Une brèche reconnue, un service à l’arrêt, et un groupe de rançongiciel qui exhibe des preuves. À Dakar, l’incident touche les données les plus sensibles, de l’identité aux biométries.

Le gouvernement du Sénégal a confirmé un incident de cybersécurité visant la Direction de l’automatisation des fichiers (DAF), service manipulant des informations sensibles comme les cartes d’identité nationales, passeports et données biométriques. La DAF a averti la population, 19,5 millions d’habitants, qu’une cyberattaque a imposé une suspension temporaire des opérations. Un groupe de ransomware, Green Blood Group, revendique une intrusion et le vol de 139 Go de données, incluant bases de données de citoyens, biométries et documents d’immigration comme a pu vous le montrer ZATAZ dans la Cyber Émission sur twitch la semaine derniére.

Une administration coupée du pays, et des garanties sous tension

Le Sénégal a officialisé une brèche qui vise l’un des nerfs administratifs les plus sensibles : la Direction de l’automatisation des fichiers. Derrière cet acronyme, un bureau chargé de traiter des informations à haut risque, cartes d’identité nationales, passeports et autres données biométriques. Après l’attaque, l’activité a été suspendue temporairement, signe qu’au-delà de la communication, la priorité a été donnée à la contenir.

La DAF a adressé la semaine dernière une notification à l’ensemble du pays, soit 19,5 millions d’habitants, pour expliquer qu’une cyberattaque imposait l’arrêt provisoire des opérations. Le message public installe une tension immédiate : quand l’organisme qui délivre et gère les titres se met en pause, c’est toute la chaîne d’identification qui ralentit, avec des conséquences pratiques et politiques.

Un haut responsable de la police a indiqué que les services travaillaient au rétablissement des systèmes. Il a aussi affirmé que l’intégrité des données personnelles des citoyens restait préservée. Cette formule, classique en gestion de crise, se heurte pourtant à l’autre récit qui circule en parallèle : celui d’un groupe criminel qui revendique une exfiltration massive. Le ministère des Affaires étrangères, lui, n’a pas répondu aux sollicitations.

À ce stade, l’écart entre « systèmes en cours de restauration » et « données intactes » devient une question de renseignement technique. Une administration peut rétablir un service sans avoir encore consolidé, preuve à l’appui, ce qui a été consulté, copié ou sorti du périmètre. L’incident place donc l’État face à une obligation implicite : documenter, puis démontrer, ce qui s’est réellement passé.

Green Blood, 139 Go revendiqués, et un prestataire exposé

La notification publique intervient après la revendication d’un groupe de rançongiciel se présentant comme Green Blood Group. Les pirates affirment avoir pénétré la DAF et volé 139 Go de données, dont des enregistrements de bases de données de citoyens, des éléments biométriques et des documents d’immigration. Le groupe a diffusé des échantillons censés prouver l’accès aux informations.

Les attaquants ont également partagé un courriel attribué à Quik Saw Choo, directeur général principal d’IRIS Corporation Berhad. Cette entreprise malaisienne a récemment été sélectionnée pour produire les nouvelles cartes d’identité numériques du Sénégal. Dans le courriel daté du 20 janvier, Choo explique qu’un piratage s’est produit le 19 janvier sur deux serveurs de la DAF. Il précise que des données de personnalisation de cartes bancaires auraient été dérobées sur l’un des deux systèmes.

Le contenu décrit une réaction d’urgence : coupure des connexions réseau vers un serveur, changement de mot de passe sur l’autre. Le message ajoute que toutes les connexions réseau avec les missions étrangères et d’autres bureaux ont été interrompues. Cette décision éclaire l’architecture opérationnelle : la DAF n’est pas un îlot, elle échange avec des acteurs externes, diplomatiques et administratifs, ce qui élargit mécaniquement la surface d’attaque et complique le confinement.

Choo indique aussi qu’IRIS travaillait avec des experts malaisiens en cybersécurité et souhaitait se rendre à Dakar le 22 janvier pour approfondir les investigations et engager des « mesures correctives ». Ni la DAF ni IRIS n’ont répondu aux demandes de commentaires, laissant les éléments circuler surtout via la revendication et des recoupements médiatiques.

Un média local rapporte qu’à partir du 5 février, la DAF était hors service depuis au moins cinq jours, et évoque un différend entre le Sénégal et IRIS sur des paiements. Le site web de la DAF restait inaccessible lundi après-midi. Sans conclure au lien de causalité, la concomitance entre tensions contractuelles, arrêt prolongé et incident cyber renforce un risque bien connu : celui d’une dépendance critique à un prestataire au moment même où l’organisation doit réagir vite et prouver sa résilience.

Le groupe Green Blood, apparu en janvier, revendique aussi quatre autres victimes en plus de la DAF. L’émergence rapide d’un « nouveau nom » dans l’écosystème rançongiciel, combinée à une cible aussi stratégique qu’un fichier d’identité, met en évidence une réalité : les bases de données d’identité sont des priorités de longue date pour des acteurs sophistiqués. Le texte cite des cas comparables, en Argentine et en Estonie, rappelant que ces registres concentrent à la fois la valeur criminelle, la pression politique et l’intérêt de renseignement.

Dans ce type d’attaque, l’enjeu ne se limite pas au redémarrage des serveurs : il s’agit de savoir si des identités ont été copiées, si des biométries sont sorties, et comment l’État peut reprendre la main sur la confiance.

En septembre 2025, ZATAZ alertait d’une cyber attaque exécutée par un autre groupe de pirates informatiques. Ces derniers avaient mis la main sur des données d’une autre structure étatique du Sénégal : General Direcrorate of Taxe and Estates (DGID).

Damien Bancal

(Source : [Zataz->https://www.zataz.com/l, 11 février 2026)