmoins, les victimes présumées du groupe cyber-malveillant sont dispersées sur toute la planète, du Davenport Community School District dans l’État américain de l’Iowa, à l’hôpital Gözakademi, en Turquie ou l’Autorité de régulation des télécommunications de la Tanzanie, en passant par la municipalité de Belen, au Costa Rica – et l’ARTP sénégalaise, évidemment.
Chapitre 2 : La dénégation
12 octobre 2022. Avec une telle cyberattaque dévoilée au grand jour par plusieurs sources et un ultimatum qui ne laisse à l’ARTP que quelques jours pour agir, on pourrait penser qu’au sein de l’agence, ce soit l’affolement. On ne pourra pas confirmer ici que ce n’est pas le cas en interne mais, ce qui est sûr, c’est que l’ARTP ne laisse rien paraître.
Dans la sphère publique, c’est silence radio, l’ARTP ne communique pas du tout sur l’attaque, ni pour la confirmer, ni pour l’infirmer. Pire : « l’autorité parle officieusement de fake news sans pour autant donner des détails », croit savoir le 12 octobre le média sénégalais Socialnetlink, qui, à son tour, est en mesure de confirmer la cyberattaque.
Selon d’autres sources sénégalaises, l’organe public aurait toujours nié sous prétexte que leur site est toujours en ligne.
De son côté, Clément Domingo est « à la fois énervé, sidéré et surtout stupéfait », assure-t-il dans un article sur LinkedIn, le 13 octobre. « Je regrette toujours et de plus en plus l’absence totale de communication de l’ARTP, reflet de beaucoup d’autres institutions africaines face aux cyberattaques. Ce fut le cas de l’Agence pour la sécurité de la navigation aérienne en Afrique et à Madagascar (Asecna) il y a quelques semaines », dénonce-t-il. L’Asecna, elle aussi sise au Sénégal, a été victime d’une cyberattaque venue du groupe Lockbit en septembre dernier.
Le hacker éthique est d’autant plus peiné que l’ARTP a décliné son aide, ayant décidé de « gérer le problème en interne », rapporte-t-il. « Pour info, le groupe Karakurt, tout récent dans la galaxie cyber (2021), n’agit pas comme Conti ou encore Lockbit. En effet, il ne chiffre pas le système après avoir exfiltré l’information. Donc, vous comprenez mieux qu’une institution comme l’ARTP dise qu’ils ne sont pas victimes d’une cyberattaque alors que le mal est fait depuis longtemps et qu’ils n’ont aucune idée de ce qui se passe sur leur système d’information ! », ajoute SaxX.
Petit bond en avant avant de reprendre le cours de notre histoire. Le 20 octobre, le site camerounais CIO Mag affirme que, malgré le mutisme de l’agence, un responsable leur aurait confié : « Nous avons été informés mais pour le moment nous préférons ne pas en parler. » En interne, le « top management serait secoué », affirme également le site d’information.
Chapitre 3 : L’hésitation
12 octobre 2022. Il faut dire que l’affaire a connu quelques rebondissements. BetterCyber et Clément Domingo remarquent qu’un jour après avoir revendiqué l’attaque, le groupe Karakurt a retiré la mention de l’ARTP de son site internet… pour la remettre le 16 octobre, à la veille de la date ultimatum.
#Karakurt #ransomware group has suddenly removed #ARTP from their blog site… https://t.co/yXykZVku7t pic.twitter.com/0IUuRk0pni
— BetterCyber (@_bettercyber_) October 12, 2022
#Karakurt #hacking group re-added Senegal’s 🇸🇳 Regulatory Authority for Telecommunications and Posts (@Artp_Senegal – #ARTP) to their blog site. pic.twitter.com/a24zaQEqxp
— BetterCyber (@_bettercyber_) October 16, 2022
A l’heure d’écrire ces lignes, pas d’information sur la raison de ce geste, ni sur le revirement, mais cela ajoute sans conteste un peu plus de mystère à l’affaire.
Chapitre 4 : La divulgation
17 octobre 2022. C’est le « grand jour ». Les membres de Karakurt avaient promis qu’ils commenceraient à divulguer les données de l’ARTP en leur possession, ils ont mis leur menace à exécution. Toutefois, on ne parle plus de 159 Go, mais de 102 Go – encore une fois, ce changement reste un mystère à l’heure actuelle. Il devrait ‘feuilletonner’ la fuite de ces données du 17 au 24 octobre.
Détail loin d’être anecdotique : le lendemain, le site panafricain Jeune Afrique relaie enfin l’affaire et son envergure prend une dimension continentale.
Clément Domnigo, lui, se met à la tâche pour décrypter les données qui commencent à fuiter. « Ce qu’on a appris sur l’ARTP : des déclarations de l’Institution de prévoyance retraite du Sénégal (IPRES), concernant les futurs retraités, des numéros de cartes d’identité nationale, des compléments de dossiers pour des cassiers judiciaires de différentes régions du Sénégal, des numéros privés et professionnels d’agents de l’ARTP mais aussi d’autres personnes à des postes stratégiques au Sénégal, des bulletins de paie… chiffrés, mais avec le mot de passe envoyé un peu avant en clair dans les e-mails, des billets d’avions avec tout un tas d’informations, des e-mails de l’ensemble des salariés de l’ARTP mais aussi tous les partenaires dans tout le pays et à l’étranger. On découvre des dossiers, des fichiers très sensibles que l’ARTP échange avec des opérateurs comme Orange, Sonatel, Expresso, Free, mais aussi les coordonnées GPS sur le territoire des différentes antennes relais. On apprend aussi qu’au travers des contrats signés par l’ARTP, 150 000 euros ont été versés pour une étude faite par un cabinet en France », énumère le hacker éthique, avant d’ajouter « et je m’arrête là, le reste sera traité en off ».
Pour lui, « l’ampleur de ce piratage est monumentale ».
Mountaga Cissé, blogueur sénégalais et formateur dans le numérique, indique à Jeune Afrique que l’on y trouve « l’ensemble des informations qui peuvent être échangées par e-mail, soit le corps des messages, des documents Word, Powerpoint, Excel, PDF… ».
Jeune Afrique relaie aussi la manière dont le groupe de hackers s’y est pris : « Selon son mode opératoire habituel, le groupe Karakurt parvient à infiltrer les systèmes du régulateur sénégalais, vraisemblablement à la faveur de failles repérées dans le système d’identification de l’institution », indique-t-il.
Un autre site, sénégalais cette fois, Le Tech Observateur, donne encore plus de détails : « [L]a méthode de hacking [de Karakurt] est ingénieuse car elle s’intègre et se dissout dans les systèmes de sécurité. Si les hackeurs envoient souvent des logiciels hostiles ou intrusifs, les membres de Karakurt se concentrent uniquement sur l’exfiltration de données. Leur méthode consiste à infiltrer le réseau en procédant par l’usurpation de fonction. Le processus offre un accès élevé qui par la suite leur permet [d’installer] des logiciels malveillants. Ainsi, pas de risque d’être détecté par les solutions de sécurité car il n’y a pas de charge utile malveillante. Avec cette méthode, les hackeurs progressent lentement sur le réseau en collectant des identifiants pour accéder aux bases de données stratégiques de la cible. »
SaxX, lui, se refuse à évoquer la méthode d’intrusion utilisée par le groupe malveillant pour s’emparer des données de l’ARTP sénégalaise.
Chapitre 5 : La fabulation
20 octobre 2022. Il ne se gêne pas, en revanche, pour dénoncer certaines fausses informations qui circulent dans quelques médias sénégalais. Notamment qu’une entreprise locale serait à l’origine de la cyberattaque.
« Cette allégation est totalement mensongère et hors-sol. Elle démontre le manque notoire de connaissance en Afrique autour de la cybersécurité et encore plus l’univers de la cybercriminalité avec les ransomwares et les ‘ransomgangs’. Il eût fallu que cette ‘entreprise locale’ contacte le groupe Karakurt, les convainc de mener cette cyberattaque mais surtout paie les cybercriminels en avance – chose qui [n’]est tellement pas pensable et sans queue ni tête ! », s’offusque-t-il sur LinkedIn et Twitter.
Dsl pour ma TL mais je suis trop à fond sur la cyberattaque de l’ARTP ! J’ai halluciné en lisant ce ramassis de conneries dans la presse sénégalaise. 1e entreprise locale qui aurait commandité ce piratage, mais bien sûr #JPP !!! Voilà comment la désinformation survient ! #kebetu pic.twitter.com/4agb8Xc5Kw
— S. A. X. X. (@_SaxX_) October 20, 2022
En même temps, le groupe Karakurt s’est fendu, ce même 20 octobre, d’un message plein de cynisme, où il confirme revendiquer l’attaque et où il évoque « une réticence à négocier avec les mecs sympa de l’équipe Karakurt » et indique que les responsables de l’ARTP « sont devenus très nerveux ».
Chapitre 6 : La diffusion
21 octobre 2022. De plus en plus d’informations commencent à être divulguées par Karakurt. Le service veille de ZATAZ, un site français administré par Damien Bancal, a pu repérer, au 21 octobre, pas moins de 33 Go mis en ligne, dans le dark web, par les pirates. « Les rançonneurs affichent avoir déjà diffusé 4% des contenus volés », ajoute le site.
Si la plupart des commentateurs continuent de dénoncer le silence de l’ARTP, il règne désormais un certaine compassion pour les équipes en interne par les spécialistes de la cybersécurité. « J’adresse tout mon soutien aux équipes de l’ARTP dans la gestion de cette crise cyber », indiquait quelques jours plus tôt Clément Domingo.
Sur sa page Facebook, le formateur aux métiers du numérique, Mountaga Cissé, fait de même : « Tout mon soutien à l’Autorité de régulation des télécommunications et des postes du Sénégal et à ses équipes techniques. » Mais le formateur en profite tout de même pour alerter l’agence : « Il est absolument urgent et nécessaire que l’institution communique enfin sur ce qu’il se passe réellement avec ce piratage de ses données, et qui n’a pas encore livré tous ses secrets. Nous ne sommes plus au stade de rumeurs ou de fake news. Les faits sont là et ils sont avérés. Des données internes ont bel et bien été “copiées et transférées” ailleurs », a-t-il posté.
Pour Seydou Badiane, ingénieur sénégalais en cybersécurité, une entreprise comme l’ARTP devrait avoir une politique de sécurité de son système d’information bien définie. « C’est cela qui allait permettre de limiter les dégâts. Est-ce que leur système d’information a été segmenté selon le niveau de sensibilité des informations, selon les utilisateurs, conditions d’accès à internet… ? S’ils avaient une bonne politique de sécurité, ils devraient avoir un plan de réponse et surtout une stratégie de communication dans de telles circonstances. Mais surtout, ses agents seraient formés, sensibilisés pour éviter une intrusion “si profonde” dans leur système d’information », a-t-il posté sur les réseaux sociaux.
Chapitre 7 : la remise en question ?
24 octobre 2022. Date de fin des divulgation de données d’après le groupe cyber-malveillant. Toujours rien du côté de l’ARTP, même si Le Tech Observateur annonce que l’agence va publier un communiqué « incessamment » sur cette affaire.
En attendant, c’est l’heure de la remise en question pour beaucoup d’experts. Pas seulement de la réponse à incident catastrophique – du moins vue de l’extérieur – de l’ARTP, mais du Sénégal en général. « Bien qu’ayant adopté en 2017 une Stratégie nationale de cybersécurité (SNC2022), qui l’a poussé notamment à lancer une École nationale en cybersécurité à vocation régionale sur le sujet en 2018 et structuré une commission nationale de protection des données personnelles (CDP) et une sur la cryptologie, le Sénégal reste un pays sous-équipé en matière d’infrastructure de veille et de prévention des cyberattaques, note Jeune Afrique. Si la société publique Sénégal Numérique (ex-Agence de l’informatique de l’État, ADIE) dispose de centre des opérations de sécurité (SOC), aucune structure n’existe au niveau national, à l’image du Centre national d’alerte et réaction aux attaques informatiques (Cert), développé en Côte d’Ivoire, ou de l’Agence nationale de la sécurité des systèmes d’information au Bénin. »
« La stratégie en matière de sécurité mériterait d’être mise à jour, et l’on constate un manque de synergies entre les différents organes plus ou moins proches du sujet », indique pour sa part Chérif Diallo, professeur à l’université Gaston Berger de Saint-Louis. Pour combler le manque d’infrastructure de cyberdéfense, ce dernier a créé une équipe de réponse aux incidents de sécurité informatique (CSIRT).
Cet article est susceptibe de subir des modifications et des mises à jour à mesure que davantage d’informations nous parviennent.
