Banques, services de paiement mobile, sociétés d’Etat, personnalités politiques. Nul ne semble être à l’abri des cybercriminels au regard des multiples piratages perpétrés ces dernières années. Ces hors-la-loi ont souvent une longueur d’avance sur leurs victimes grâce au soutien de complices. La lutte contre le fléau est un travail de longue haleine et le plus grand obstacle, selon Younoussa Sanfo, expert en cybersécurité, c’est l’obscurantisme. « Les gens luttent contre la cybercriminalité « avec la bouche », dans les secrets des bureaux, en chuchotant à l’oreille des autorités. La plupart sont des mystificateurs », a-t-il soutenu dans un entretien qu’il nous a accordé, vendredi 24 mars 2017 à Ouagadougou.
Lefaso.net : En tant qu’expert en cyber sécurité dites-nous quelle est l’ampleur de la cybercriminalité au Burkina Faso ?
Youn SANFO : Tous les jours que Dieu fait, les postes de police, les brigades de gendarmerie et les tribunaux, enregistrent des plaintes pour des faits de cybercriminalité. Cela va de l’escroquerie au chantage ou à d’autres formes de menaces dont les internautes, des citoyens sont victimes.
Je n’ai pas fait de statistiques mais on peut dire que le fléau est croissant, que les cybercriminels accroissent leurs capacités de nuisance et que les victimes sont de plus en plus nombreuses.
Lefaso.net : Quel est le mode opératoire le plus usité par les cybercriminels ?
Youn SANFO : Il y a quelques années, on pouvait détecter des escrocs, rien qu’avec du bon sens. A l’époque, on recevait un message soit disant d’une entreprise qui a pignon sur rue, mais avec tellement de fautes d’orthographe ou de syntaxe qu’il fallait vraiment le vouloir pour se faire escroquer. Malheureusement, les cybercriminels montent en puissance. Ils se font aider par des personnes qui écrivent bien, par des juristes et par des informaticiens. Du coup, l’arnaque ne se voit plus comme avant, même si la plupart des techniques ne sont pas sophistiquées.
Actuellement, parmi les techniques qui font recette on peut citer le phishing qui est une technique utilisée par des cybercriminels pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. Le fraudeur imite par exemple le site de votre banque, vous envoie un message pour vous demander de modifier certaines informations en vous expliquant que cela contribue à vous protéger. Si vous ne détectez pas la supercherie, vous pouvez donner vos identifiants à un cybercriminel. Parfois, le phishing est une étape pour effectuer un acte de piratage plus dangereux. Il en existe d’autres, plus ou moins pernicieux, que je me garde de citer ici. Allez sur Google et tapez : mode opératoire cybercriminel. Vous en aurez pour une journée de lecture.
L’un des modes opératoires les plus usités actuellement est le spoofing. C’est le fait de se faire passer pour une autre personne, pour une machine, afin d’obtenir des privilèges auxquels on n’a pas droit. Chaque fois que vous entendez qu’une banque a été piratée, cette technique a été utilisée obligatoirement. Parce que de nos jours, même la banque la moins sécurisée prend le soin de « reconnaitre » et d’authentifier les utilisateurs ou les ordinateurs de son réseau. C’est la moindre des précautions. Le cybercriminel ne peut accéder aux données bancaires qu’en se faisant passer pour un élément du réseau.
Lefaso.net : Selon vous, quelles sont les potentielles proies des cybercriminels ?
Youn SANFO : Les principales proies sont les réseaux de téléphonie mobile, surtout les services de paiement mobile, les banques, les services de transfert d’argent, les services de l’Etat (impôts, douanes, trésor public, budget, paie des fonctionnaires, les sociétés d’Etat qui fournissent des services. Il y a également des personnes cibles tels que les ministres, les directeurs généraux, les députés, les personnalités politiques, les professeurs reconnus, le procureur, les opérateurs économiques etc …
Lefaso.net : La semaine dernière, des hackers se sont introduits dans le système informatique de la banque CBAO au Sénégal et ont subtilisé des centaines de millions de francs CFA. Des personnes ont été arrêtées au Burkina et au Sénégal. Est-il possible de mener un tel piratage sans une complicité interne ?
Youn SANFO : Je n’aime pas répondre aux questions qui concernent les banques car cela génère de mauvaises interprétations. La dernière attaque dont vous parlez ne devrait plus aboutir dans aucune banque. En fait, la principale victime d’un piratage de banque, c’est l’Etat parce que la banque est assurée et va enregistrer les sommes dérobées dans la rubrique « perte ». Une perte ne sera pas soumise à TVA ni imposée. Donc, le principal perdant c’est l’Etat, et c’est à l’Etat de sévir.
Les banques font partie des OIV (Organisme d’Intérêt Vital). L’Etat doit donc vérifier si elles ont pris toutes les mesures pour éviter ce type d’évasion de devises et surtout, être sûr que derrière ce qui est présenté comme un piratage, on n’est pas face à un jeu de dupe pour gruger l’Etat.
Retenez une chose : les derniers piratages ne peuvent se faire sans complicité interne si on analyse le mode opératoire. Pour l’instant les personnes arrêtées sont des « mules ». C’est du menu fretin. Si ce n’est déjà fait, il faut retrouver les cerveaux, qui ne sont peut être pas très loin de la scène de crime.
Lefaso.net : Après une attaque cybercriminelle de ce genre, quelle est la première mesure à prendre au niveau de la banque ?
Youn SANFO : Déclencher la traçabilité, soupçonner tout le monde, du Directeur général au dernier stagiaire et rechercher le ou les complices internes.
Lefaso.net : Aujourd’hui, quels sont les plus grands obstacles dans la lutte contre la cybercriminalité ?
Youn SANFO : Au Burkina Faso, le plus grand obstacle, c’est l’obscurantisme. Les gens luttent contre la cybercriminalité « avec la bouche », dans les secrets des bureaux, en chuchotant à l’oreille des autorités. La plupart sont des mystificateurs. Personne ne les a jamais vu gérer quoi que ce soit en matière de cybercriminalité. Depuis une dizaine d’années, on observe les mêmes acteurs théoriciens et nous avons eu plusieurs fois l’occasion de constater que dès que le pays est en difficulté ils disparaissent tous, pour réapparaitre quand le calme revient. Quand il faut mener des actions de lutte réelle au grand jour, nous nous retrouvons toujours seuls sans « ces grands génies ». Je leur suggère de s’inscrire dans des filières dédiées à la sécurité informatique et d’avoir de réelles compétences. Le pays en a besoin.
Le deuxième obstacle, c’est l’absence d’une structure compétente qui centralise tous les événements qui concourent à la lutte contre la cybercriminalité.
Pourtant l’Etat a fait des efforts et a créé des structures pour mener la lutte. Seule la CIL (Commission de l’Informatique et des Libertés, NDLR) sort son épingle du jeu. Elle est présente sur le terrain et mène des actions de sensibilisation en direction de la population, surtout sa frange jeune, ainsi que vers les entreprises. Mais en dehors de la CIL et des forces de défense et de sécurité, l’Etat devra revoir toutes les autres structures qui ne font strictement rien pour lutter contre la cybercriminalité, hormis de grands discours savants.
Lefaso.net : Guérir, c’est bien mais quelles précautions doivent prendre les banques en termes de sécurité avant leur ouverture ?
Youn SANFO : L’Etat devrait imposer un cahier des charges aux banques pour que certaines failles ne puissent persister. L’Etat devra effectuer des contrôles assortis d’amendes à tous les OIV, banques y compris.
Lefaso.net : De plus en plus on parle de E-commerce. Quels conseils donneriez-vous aux Burkinabè pour qu’ils ne soient pas victimes de piratage de leurs données bancaires ?
Youn SANFO : Aux citoyens, je leur suggère de ne jamais adosser leur compte bancaire à la carte de crédit susceptible d’être utilisée sur Internet. En terme clair, la carte bancaire que vous utilisez pour effectuer des achats sur Internet ne doit contenir que de petites sommes. Même si la banque vous rembourse de temps en temps ce que le pirate vous a volé, cela reste désagréable de se retrouver par exemple à l’étranger avec une carte bancaire qui a été vidée de son contenu.
Si votre banque vous propose un moyen de connexion à distance, exigez de votre banque qu’elle vous mette à disposition une double authentification. En plus de votre couple « login + mot de passe », une validation par votre téléphone sera exigée pour vous permettre de prouver que vous êtes la bonne personne.
Entretien réalisé par Herman Frédéric Bassolé
Lefaso.net
Source: LeFaso.net
Commentaires récents