OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Articles de presse > Archives 1999-2024 > Année 2023 > Juin 2023 > Les cyberattaques contre le Sénégal expliquées

Les cyberattaques contre le Sénégal expliquées

jeudi 1er juin 2023

Cybersécurité/Cybercriminalité

Outre l’argent qui demeure la principale motivation des cyberattaquants, une autre motivation émerge progressivement depuis le début XXIe siècle : le hacktivisme. Dans ce contexte, les cyberattaques sont perpétrées dans un but de militantisme.

Cette tendance s’est clairement manifestée à travers les récentes cyberattaques qui ont touché les sites du gouvernement. « Nous ne travaillons pas pour l’argent (…). Nous travaillons pour la justice », a précisé Mysterious Team Bangladesh.

Mysterious Team Bangladesh ?

D’après nos recherches, MTB, également connu sous le nom de « cyberguerriers du Bangladesh », serait un groupe hacktiviste bangladais politico-religieux. En début du mois de mai 2023, il a revendiqué la responsabilité de plusieurs cyberattaques, dont certaines en Éthiopie. Selon leurs dires, ces attaques sont motivées par des accusations de soutien aux juifs, à Israël et de torture de femmes musulmanes dans ce pays situé sur la corne de l’Afrique. Mysterious Team Bangladesh est aussi responsable des cyberattaques perpétrées contre Israël, affirmant agir en solidarité avec le peuple palestinien.

Le 29 mai, au moment de la rédaction de cet article, en France, le site de La Poste a été la cible d’une cyberattaque, entraînant une perturbation temporaire de ses services. Cette attaque a été revendiquée par Mysterious Team Bangladesh, le même groupe responsable des cyberattaques dirigées contre le Sénégal.

Mais il fallait s’y attendre…

Le 5 mars 2021, le collectif Anonymous avait en effet alerté le régime en place à la suite des restrictions d’accès à Internet observées dans le pays pendant les « événements du mois de mars », marqués par des vagues de soulèvement.

C’est probablement cette mise en garde contre le Sénégal qui a conduit certaines personnes à penser qu’Anonymous était derrière les cyberattaques subies par le pays depuis le vendredi 26 mai 2023. Cependant, il est certain que le collectif n’a jamais revendiqué officiellement ces attaques. Anonymous est souvent associé à des cyberattaques encore plus graves. Mais en raison de son fonctionnement décentralisé, probablement pour éviter d’être démantelé, n’importe qui peut se revendiquer comme faisant partie d’Anonymous.

Rappelons qu’Anonymous est un collectif de hackers créé vers 2003. Il est considéré comme l’un des dix collectifs de hackers les plus célèbres de tous les temps par le géant de la cybersécurité Kaspersky. Il est connu pour son implication dans de nombreuses cyberattaques à travers le monde. En 2022, le collectif avait déclaré une cyberguerre contre la Russie après son invasion de l’Ukraine.

Les prémices de la cyberattaque

Le 22 mai 2023, aux environs de 20 heures, sur Twitter, un sondage presque passé inaperçu a été lancé par Mysterious Team Bangladesh en vue de préparer ses attaques. Sur les 134 votants, 90 % se sont exprimés en faveur de l’opération, tandis que 10 % y étaient opposés. Enfin, le 24 mai, à la même heure, à l’issue du sondage, le groupe a annoncé qu’il allait bientôt lancer une opération dans le cyberspace sénégalais. À ce stade, les dés étaient jetés.

Le début des hostilités

Le vendredi 26 mai, aux environs de 20 heures, l’opération « #OpSN » a été mise en marche, déclenchant une attaque de type DDoS — déni de service distribué — massivement dirigée contre une vingtaine de sites gouvernementaux. Cependant, les attaquants avaient clairement du mal à mettre tous les sites hors ligne, car certains sont redevenus accessibles quelques minutes plus tard. Pour ainsi se rattraper, vers 23 heures, l’un de leurs membres a lancé un appel sur Twitter, demandant des renforts : « Join the DDoS attack, together we can make a difference ». Et quelques minutes plus tard, une vingtaine de sites en gouv.sn étaient devenus inaccessibles.

Le samedi 27, le gouvernement, par le biais de son porte-parole Abdou Karim FOFANA, a confirmé l’attaque. « Après vérification, il s’agit d’une attaque DDoS », a-t-il déclaré.

Le 29 mai, c’était au tour du Groupe Futur Média de subir les assauts de la Mysterious Team. Les sites Igfm et l’obs ont été mis hors ligne en milieu de matinée. On leur reproche d’avoir publié de fausses informations sur la situation du pays. Les mêmes faits ont également été reprochés au journal LeQuotidien, dont le site est resté indisponible pendant plus de 2 heures le 30 mai, peu avant 7 heures. L’attaque était toujours de type DDoS.

Une attaque DDoS, c’est quoi au juste ?

Une attaque par déni de service (DDoS) se manifeste sous différentes formes et a pour objectif de rendre un site web ou une ressource informatique indisponible en le submergeant de trafic. Afin de mener ce type de cyberattaque, les pirates informatiques commencent par infecter des appareils à l’insu de leurs propriétaires, tels que des ordinateurs ou des objets connectés (IoT). Ces appareils infectés sont ensuite activés pour envoyer un volume élevé de trafic malveillant visant à surcharger, par exemple, la bande passante d’un site et le mettre hors ligne. Ce réseau d’appareils « zombifiés » enrôlés dans le cadre d’une attaque DDoS est appelé un botnet.

Bien que les attaques par déni de service distribué (DDoS) soient fréquentes, elles ne représentent pas les cyberattaques les plus redoutables. En réalité, elles ne sont même pas considérées comme complexes à mettre en place. Car il est possible aujourd’hui d’acheter ou de louer un botnet prêt à l’emploi pour moins de 20 $ sur le Darkweb, permettant à quiconque, même sans compétences techniques particulières, de mener des attaques DDoS.

Les attaques plus dévastatrices, comme les ransomwares, sont bien plus préoccupantes. Un exemple marquant est l’attaque qui a touché l’ARTP en octobre 2022. Ces attaques ont un impact beaucoup plus significatif et peuvent causer des dommages considérables.

En effet, lors d’une attaque de type ransomware, le pirate informatique cible les fichiers de la victime et les crypte, ou exploite des failles de sécurité pour bloquer les systèmes informatiques. Ensuite, il demande le paiement d’une rançon dans un délai fixé à sa convenance, en échange d’une clé de déchiffrement. Lors de l’attaque de l’ARTP, le groupe Karakurt aurait exigé, selon certaines sources, une rançon de 70 000 $, faute de quoi les 102 Go de données qui leur ont été volées seraient divulgués. Quelques jours plus tard, les hackers ont mis leur menace à exécution en publiant toutes les données en accès libre sur leur site Darkweb Karanews.

La plus grande demande de rançon connue à ce jour s’élève à 70 millions de $. Ce montant pharaonique a été réclamé à Kaseya, une entreprise informatique américaine, après que son système informatique a été paralysé par le ransomware REvil. Cette attaque avait eu des répercussions sur près de 1500 entreprises à travers le monde. À la lumière de ce qui précède, il apparaît clairement que le Sénégal ne fera pas exception.

Tout compte fait

Il est crucial pour l’État d’accorder une plus grande priorité à la cybersécurité. Le cadre juridique ne pose pas de problème, car le Sénégal, fidèle à ses habitudes, a adhéré à presque toutes les conventions dans le domaine de la cybercriminalité et de la cybersécurité, notamment les conventions de Budapest et de Malabo.

Depuis 2008, le Sénégal dispose de sa propre loi sur la cybercriminalité, qui a ensuite été intégrée dans le code pénal. Parallèlement, une Stratégie Nationale de Cybersécurité a été élaborée dès 2017, avec une vision à l’horizon 2022. Récemment, le Président de la République a exprimé la nécessité de mettre à jour cette stratégie afin de renforcer la souveraineté numérique du Sénégal.

À notre avis, il apparaît urgent de renforcer les ressources humaines et techniques des structures telles que la DCSSI — Direction générale du Chiffre et de la Sécurité des Systèmes d’Information. Conformément à l’article 2 de son décret de création n°2021-35, cette entité est chargée de mettre en œuvre la politique de sécurisation et de défense des systèmes d’information. Ce renforcement permettrait de mieux faire face à toutes les formes de cyberattaques auxquelles le Sénégal pourrait être confronté. En effet, des cyberattaques plus sophistiquées pourraient cibler à l’avenir des infrastructures plus critiques du pays plutôt que de simples sites web.

Mamadou Lamine Niang DIA, juriste spécialisé en droit du Numérique et auteur d’un mémoire de Master sur la cybercriminalité soutenu en 2021 à l’Université Alioune Diop de Bambey.

(Source : Social Net Link, 1er juin 2023)

Fil d'actu

  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)
  • Quelles différences entre un don et un cadeau ? Burkina NTIC (22 avril 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 2060/2235 Régulation des télécoms
  • 173/2235 Télécentres/Cybercentres
  • 1560/2235 Economie numérique
  • 799/2235 Politique nationale
  • 2235/2235 Fintech
  • 253/2235 Noms de domaine
  • 819/2235 Produits et services
  • 694/2235 Faits divers/Contentieux
  • 362/2235 Nouveau site web
  • 2169/2235 Infrastructures
  • 810/2235 TIC pour l’éducation
  • 91/2235 Recherche
  • 121/2235 Projet
  • 1438/2235 Cybersécurité/Cybercriminalité
  • 868/2235 Sonatel/Orange
  • 782/2235 Licences de télécommunications
  • 132/2235 Sudatel/Expresso
  • 463/2235 Régulation des médias
  • 609/2235 Applications
  • 504/2235 Mouvements sociaux
  • 767/2235 Données personnelles
  • 60/2235 Big Data/Données ouvertes
  • 295/2235 Mouvement consumériste
  • 179/2235 Médias
  • 321/2235 Appels internationaux entrants
  • 761/2235 Formation
  • 46/2235 Logiciel libre
  • 852/2235 Politiques africaines
  • 410/2235 Fiscalité
  • 83/2235 Art et culture
  • 284/2235 Genre
  • 813/2235 Point de vue
  • 480/2235 Commerce électronique
  • 705/2235 Manifestation
  • 156/2235 Presse en ligne
  • 62/2235 Piratage
  • 102/2235 Téléservices
  • 422/2235 Biométrie/Identité numérique
  • 151/2235 Environnement/Santé
  • 159/2235 Législation/Réglementation
  • 167/2235 Gouvernance
  • 834/2235 Portrait/Entretien
  • 72/2235 Radio
  • 342/2235 TIC pour la santé
  • 134/2235 Propriété intellectuelle
  • 29/2235 Langues/Localisation
  • 504/2235 Médias/Réseaux sociaux
  • 922/2235 Téléphonie
  • 95/2235 Désengagement de l’Etat
  • 488/2235 Internet
  • 58/2235 Collectivités locales
  • 207/2235 Dédouanement électronique
  • 509/2235 Usages et comportements
  • 512/2235 Télévision/Radio numérique terrestre
  • 276/2235 Audiovisuel
  • 1370/2235 Transformation digitale
  • 191/2235 Affaire Global Voice
  • 75/2235 Géomatique/Géolocalisation
  • 161/2235 Service universel
  • 330/2235 Sentel/Tigo
  • 87/2235 Vie politique
  • 744/2235 Distinction/Nomination
  • 17/2235 Handicapés
  • 337/2235 Enseignement à distance
  • 336/2235 Contenus numériques
  • 292/2235 Gestion de l’ARTP
  • 89/2235 Radios communautaires
  • 831/2235 Qualité de service
  • 213/2235 Privatisation/Libéralisation
  • 66/2235 SMSI
  • 224/2235 Fracture numérique/Solidarité numérique
  • 1282/2235 Innovation/Entreprenariat
  • 672/2235 Liberté d’expression/Censure de l’Internet
  • 23/2235 Internet des objets
  • 86/2235 Free Sénégal
  • 177/2235 Intelligence artificielle
  • 98/2235 Editorial
  • 12/2235 Yas

2025 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous