Le siège de l’UA, offert en 2012 par la Chine, serait truffé de micros, backdoors et chevaux de Troie.

C’est en janvier 2017 que la Cellule Informatique a découvert que les serveurs étaient saturés tous les jours de minuit et 02h, fait anormal vu que le siège devrait être vide à ces heures. Un technicien s’étant intéressé à l’anomalie s’est rendu compte d’un détournement massif de données internes vers des serveurs hébergés à Shangaï (Chine).

Le bâtiment, livré clef en main, a été entièrement équipé par les Chinois qui ont sciemment laissé des failles dans le système informatique permettant ainsi le l’espionnage et l’accès aux données sensibles de l’UA pendant 6 longues années.

Pour rappel, une backdoor ou porte dérobée en français est une fonctionnalité, inconnue de l’utilisateur, rajoutée à un logiciel ou à un système et permettant d’avoir un accès ultérieur non autorisé. On peut, par exemple sous Windows, ouvrir un port quelconque avec une exécution automatique, à chaque connexion, de l’invite de commandes (cmd) avec un niveau de privilèges élevé donc vous comprendrez qu’il est nécessaire d’avoir un accès à la cible pour implanter une backdoor.

Par contre, le cheval de Troie ou Trojan dans le jargon est un logiciel d’apparence légitime qui contient une ou plusieurs fonctionnalités malveillantes. Son apparence est un leurre pour emmener l’utilisateur à l’exécuter et en arrière plan prendre le contrôle de la cible ou créer une backdoor.

Une remise en question est nécessaire face à ce problème car toutes les infrastructures offertes suivant le même procédé devraient faire l’objet d’une vérification minutieuse mais aussi et surtout il est important que nos gouvernants prennent conscience des enjeux liés à la cyber-sécurité car il est inadmissible qu’en 2018 un diplomate puisse affirmer : « Rien à faire d’être écoutés par les Chinois, eux au moins ne nous ont jamais colonisés, ont soutenu les luttes d’indépendance sur le continent et nous aident économiquement aujourd’hui. »

Nous sommes à l’heure de la Cyber-guerre et la colonisation n’est plus physique mais numérique, celui qui détient l’information détient le pouvoir.

Le fait que ce système de transfert ait pu survivre pendant 6 longues années me fait penser d’une part à la sécurité offensive car si on avait éprouvé le système correctement, après livraison, certaines failles auraient pu être détectées et corrigées ce qui aurait, potentiellement, limité les dégâts. En plus des audits de conformités, les structures privées comme publiques devraient penser, au moins, à intégrer des scans de vulnérabilités périodiques dans leur agenda. D’autre part, comment est-il possible que les techniciens qui sont, normalement, chargés de la supervision du réseau soient passés à coté de ce flux pendant tout ce temps ? La quantité de données transférées doit être tout simplement phénoménale et je ne parle même pas de leur nature car une cinquantaine de Chefs d’Etats et de gouvernements qui se rassemblent ce n’est surement pas pour parler de la ligue de champions.

Il est aussi important de souligner le fait qu’il y ait une simple cellule et non une direction informatique prouve une certaine négligence ou méconnaissance, à mon humble avis, de nos dirigeants sur la question car une organisation internationale de la trempe de l’Union Africaine devrait avoir un système informatique performant avec des responsables informatiques très au fait des menaces cybercriminelles.

Malheureusement l’Afrique est très en retard sur le plan de la sécurité des systèmes d’informations mais osons espérer que cet événement soit un déclic et que des mesures soient prises non seulement au niveau du contrôle des dons venant des pays développés mais aussi dans la mise en place au niveau national, sous-régional et pourquoi pas continental d’organes chargés des questions liées à la cyber-sécurité.

Comme disait l’autre : « L’erreur est humaine mais pour causer un vrai chaos il faut un ordinateur. »

Sérigne Mouhamadane Diop, (C|EH) EC Council Certified Ethical Hacker, Security Analyst, Pentest, Offensive Security, Audit

(Source : Dakar 7, 30 janvier 2018)