C’est un scandale qui secoue l’AFRINIC depuis quelques mois. En jeu, le détournement et la revente de nombreux blocs d’adresses IP appartenant à la base de données WHOIS de l’AFRINIC, le Registre régional d’adresses IP desservant l’Afrique. La valeur totale de ces blocs d’adresses IP détournés et revendues illégalement est estimée à plus de 54 millions de dollars américains. Ce qui rend ce scandale impressionnant c’est que le suspect numéro un de ce trafic est son DG, Ernest Byaruhanga, qui, à la suite d’une audience disciplinaire du conseil d’administration d’Afrinic tenue le 13 décembre 2019, à Maurice, a été limogé. Motif évoqué :”faute professionnelle très grave”.

Depuis lors, il est remplacé par Eddy Kayihura. Ce dernier fait le point de cette affaire dans son message retraçant les grandes lignes de l’action de l’AFRINIC au titre de cette nouvelle année 2020. Dans son mail à la communauté africaine de l’Internet publiée le 17 janvier 2020 dans la liste de diffusion d’Afrinic, il explique que la Police mauricienne est désormais en charge de l’enquête pour cette affaire.

“Au titre de mise à jour sur l’affaire relative à la base de données WHOIS alléguant une manipulation frauduleuse, l’affaire a été signalée à la Division centrale des enquêtes criminelles de la police mauricienne le mardi 10 décembre 2019 pour une enquête plus approfondie. En outre, compte tenu de la gravité des allégations, une audience disciplinaire a été tenue le 13 décembre 2019, à l’issue de laquelle la Direction a pris la décision de renvoyer Ernest Byaruhanga avec effet immédiat pour faute professionnelle très grave”, écrit-il.

Le nouveau DG de l’AFRINIC indique par ailleurs qu’avec la nouvelle équipe installée (voir encadré), l’AFRINIC s’emploie à rétablir l’exactitude des données WHOIS et à renforcer les contrôles existants afin d’éliminer les menaces internes ou externes qui pourraient peser sur ses opérations. “Comme nous nous attendons à une charge de travail parfois plus importante, l’équipe des services aux membres fera de son mieux pour servir les membres avec un ticket dans un délai de 48 heures comme le stipule le SLC d’AFRINIC”, rassure Eddy Kayihura.

Les blocs d’adresses IP de la base de données WHOIS d’AFRINIC

Certains comparent en effet les adresses IP comme des maisons et appartements de l’Internet. En clair, lorsque vous naviguez sur le Web ou hébergez votre site web, vous avez besoin d’une maison sur Internet. Besoin donc d’une adresse IP. L’adresse IP (avec IP pour Internet Protocol) est alors le numéro qui identifie chaque ordinateur connecté à Internet, ou plus précisément, l’interface avec le réseau de tout matériel informatique (routeur, imprimante) connecté à un réseau informatique utilisant l’Internet Protocol (le protocole Internet).

Il existe des adresses IP de version 4 (IPv4) et de version 6 (IPv6). La version 4 la plus utilisée est généralement notée avec quatre nombres compris entre 0 et 255, séparés par des points. Par exemple, 212.85.150.133. Il y a quelques années, face à la demande croissante et la rareté signalée de la version 4, l’IETF (Internet Engineering Task Force) a mis en place l’IPv6. Elle peut être constituée de huit nombres et lettres séparés de deux points. Par exemple, : 2001:0620:0000:0000:0211:24FF:FE80:C12C. Donc, plus puissante que l’IPv6.

Cependant, la plupart des usagers de l’Internet utilisent toujours l’IPv4. Et ces anciennes adresses IPv4 sont devenues une ressource très rare. D’ailleurs dans un mail daté du 14 janvier 2020 et publié dans sa liste de diffusion, l’AFRINIC informe la communauté africaine de l’Internet que “la phase 2 de l’épuisement d’IPv4 a officiellement commencé. C’est la conséquence de la diminution des ressources IPv4 disponibles pour AFRINIC. AFRINIC procédera aux modifications nécessaires de ses systèmes pour limiter la taille des demandes de ressources IPv4 qui peuvent être soumises. De plus, toutes les demandes de ressources IPv4 actuellement ouvertes et supérieures à /22 seront réduites à un /22 et les demandeurs seront informés dans leurs tickets correspondants”. Aujourd’hui, l’AFRINIC encourage ses membres à accélérer le déploiement d’IPv6 sur leurs réseaux.

A l’origine du scandale

En effet, il existe dans le monde moins de quatre milliards d’adresses IP en version 4 utilisables. La majorité de ces adresses IP a déjà été attribuée. Selon les experts, la pénurie mondiale d’adresses IPv4 disponibles les a transformées en une marchandise dans laquelle chaque adresse IP peut se vendre à des prix variant entre 15 $ et 25 $ sur le marché libre. Ce qui a créé un marché juteux pour ceux qui se livrent à l’acquisition et à la revente de blocs d’adresses IP. Mais, expliquent les experts en la matière, cela a également encouragé ceux qui se spécialisent dans la fabrication des spams à travers des blocs d’adresses IP dormants sans autorisation de leurs propriétaires légitimes.

Ernest Byaruhanga, deuxième personne à être recrutée à Afrinic en 2004, et DG de cette institution qui attribue les blocs de ces adresses IP en Afrique, aurait donc jugé utile de tirer profit de cette manne. C’est du moins l’alerte que donne en septembre 2019 le chercheur américain Ron Guilmette après cinq mois d’enquête.

Basé en Californie, Ron Guilmette s’est spécialisé dans la traque aux spammeurs. Il ambitionne de débarrasser l’Internet des spammeurs. Dans ses enquêtes, il constate que de nombreux spams proviennent d’adresses IP dormantes vendues en Afrique. Il signale sans succès ses découvertes à diverses listes de diffusion d’opérateurs de réseau entre 2016 et 2017. Au départ, il pense que ce sont des opérateurs réseau qui sont responsables de la vente de ces adresses IP servant aux spams.

Mais, poussant l’enquête plus loin, il découvre que les adresses IP vendues sont commercialisés avec la complicité d’un agent d’AFRINIC qui dispose d’un pool d’adresses IP disponibles à partir desquelles il attribue des blocs d’adresses IP aux organisations qui en ont font la demande.

Enquête avec MyBroadband.co.za

Avec l’aide de certains journalistes en Ouganda et en Afrique du Sud (MyBroadband.co.za), il persiste dans son enquête et finit par découvrir que les entreprises ou opérateurs réseaux étrangers qui vendent ces blocs d’adresses IP incriminés sont la propriété d’Ernest Byaruhanga ou des membres de sa famille proche. Ernest Byaruhanga aurait donc permis à certaines organisations dans lesquelles il avait des intérêts de modifier les WHOIS de l’Afrinic pour attribuer illégalement des blocs d’adresses IP à ces opérateurs de réseau-là pour revente. Le préjudice subi par l’AFRINIC serait de l’ordre de 54 millions de dollars américains, estime Ron Guilmette.

Parmi ces opérateurs ou entreprises contrôlés par Ernest Byaruhanga, Amiek Holdings et d’IPv4 Leasing. Ces opérateurs réseaux contactaient les compagnies dont les demandes en blocs d’adresses IPv4 avaient été rejetées par l’AFRINIC sous prétexte qu’ils ne se situaient pas en Afrique. Car il faut être établi en Afrique pour solliciter l’achat des adresses IP à Afrinic. C’est par exemple le cas de TotalSend qui, après le rejet de sa demande par l’Afrinic, avoue reçu une offre et payé 2 500 $ (USD) à Amiek Holdings pour un bloc de 1 024 adresses IP. La notation technique du bloc en question étant 196.45.112.0/22.

Dans la base de données WHOIS d’AFRINIC, c’est ITC qui contrôlait le bloc d’adresses IP qui a été vendu à TotalSend. D’après le site web spécialisé krebsonsecurity.com, les recherches dans l’historique d’AFRINIC montrent que ipv4leasing.org est lié à au moins six blocs d’adresses IP considérables qui appartenaient autrefois à une société camerounaise ITC aujourd’hui disparue. Cette société camerounaise opérait également sous le nom d’« Afriq * Access », renseigne le site web.

Les journalistes ont donc découvert que, selon les documents remis par l’administration ougandaise, Amiek Holdings, appartenait à Ernest Byaruhanga et Annette Byaruhanga, tous directeurs et actionnaires à hauteur de 35% chacun. Trois autres mineurs ayant le nom Byaruhanga détenaient 10% chacun, détaille l’enquête de MyBroadband.

Par ailleurs, ils ont découvert que les noms de domaines IPv4Leasing.net et IPv4Leasing.org avaient été enregistrés par Ernest Byaruhanga en 2013. Après les enquêtes approfondies de MyBroadband et de Ron Guilmette, Ernest Byaruhanga qui sera contacté par le média en ligne pour ses réponses restera muet.

Plus tard, Afrinic informera MyBroadband que Ernest Byaruhanga a démissionné. Et comme indiqué au début de l’article, à la suite d’une audience disciplinaire du conseil d’administration d’Afrinic tenue le 13 décembre 2019, à Maurice, Ernest Byaruhanga sera officiellement limogé. Motif évoqué :”faute professionnelle très grave”.

Beaugas Orain Djoyum

(Source : Digital Business Africa, 20 janvier 2020)