Microsoft’s Law Enforcement Requests Report 2013

Il y’a de cela quelques jours, dans sa politique de transparence avec l’utilisation des données utilisateur que l’entreprise traite, Microsoft a publié son rapport semestriel pour les six premiers mois de l’année 2013, récapitulant l’ensemble des requêtes émises par les Agences d’Etat dans le cadre de procédures judiciaires en cours contre l’un ou l’autre des abonnés des services de la firme.

Microsoft_Law_Enforcement_Request_Report

De part ce rapport il advient que 5 pays, à savoir la France, les Etats-Unis d’Amérique, la Turquie, l’Allemagne et l’Angleterre, à eux seul ont émis près de 73% de l’ensemble des requêtes reçues par les services de Microsoft.

Ce qui m’intéresse particulièrement dans ce rapport ce sont les requêtes d’informations émises depuis des pays d’Afrique. Et là le moins qu’on puisse dire c’est qu’il n’y à pas affluence. Les seuls recensés dans le rapport sont la Tanzanie et l’Afrique du Sud, sur un ensemble de plus de 60 pays ayant émis des requêtes !

Ceci me pousse à me poser des questions sur les opérations de nos services judiciaires et de sécurité ici en Afrique. Ce faible tôt de demande d’information serait-il dû  à la non intégration de ces mécanismes dans nos procédures d’enquêtes ? Que dire de nos Agences Nationales de Sécurité Numérique qui très probablement un jour ou l’autre ont eu et auront besoin d’avoir accès à certains détails sur les activités privées en ligne d’un individu (bien entendu, muni d’un mandat judiciaire) afin d’établir, ou pas, sa complicité dans un acte malveillant ou de démanteler un réseau de (cyber)criminels ?

Les détails sur le rapport en question se trouvent par ici

Valdes T. Nzalli

Free Offensive Security Course

off_sec_banner3

Dans le cadre de notre programme de vulgarisation des supports de formation dans le but de renforcer les compétences techniques du maximum de personnes sur la scène locale, nous vous proposons ce programme de formation issu de l’Université d’Etat de Floride, aux Etats Unis. Ce programme a été mis sur pied par deux éminents enseignants à savoir le Professeur Xiuwen Liu et le Professeur W. Owen Redwood. Cette formation a été dispensée au cours du printemps derniers et ses initiateurs ont promis de la mettre continuellement à jour pour une autre session dans la même Université l’année prochaine.

La formation, intitulée « Offensive Security » est disponible en langue anglaise et s’étend sur une période officielle de 15 semaines en moyenne, mais bien sûr, en fonction de vos aptitudes et affinités, rien ne vous empêche de suivre le programme complet en plus ou moins de temps que celui prévu.

Les motivations ayant poussé à la conception de ce cours, telles que données par ses auteurs sont :
“The vision of this class is to fill the common gaps left by most University level security courses, by giving students a deep technical perspective of how things are attacked and hacked. The motivation of teaching such subject material was twofold: primarily to produce skilled students geared to become penetration testers and/or incident responders; and secondarily to hopefully raise the bar for security courses (as there is a real dearth of skilled security professionals coming out of college)”

Ce qui répond grandement à notre besoin car plusieurs ici au Cameroun (et dans d’autres pays) ont eu à faire des cours à l’Université, généralement très concentrés sur les aspects théoriques de la cyber sécurité, ce qui est bien des fois insuffisant pour une insertion professionnelle réussie. Ce programme a donc en partie, pour objectif de combler ce vide et permettre de produire des Professionnels de la Cybersécurite capables de comprendre et d’appliquer les techniques de haut niveau pour résoudre des problèmes techniques potentiellement complexes.

Les supports de cours sont fournis sous forme de présentation téléchargeable au format de votre choix (PDF, PPTX, ODT,…). En plus pour chaque module de cours est disponible une vidéo d’une dure d’environ 1 heure de temps retraçant en « live » la présentation. A la fin de certains modules des exercices sont fournis afin d’évaluer les apprenants. Pour les étudiants de la dites institution, un projet de fin de cours est même disponible. Le programme détaillé de la formation est accessible par ici : Offensive Security Class Syllabus.

Course Objectives :
Upon successful completion of this course of study, the student will:

  •  Know how to identify software flaws discovered through binary and source code auditing
  • Know how to reverse engineer x86 binaries
  • Know how to exploit software flaws (such as injection flaws, buffer overflows)
  • Know how to perform network and host enumeration, as well as OS and service fingerprinting
  • Know how to perform network vulnerability analysis, penetration and post exploitation
  • Know how to effectively report and communicate all of the above flaws”

Tous les supports de formation ainsi que les exercices et les informations complémentaires sont disponibles sur le site de ses concepteurs à cette adresse : Offensive Security Class Website. Notons par ailleurs qu’il vous est possible de télécharger directement le fichier torrent contenant uniquement l’ensemble de toutes les vidéos de la formation (sans les diaporamas et les exercices)

Note : Les supports de cours étant essentiellement en anglais il est nécessaire d’avoir un certain niveau de compréhension de la langue pour pouvoir les suivre. Par ailleurs, nous vous conseillons de travailler avec ces supports en formant des groupes (amis, collègues, club Info/Sec) afin de vous motiver d’avantage et de vous entraider lors de l’apprentissage.

Valdes T. Nzalli

PRISM : Au delà du Scandale !

Dans mon dernier billet je vous parlais du « scandale » actuel occasionné par la publication de documents classés « top secret » de la NSA par un ancien employé de son sous traitant Booz Allen Hamilton dénommé Edouard Snowden. Actuellement toujours dans sa quête d’un asile politique et du moyens de jouir de l’asile qui lui est proposé en Amérique Latine, son sort reste pour le moins incertain. [1]

Loin du débat autour des raisons et frontières de l’espionnage électronique (qui n’est qu’un pan du phénomène), loin de la polémique autour de la méthode utilisée par Snowden pour divulguer l’information, loin des récupérations politiques et du tapage médiatique occasionnés par ce dossier, quelques détails semblent tout de même assez instructifs et révélateurs : le « comment » de l’exfiltration de ces données normalement gardées sous haute surveillance (électronique et physique) !

Dans le principe général de sécurité périmétrique on a plus tendance à traiter tout ce qui est hors du réseau comme élément (potentiellement) « hostile » tandis que ceux à l’intérieur jouissent facilement de plus de privilèges et d’une certaine relation confiance. Mais voilà que faire lorsque le mal se trouve plutôt à l’intérieur ?! Ce phénomène est représenté par l’appellation, en anglais,  « Insider Threat » !

Le scandale occasionné par les révélations sur l’affaire PRISM est un cas pratique d’Insider Threat. Les mesures de sécurité de nos entreprises prennent-elles suffisamment en compte la protection contre les menaces (fraude, malversation, déstabilisation,…) internes ?! Quels sont les mécanismes qui sont mis en œuvre pour prévenir, détecter et limiter leur impact ?!

Dans le même ordre d’idée la gestion des utilisateurs avec privilèges élevés pose aussi problème ; Comment s’assurer qu’un utilisateur, avec ses droits d’accès élevés, à l’exemple des Administrateurs systèmes et réseaux, n’est pas entrain d’en profiter pour bypasser certaines mesures de sécurité et mettre la main sur des données hautement sensibles tant pour l’entreprise que pour ses partenaires et même de l’Etat, comme ce fut le cas ? Et que dire de tous ces Patrons, chefs d’entreprises et autres Managers (pas toujours réputés pour savoir protéger les identifiants) qui ont généralement (du moins dans la plupart des PME) un accès total à TOUT dans l’entreprise que ce soit technique, financier ou managérial, au cas où leur credentials seraient compromis (et rassurez vous, ça arrive bien des fois ) à l’exemple de Snowden qui a cloné les accès d’une personne hiérarchiquement mieux placée pour avoir accès à ces informations, que faire face à ce type de situation ?! [2]

C’est dans ce genre de scénario qu’interviennent les solutions de gestion d’identité et d’accès (IAM = Identity and Access Management). Grosso-modo, elles permettent de gérer qui a droit à quoi ainsi que les limites d’usage de ce droit. Ce serait bien naïf de penser qu’une boite du calibre de la NSA ne possède pas de solution d’IAM. Toutefois, leur Système Informatique bien qu’étant bien outillé, hautement sécurisé et tout a quand même permis à un individu d’accéder, à plusieurs reprises, sans attirer l’attention de personne, à certains dossiers très sensibles, sous la cape d’une autre personne (ID Theft. Il a certes utilisé les accès d’un utilisateur avec privilège mais n’empêche que l’accès à toute donnée plus ou moins sensible dans un Système d’Information qui se respecte doit TOUJOURS être journalisé et les logs sauvegardés de façon non altérable. [3]

C’est assez curieux qu’une agence dont l’une des missions principales est de TOUT collecter sur TOUT pour ensuite analyser n’ait pas appliqué la même formule pour ses affaires internes, pas assez en tout cas. Il y’a quelque temps le Général Keith Alexander, patron de la NSA, à l’issu de ce scandale à annoncé qu’ils allaient mettre sur pieds un nouveau procédé nécessitant la combinaison de deux personnes (au lieu d’un seul comme c’est le cas actuellement) afin d’avoir accès à des données critiques. Comme l’ont relevé plusieurs Experts du domaine, c’est peux être bien (mieux que rien en tout cas) dans un début mais que faire en cas de complicité des deux ou de menaces (chantage et autres) du second membre du binôme ? D’où la nécessité de trouver une solution pérenne pour ce genre de problématique.

A mon avis, quelque soit la solution, elle devra prendre en compte le fait de déjà limiter le nombre d’intervenants potentiels car moins il y’a de personnes pouvant avoir accès plus le risque de fuite est réduit. A notre tour, dans nos entreprises quelles sont les personnes pouvant avoir accès aux informations sensibles ?! De quel type de privilège d’accès jouissent ces personnes ?! Pouvons nous avec exactitude savoir qui à eu accès à quoi ? quand ? depuis où ? et quel type d’accès (copy, ecriture, modification, suppression, …) est ce que la personne à eu ? Quid des dispositifs de DLP (Data Leak Prevention) ? Avons nous des moyens de monitorer toute l’activité de nos utilisateur (ou du moins celle en relation avec les données sensibles) ? Pareil pour les logs de nos applications, sont-ils eux aussi archivés et analysés ?

Quelques piste qui réduiront considérablement les risques de fuite de données interne :

  • Identifier les données sensibles ainsi que leur(s) emplacement(s)
  • Elaborer les process : c’est à dire définir qui à droit à quoi, quand et depuis quel Poste / Segment du réseau / Type de connexion / Adresse / ..
  • Implémenter une solution d’Identity and Access Management permettant d’appliquer les workflows de l’entreprise (tel que défini dans le précédent point) et une gestion plus flexibles des droits et accès.
  • Journaliser, Monitorer et Analyser (Applicatifs, Systèmes, Réseaux,…): cette étape est doublement utile, premièrement dans la détection d’un incident éventuel, et deuxièmement en cas d’enquête ou de reconstitution des faits. [4]

Nul besoin de préciser ici qu’avoir un personnel compétent et régulièrement recyclé est de rigueur. Soyons clair, ceci ne nous mettra pas à 100 % à l’abri des risques de fuite de données, mais nous épargnera d’un quantité considérable de risques potentiels ; car rappelons-le une fois de plus, la Sécurité des Systèmes d’Informations, loin d’être un produit en soi, est avant tout une démarche marquée par plusieurs jalons.

Valdes T. Nzalli

Liens utiles :

[1] Je m’appelle Edouard Snowden, j’ai voulu un monde juste !
[2] Insider Threat Sheet (PDF)
[3] Network Security Fundamentals: Monitor Everything
[4] Six tips for building a successful SIEM strategy

Souveraineté Numérique et Raison d’Etat

Vous l’aurez sans doute remarqué, le buzz depuis les semaines passées est aux récentes révélations d’actes d’espionnage et de surveillance massive orchestrés par la NSA (National Security Agency) des USA, mis au grand jour par un ancien employé de la CIA travaillant chez un sous-traitant de la NSA à Hawaï par le truchement des quotidiens britanique « The Guardian » et Américain « Whashington Post ». Ce programme baptisé « PRISM » aurait vu le jour depuis 2007 et il en ressort que les Etats Unis ne seraient pas les seuls bénéficiaires des informations collectées. Une compilation succincte d’informations au sujet du programme PRISM est disponible sur le site de Qualys [1].

soldantSuite à tout ceci la première question qui vient à l’esprit c’est de savoir si un programme comme   PRISM (car il y’en a probablement d’autres pas nécessairement connus du grand public) est-il légal ? Après les sorties du président Barack Obama et du Directeur de la NSA, il advient que jusqu’à présent ce programme est connu et approuvé par la loi… aux USA ! Du coup on se demande, Qu’en est-il du reste du monde qui n’est pas Américain/ne vivant pas aux USA et dont les informations transitent et sont traitées par les plateformes incriminées (Facebook, Microsoft, Skype, Google, Apple, …) ?

De par l’évolution des TIC, on retient que la surveillance et l’espionnage des communications est un fait avéré et répandu (à tort ou à raison) et il y’aura toujours des moyens/procédés/solutions de plus en plus subtiles pour permettre aux gouvernements de le faire. Personnellement, tout ce buzz me semble un peu surfait, mais bon, le grand public découvre que l’eau chaude chauffe ! Par contre l’une des choses qui m’a le plus marqué c’est que suite à cette déclaration selon laquelle l’administration Obama via ses services secrets n’espionnent QUE les étrangers, l’enthousiasme de plusieurs agitateurs/agités a chuté ! Comme quoi l’espionnage n’est mauvais que si et seulement si il inclue comme cible les citoyens Américains.

Il est important de noter que très peu de Gouvernements/Organisations ce sont sentis concernés par cette nouvelle, bien que quelques uns ont tout de même réagit à l’exemple de la Norvège qui, par son Secrétaire d’Etat, a tout de suite réclamé aux Officiels Américains de plus amples informations afin de savoir comment ses citoyens sont affectés par ce programme. Quelques temps après c’était au tour de l’Union Européenne, via sa Commissaire Chargée de la Justice, de monter au créneau concernant cette affaire en exigeant que la vie privée des citoyens européens soit aussi préservée comme celles des Américains au cours de ce programme[2]. Coté Africain, aucun Etat, ni l’Union Africaine ne s’est senti particulièrement concerné ! Nothing… nada… rien… jusqu’à présent vu le silence qui règne ; Faut bien croire que ça ne nous gêne pas vraiment. Et puis, c’est pas trop comme si ça date d’aujourd’hui que nos gouvernements Africains n’osent demander des comptes aux « grandes puissances » ! d’ailleurs que rien n’exclue qu’ils ne soient au courant de la chose depuis longtemps  ou qu’ils n’aient leur part de programmes similaires déjà opérationnels (après tout, ne dit-on pas « tout le monde espionne et surveille » ! Dire que ces dernières semaines nous avons eu et aurons droit à plusieurs événements d’envergure ici en Afrique portant sur Internet, son rôle dans notre développement et sa gouvernance ; J’ose croire qu’au cours de toutes ces rencontres le sujet ait été à l’ordre du jour d’un quelconque atelier !

Je vois ici une affirmation (abus?) d’une position dominante, vu que tous les opérateurs cités sont essentiellement des firmes Américaines dont plusieurs autres entreprises et individus de part le monde en dépendent. Qui pourra y faire quoi ?! Personne ! Vous comptez les boycotter ?! J’en doute en tout cas pas de ci tôt avec toutes les données qu’ils possèdent déjà et la dépendance (vitale?) par laquelle ils vous tiennent. Et si bien même quelques uns les boycottaient, le gros de leurs clientèle sera toujours intact. Quelqu’un d’autre aurait dit qu’il s’agit d’un cercle vicieux !

Tout ceci a mon avis relance en partie le débat sur la Souveraineté Numérique des Nations/Organisations régionales. Allant de la fabrication des matériels de nos Infrastructures à la production de solution logicielles pérennes sur notre sol en passant par la formation, l’encadrement et la mise en service du personnel qualifié. En Europe, ils en sont déjà déjà par exemple à affiner leur Stratégie Globale sur le Cloud [3] ainsi que leur projet de Loi sur la vie Privée devant s’appliquer dans leur espace géographique ainsi qu’à tous leurs ressortissants. Entre temps ici en Afrique qu’avons nous ?! Bah rien pour l’instant ! Une pensée générale dit : « Celui qui a l’Information a le Pouvoir » ! je trouve qu’elle cadre bien avec cette situation qui nous sied.

Nul besoin de mentionner les retours positifs que cela pourrait avoir sur l’ensemble du continent passant de la réduction du taux de chômage des jeunes à la création de la richesse via la commercialisation de nos solutions locales, l’impact sur le développement global et bien d’autres ; bref on y gagnerait sur toute la ligne.

Bien sûr, être le moins numériquement dépendant ne nous mettra pas entièrement à l’abri des grandes oreilles des Agences de Renseignement occidentales (et Asiatique), mais ce sera déjà un pas en avant car rappelons le, la protection de l’information n’est pas un produit en soit, mais tout un processus marqué par plusieurs jalons.

Note : Dans ce billet je ne me préoccupe pas de savoir comment la NSA procède pour obtenir les données de ses « fournisseurs ». De plus il n’est pas question ici du bien fondé d’une surveillance de l’Internet et encore moins de savoir si nos propres Etats ne possèdent pas de mécanismes similaires.

Liens Utiles :

[1] Que sait-on exactement sur PRISM ?
[2] Espionnage : Bruxelles tance Washington
[3] New strategy to drive European business and government productivity via cloud computing
[4] Souveraineté Numérique : Cas de l’Afrique
[
5] Comprendre le programme « Prism »

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 2 : CIIP

Suite à la première partie de ce retour sur le 3rd CTO Cybersecurity Forum, (qui est disponible par ici) dans l’après midi du Jeudi 25 Avril, il y’a eu deux tracks au choix et le nôtre fut de participer au workshop sur la Protection des Infrastructures d’Information Critiques (CIIP – Critical Information Infrastructure Protection) mené par David POLLINGTON de Microsoft Security en partenariat avec le FIRST (Forum for Incident Response and Security Teams).

D’entrée de jeu, le maître de séance à tenu à préciser que certes il représente Microsoft, mais au cours de l’atelier il ne s’agira nullement de vendre un quelconque produit de la firme qui l’emploi, mais plutôt de partager sur l’état de l’art et les bonnes pratiques pour la CIIP et de ce qui est fait chez Microsoft pour y parvenir.

Cet Atelier était divisé en deux parties :

  • Critical Infrastructure Protection : Concept and Continuum : portant sur la définition et les contours du concept d’Infrastructures Critiques (CI Critical Infrastructures)
  • A Framework for Critical Information Infrastructure Risk Management qui nous proposait un ensemble de processus dédiés à l’identification et la gestion des risques dans nos CIIs (Critical Information Infrastructures).

A cet effet, deux manuels nous ont été remis, chacun portant sur un partie du workshop.

Lorsqu’on parle de CIIP, il faudrait déjà pouvoir différencier ce qui est Critique de ce qui ne l’est pas. La notion de criticité étant variable d’un État à un autre, il n’existe pas de modèles figés là dessus. Toutefois, certains domaines figurent dans plusieurs modèles/Catalogues d’Infrastructures Critiques à l’exemple de l’Energie, les Finances, l’Eau, les Transports, l’Alimentation, la sécurité publique, … La figure suivante représente un aperçu des secteurs jugés critiques dans quelques pays.CII_Sectors_By_Countries

De nos jours, avec les systèmes presque tous automatisés et interconnectés, nos Infrastructures critiques ou non dépendent de plus en plus de l’IT. Toutefois, lorsqu’on parle de CIIP, il ne s’agit pas seulement d’une protection contre les fléaux dont l’IT serait le vecteur, notamment les cyberattaques, mais de tout type de facteurs pouvant mettre à mal nos infrastructures quelle qu’en soit l’origine à l’exemple des Attaques Terroristes, les Catastrophes Naturelles, les Guerres, et bien d’autres situations chaotiques du genre.

La protection des Infrastructures Critiques est intimement liée à 4 points stratégiques à mettre en œuvre :

  •  Des Politiques et Plans de Confiance :

Ce besoin d’un climat de Confiance devra remplir les trois critères suivants:
– Construire et renforcer des partenariats de coopération forte entre les parties prenantes,
– Etre adaptable et évolutif, répondant aux changements en cours dans les profils des menaces
– Contenir des jalons et paramètres qui permettrons de suivent le déroulement du programme de Protection des Infrastructures Critiques.

  •  Des Opérations Résilientes

la Résilience dans ce cas est la capacité à pouvoir anticiper ou se protéger contre les risques/attaques significatives et de réduire au minimum la durée et l’impact de l’incident subit. La Résilience des Infrastructures Critiques permet donc non seulement de se protéger des risques éventuels, mais aussi, et surtout de pouvoir les gérer de façon optimale pour un retour à la normale dans les plus brefs délais. Cela ne peut se faire sans les habitués des exercices périodiques afin de tester les capacités de réaction aux incidents, impliquant ainsi les gouvernements, les fournisseurs et les entreprises travaillent ensemble pour permettre d’évaluer de manière appropriée, d’atténuer et de retourner à la normale après des attaques.

  • L’apport d’Investissements et de l’Innovation

Le plan de Protection des Infrastructures Critique doit être constamment à jours des dernières menaces et tendances du domaine de la sécurité. Raison pour laquelle les Personnes, Processus et Technologies doivent être mis en exergue lors de la définition des activités, programmes, formations et travaux de recherche et le développement lié à la CIP. Il est important de faire des investissement sur le long terme dans les recherches en Sécurité afin de pourvoir répondre au besoin sans cesse croissants des Infrastructures Critiques dans un monde interconnecté.

  • Le Partage d’Informations et une Collaboration franche :

Les 3 premiers Critères cité plus haut, sont mis ensemble grâce à une bonne collaboration et un partage d’informations entre les différentes parties prenantes (partenaires). Ces Echanges et Partages font appels à plusieurs acteurs parmi lesquels les organisation gouvernementales et non-gouvernementales, les acteurs privés et aussi les entités étrangères(InterPol, ITU, CTO, FIRST,… )

la figure ci dessous représente la structure éclatée des 4 étapes clés citées plus haut ainsi que leurs sous-ensembles

CIP_Continium

Suite à ces axes stratégiques pour la Protection des Infrastructures Critiques (Critical Infrastructures Protection – CIP) Microsoft a mis sur pied un framework permettant une gestion intégrale des Risque liés à ces actifs. Ce framework se divise en 5 étapes consécutives définies tel que suit :

1- Déterminer l’étendue de la Gestion des Risques

Cette phase permettra de définir la portée appropriée ainsi que la les objectifs et les activités pour la gestion des risques. Elle se subdivisera en 3 sous-étapes :
– Trouver un consensus avec les parties prenantes sur la vision et la mission de l’étude, ceci en déterminant ce qui doit être protégé et pourquoi.
– Enoncer les buts spécifiques de sécurité et de résilience, ainsi que les objectifs et assurances
– Identifier les services essentiels

Relation_Between_CII_And_Cybersecurity

2- Identifier les fonctions des Infrastructures d’Information Critiques

La détermination des fonctions des Infrastructures d’Information Critiques est la seconde étape du plan de gestion des risques des CIIs. Il est question ici pour les parties prenantes d’avoir un dialogue ouvert sur la criticité des actifs et ainsi, conjointement, définir quels éléments d’Infrastructures d’Information, quelles fonctions critiques et quelles ressources clés sont nécessaires pour le maintien des services vitaux du Gouvernement, de l’économie et ainsi que pour assurer la sécurité publique.

3- Analyser la chaîne des valeurs des fonctions critiques ainsi que les interdépendances

Les services, processus et fonctions essentielles n’étant pas des entités cloisonnées, mais plutôt composées de plusieurs sous-ensembles étroitement liés, comprendre cette complexité et ces chaînes de liaisons interdépendantes ne sert pas juste à analyser les menaces, les vulnérabilités et leurs conséquences, mais aussi et surtout, permet d’identifier les parties prenantes et les fournisseurs stratégiques des chaînes de valeurs concernées. A titre indicatif, la figure suivante représente un aperçu de ce à quoi cette étape peut ramener :
CII_Value_Chain

4- Évaluer les risques des fonctions critiques

Cette étape se concentre spécifiquement sur les menaces et vulnérabilités des fonctions critiques. En matière de CII, le Risque est fonction de la menace, de la vulnérabilité et de leur conséquence. Ceci se traduit par l’équation : Risk = ƒ(Menace, Vulnerabilité, Consequence)
Dans cette équation :
– Menace fait allusion à tout facteur naturel ou Humain
– Vulnérabilité signifie ici une faille ou manquement qui peut être exploitée par une menace
– Conséquence encore appelé « Impact » fait référence aux coûts, pertes ou résultats provenant de l’exploitation réussie d’une vulnérabilité par une menace.

5- Hiérarchiser et traiter les risques des fonctions

Prioriser et traiter de façon continuelle et permanente les risques liés aux fonctions critiques de nos infrastructures débouche sur 4 éventualités :
– L’atténuation de l’impact/effet du risque
– La Prévention du risque
– Le Transfert du risque (en cas d’assurance par exemple)
– L’acceptation ou Rétention du risque consistant à valider l’éventualité et l’impact d’un risque sans rien faire pour le contrer.

En note de fin, le formateur rappelle que la Gestion des Risques des CIIs n’est pas un état statique, mais un Processus Continu appuyé par la culture de l’activité de gestion des risques en cours tout au long de chacune des étapes du CIP Continuum. C’est sur cette note que prit fin cet atelier très instructif sur la Protection des Infrastructures d’Information Critiques.

Après cela, il nous vient à l’esprit quelques questions notamment savoir Combien de pays Africains ont déjà mis en œuvre ce type processus de Gestion des Risques sur leurs Infrastructures d’Information Critiques? bien plus, combien d’entre eux ont seulement terminé avec la première étape de ce type de framework? Qu’en est-il du Cameroun, sommes-nous conscients à ce sujet? Beaucoup de travail doit être fait, mais il n’est pas trop tard!

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Sources :

1- Microsoft Trustworthy Computing : Critical Infrastructure Protection : Concepts and ContinuumGlobal Security Strategy and Diplomacy
2- Microsoft Trustworthy Computing : A Framework for Critical Information Infrastructure Risk ManagementGlobal Security Strategy and Diplomacy

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 1

La semaine passée, s’est tenu au Palais des congrès de Yaoundé le 3e Forum sur la Cybersecurité organisé par le Commonwealth Telecommunications Organisation (CTO). J’ai eu l’occasion de prendre part a cet événement grâce à l’assistance du comité d’organisation du CTO Event, qui a bien voulu octroyer à l’organisation non-gouvernementale œuvrant dans les domaines de la Cybersécurité et la sensibilisation des populations au Cameroun nommée « Cameroon Cyber Security (2CS) » [1], un pass d’entrée gratuite. A titre Indicatif, rappelons que l’accès aux différents ateliers était payant, de l’ordre d’environ 130.000 FCFA et plus par personne, en fonction de l’affiliation du participant. Je tiens donc par la présente à remercier le comité d’organisation du CTO Cybersecurity Forum pour leur encouragement à notre initiative locale.

Le site de la conférence étant dépourvu de connexion Internet, ce qui est relativement curieux d’autant plus qu’Internet s’était taillé la part belle comme sujet, il nous a été impossible de livetweeter l’évènement dans son intégralité. Toutefois, il suffit de faire une recherche sur le hashtag (mot-dièse ? ) #CTOSecure sur Twitter pour avoir en substance un fil d’actualité sur les différents ateliers qui se sont tenus. ???????????????????????????????

En prélude à la conférence principale, il s’est tenu du Lundi 22 au Mercredi 24 Avril, un atelier portant sur la Protection des enfants en ligne. N’étant arrivé sur le site de la conférence que le Mercredi 24, je n’ai pas eu l’occasion de prendre part à cet atelier. Toutefois, les présentations passées lors de cette session sont accessibles en ligne sur le site du CTO [2] ; elles portaient notamment sur les mesure prises par les pays membres du Commonwealth pour la protection des enfants dans les services en lignes et un partage d’expérience sur l’implémentation de ces programmes avec des cas pratiques pour la Gambie, le Nigeria, l’Ile Maurice, le Ghana, la Serra Leone et le Cameroun.

Le Jeudi 25 marquait le début proprement dit du Forum avec les messages d’ouvertures et de bienvenue des hauts représentants des différentes instances participant à l’événement (ITU, Gouvernement du Cameroun, ART,…). Cette séquence d’ouverture s’est suivie des différents keynotes animés par plusieurs hauts profils experts dans leurs domaines, chacune passée en mode « Fastrack » de 15 minutes.

Au cours de ces différentes Keynotes, nous avons eu droit tour à tour aux interventions du Professeur Tim UNWIN, Secretaire General du CTO, sous le thème : « Cybersecurity in the Commonwealth: Setting the stage  ». Il était question là d’attirer l’attention du public et par ricochet des Etats membres du Commonwealth sur la nécessité et l’importance de la mise en œuvre dans chacun d’eux d’un programme de Cybersécurité opérationnel et efficient ceci en rappelant à tout un chacun que la Cyber Sécurité ne concerne pas que nos ordinateurs, mais s’étend à tout les terminaux des TIC (Smartphone, Tablettes, appareils mobiles, domotique,…). L’orateur a ainsi introduit l’atelier portant sur la protection des Informations des Infrastructures Critique qui allait avoir lieu dans l’après midi et qui fera l’objet de notre prochain article.

Suite a cette keynote très enrichissante, c’était au tour de Jamie SANDERS de nous entretenir sur le thème : « Cybergovernance and Growth  » , où il a été clairement démontré que la maitrise du cyberespace est étroitement lié à la croissance d’une Nation.

DAVID POLLINGTON dans sa présentation : « Critical Information Infrastructure Protection: Implications for developing countries  » nous a ainsi, entretenu sur les problématiques et perspectives liés à la protection des Informations des Infrastructures Critiques au niveau étatique pour les pays en voie en de développement. En effet, la plupart de ces pays sont devenu des plates-formes d’expansion et de pivot pour le cybercriminels, mettant ainsi en risque l’intégrité des CIIP. Cette présentation a été plus approfondie lors de l’atelier sur la protection des Information des Infrastructures Critiques, toujours animé par David Pollington en partenariat avec l’equipe du FIRST (Forum for Incidence Response and Security Team).

Les présentations de Alex SERGER sur « Cybercrime: The Cost of Crime—The Benefits of Cooperation  » et de Mario MANIEWICZ « Cyber-governance: Towards a Global Approach on Cybersecurity  » ont remis en avant un aspect majeur dans la lutte contre la Cyber Criminalité : Le partage d’Information. Il est de ce fait capital pour les différents intervenants, tant nationaux qu’internationaux et non-gouvernementaux de pouvoir établir des process de partages d’Intelligence face aux menaces et attaques présentes sur chacun de leurs réseaux respectifs, ceci afin de générer un climat de cyber prévalence global. En effet, la cyber sécurité étant un processus englobant plusieurs maillons de la chaîne, sans une vision et une adoption de mesures globales, les cyber criminels pourront toujours se faufiler entre les mailles du système, exploitant ces divergences de process et lois à leur avantage. Ces keynotes ont été l’occasion de faire un retour sur la Convention de Budapest ainsi que de son adoption au sein des différents Etats de part le monde. L’idée principale ici était « Coopération et Partage ».

Je ne saurais passer sur cette partie sans vous parler du programme AfricaCERT [3] présenté par Pierre Dandjinou sous le thème : « Promoting Cyber security in Africa  » où il était question pour lui de présenter l’évolution de cette initiative commune depuis sa genèse jusqu’à son état actuel ainsi que ses

AFRICACERT

réalisations antérieures et celles à venir. Il s’agit là d’un programme très prometteur grâce auquel l’écosystème de la Cybersécurité en Afrique à beaucoup progressé (création de CERT/CIRT nationaux, Ateliers de formation à la Détection et Gestion des Incidents de Sécurité organisés chaque année, Session d’échange de bonnes pratiques entre nos CERT locaux et des Organisations Internationales partenaires –Team Cymryu, JCERT, FIRST,… – Projet de loi sur la Cybersécurité soumis à l’Union Africaine, …).

C’est sur ces keynotes que s’achevait la première partie de cette journée. La seconde partie fera l’objet de notre prochain article et portera sur le Workshop intitulé : « A practical approach to Critical Information Infrastructure Protection  »

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Source :

[1] Cameroon Cyber Security

[2] CTO Cybersecurity Forum Presentations Repository :

[3] AfricaCERT Website

Sécurité des Données au Cameroun : une affaire d’Hommes!

Il y’a une dizaine d’années il a été annoncé via décret présidentiel la création de l’ANTIC [1] (Agence Nationale des Technologies de l’Information et de la Communication). Techniquement ce fut une avancée dans le bon sens. La dite agence avait dès sa création un cahier de charges sous forme d’attributs qui lui ont été affectés ; Et justement parmi ces attributs il est stipulé qu’elle est en charge de la Sécurité des Systèmes d’Information des Administration publiques et des Infrastructures critiques de la Nation.

Mais voilà, je me demande, combien de Systèmes d’Information Ministériels jusqu’à ce jours ont-ils été validés par l’ANTIC ?! Très peu surement, en espérant qu’il y’en ai un. Combien de sites web de représentations étatiques sont-ils contrôlés par l’ANTIC ?! Combien d’Infrastructures de fournisseurs d’Accès Internet ont-elles fait l’objet d’Audit de Conformité et de Sécurité de la part de l’ANTIC ?! Faire des lois c’est bien, les appliquer c’est primordial.

Il suffit de faire un tour dans nos administrations pour avoir un aperçu du niveau d’Insécurité des informations qui y sont traitées. Et les cœurs d’Infrastructure, c’est encore plus de désordre avec chaque prestataire venant faire ses installations sans pour autant avoir état des configurations présentes faites par d’autres consultants/prestataires ! Un désordre total où le mot traçabilité n’est pas le bienvenu.

Avec ce genre de choses comment peut-on aspirer à se protéger des menaces réelles et « orientées » ? Comment peut-on être en train de parler de Sécurité de notre Cyber espace quand nous n’avons pas la maîtrise de nos propres Intranets ?! Tout commence par-là, à savoir comment sont gérés nos réseaux Internes, car vu l’état actuel des choses, le risque d’une menace de l’intérieur est plus grand que celui d’une menace externe. !

Il y’a quelques temps encore on nous annonçait sous grandes pompes l’acquisition d’une solution pour la mise en œuvre de notre propre Infrastructure à Clé Publique (PKI)[2]. Selon le tapage médiatique qui en découle cette PKI ouvre une « nouvelle ère de sécurité des échanges électroniques et du cyberespaces Camerounais ». Mais je m’interroge, certes il est bien d’assurer l’authenticité des intervenants dans nos transactions électroniques, mais n’est-il pas plus opportun de savoir déjà s’en servir ?! Comment comptons-nous garantir la sécurité des échanges et l’authenticité des parties prenantes quand l’autorité en charge de la chose n’arrive pas à gérer ses propres certificats de sécurité ?! [3]

Je vois là une fois de plus un problème Humain. C’est bien beau d’avoir toutes les avancées technologiques, mais ce serait plus utile de savoir les exploiter. Les autorités en charges de ce genre de projets disposent-elles des ressources humaines compétentes et en quantité pour assurer leur suivi ?! Pour l’instant ce n’est pas encore le cas. Et là on se retrouve dans la position de celui achète une voiture avant de réfléchir sur comment aller à l’auto-école pour apprendre à s’en servir !

Depuis plus d’une semaine le site web du Ministère des Poste et Télécommunication [4] ainsi que plusieurs autres dépendant du « .gov.cm » sont inaccessibles.minpostel_gov_cm_dow

Ce qui est encore plus grave c’est le manque de process pour les remontées d’incidents. Une infrastructure est down et il n’y a personne à qui remonter l’information !  remonte_incident_gov_cm

Et quand bien même une personne serait avertie, quel est le temps mis pour réagir ? N’est-ce pas ironique et triste ça ?! La Sécurité de l’Information c’est aussi de garantir la disponibilité de nos données et là, nous avons (une fois de plus) failli.

En 2013 il est inconcevable que nous nous retrouvions encore dans ce genre d’anarchie. Rappelons-le, la Sécurité des Systèmes d’Information est une démarche et non un produit ! Si nous prenons le temps de poser les bonnes bases cela sera plus productif que d’acquérir tous les jours des « produits » (à des coûts exorbitants, et là c’est un tout autre sujet) qui ne nous apportent que très peu sinon aucune valeur ajoutée, à cause du fait que les conditions minimales requises ne sont pas réunies pour une exploitation judicieuse des dits « produits ». Par bonnes base j’entends là :

  • La formation/Recyclage des ressources humaines affectées à ces programmes/Infrastructures
  • Le renforcement des effectifs car jusqu’à présent ils sont assez réduits
  • L’établissement et le respect de procédures de fonctionnement qui sont indépendantes des personnes affectées afin d’éviter les Single Point of Failure (Remontée d’Incident, gestion de crises, continuité d’activité,…)
  • L’application effectives des mesures et décrets publiés solennellement ; que chaque organisme en charge assure effectivement ce qui lui est attribué comme objectifs.
  • Une sensibilisation du personnel non technique de nos administrations
  •  …

Comme on fait son lit, on se couche dixit un sage. La balle est dans notre camp.

Reférences :

[1] Site ANTIC

[2] PKI : Le Cameroun Sécurise ses transactions Electroniques

[3] SSL_Server_Test _ antic

[4] MINPOSTEL Cameroun

Valdes T. Nzalli

3rd Commonwealth Cybersecurity Forum

Du 22 au 26 Avril prochain, la capitale politique du Cameroun, Yaoundé, abritera la Conférence annuelle  sur la Cyber Sécurité dans les états membres du Commonwealth. Cet évènement se tiendra au Palais des Congrès de Yaoundé sis au quartier Tsinga.

Les sessions de cette conférence porteront principalement sur les sujets suivants :

  • Protection des Infrastructures Critiques
  • La Sécurité en ligne pour les plus jeunes, qui par ailleurs fera l’objet d’un atelier en préliminaire.
  • Garantir la Sécurité tout en préservant la vie privée et les libertés individuelles
  • Les implications des vols d’identité en ligne
  • Mise en Œuvre de normes communes grâce  à des partenariats avec diverses parties prenantes.

En prélude à la conférence proprement dite qui débutera le 25 Avril, un atelier sera organisés du 22 au 24 Avril et portera sur la Protection des Enfant en ligne et son Programme Pilote d’implémentation dans 6 pays membres à savoir le Cameroun, la Gambie, le Nigeria, le Ghana, la Sierra Leone et la Mauritanie.

Résumé :

  1. Thème  : « Bringing Safety, Resilience and Security in Cyberspace »
  2. Date : du 22 au 26 Avril 2013
  3. Lieu : Yaoundé, Palais des Congrès
  4. Programme : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-programme/
  5. Modalités pratiques : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-venue/
  6. Plus d’informations :  http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-more-information/

Source http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/

Infosec Community : Quand Marketing et Prédictions se rencontrent !

Comme la plus part d’entre ceux qui suivent les fils d’actualités liées à la sécurité (informatique ?!) l’a surement remarqué, depuis la fin d’année 2012 et ce jusqu’à ce début 2013 c’est la saison des prédictions sur les tendances générales qui se démarqueront au cours de l’année 2013 dans le domaine de la sécurité de l’Information.

Je ne vais pas rentrer dans les détails des « prédictions » individuelles car quelqu’un d’autre les a déjà toutes rassemblé (du moins, pour les principaux éditeurs de solution de sécurité et c’est plus ou moins la même chose chez le reste) et en a fait un tableau croisé tel que représenté par la figure ci-dessous.

 

Le constat général qui en découle est que pour presque tous, 2013 c’est l’année où plein de choses « horribles » vont arriver tant aux entreprises qu’aux particuliers ! La prolifération des malwares sur plateformes mobiles, la sophistication des attaques ciblées, la multiplication des vols d’identité, une multitude d’attaques par Injection SQL, les DDOS de plus en plus persistants et percutants,… bref, tout ce qu’il faut pour vous faire comprendre que ça va faire mal, très mal même ! On se croirait presque à une foire de prophéties malveillantes !

Tout est mis en œuvre, non pas vraiment conscientiser les entreprises et particliers, mais beaucoup plus pour les aider à franchir le pas de l’achat de telle dernière Appliance anti-DDOS, telle application anti-SQL injection (bah oui, ça se vend aussi), de souscrire aux services de tel Consultant/Entreprise pour lutter contre les APT, …   en gros, une orientation qui permet de délier plus facilement les bourses des potentiels clients, même des plus sceptiques et ceci par le biais de la psychose créée grâce à ces « prédictions » ! Ce qui en ressort est que les « Prédictions » en matière de Sécurité pour l’année à venir sont tout simplement devenues les grandes orientations marketing sur lesquelles les éditeurs et Prestataires de Service en Sécurité comptent de façon directe ou indirecte faire leur chiffre d’affaires. l’utilisateur final, lui il n’est pas vraiment au programme, sauf pour la partie où il faudra signer le chèque.

Le système de Prédictions ayant perdu ses valeurs intrinsèques  se retrouve ainsi biaisé. Les malwares, les cybercriminels et autres nuisances auront toujours de quoi se répandre, donc venir chaque année nous verser les mêmes verbiages sous forme de pseudo-prédictions, à la longue ça use ! D’autant plus que le principal objectif derrière tout ça semble être purement commercial !

Ceci laisse penser à une autre approche ; Et si au lieu de chercher à anticiper sur les pires choses qui pourraient nous arriver (ce qui est d’ailleurs techniquement impossible), on s’orientait plutôt vers les Prédictions pour les avancées majeures de l’année à venir en matière de sécurité , celles qui apporterons une réelle plus-value tant pour les fournisseurs de services/produits que pour les clients finaux?

 

Valdes T. Nzalli

CyberCrime, Hacking and Malware in AFRICA

Le groupe IDG Connect a récemment publié le 19 Octobre dernier un rapport concernant les tendances de la cybercriminalité et ses contours en Afrique. Le rapport est téléchargeable sur le site de IDG Connect à cette adresse (nécessite au préalable une inscription qui est gratuite) Africa 2013: Cyber-Crime, Hacking and Malware

Tout d’abord c’est toujours une bonne chose que de voir de données statistiques fiables sur les évènements de Cyber Sécurité en Afrique, vu que les remontées d’informations ne sont pas souvent évidentes, ceci pour plusieurs raisons, mais tel n’est pas l’objet du présent article. J’ai parcouru avec un certain intérêt ledit rapport. Mon analyse se porte principalement sur la présentation globale de ces fléaux en Afrique tel que mentionné dans le document. Pour ce qui est des spécificités liés à des pays individuels,  je n’entrerai pas dans les détails car je trouve que le présent rapport est déjà assez détaillé là-dessus, du moins concernant les pays mentionnés.

Avec un taux actuel de pénétration d’Internet d’environ 13%, l’Afrique a connu entre 2000 et 2011 une croissance spectaculaire de 2998,4%. Face à la grande croissance de l’adoption des  Technologies de l’Information et de la Communication (Internet, télécoms, dématérialisation, Mobile, …) l’Afrique se retrouve avec un plus grand nombre de terminaux connectés au reste du monde. Et ceci n’a pas qu’un côté positif car malheureusement tous ces équipements et personnes connectés, généralement naïves et pas assez éduquées sur les mesures de sécurité dans cet environnement,  constituent un vivrier potentiel pour les cybercriminels et les logiciels malveillants.

D’entrée de jeux, il est mentionné que pour certaines raisons (voir les remarques en fin d’article) le rapport ne s’appesantira que sur 4 principaux pays d’Afrique à savoir le Nigéria, l’Egypte, le Kenya et l’Afrique du Sud. La figure suivante présente le taux de pénétration Internet dans ces différents pays ainsi que les valeurs de leurs marchés respectifs
IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis.

Le rapport mentionne quelques indicateurs globaux en Afrique parmi lesquels nous avons :

  • Les Malwares et les logiciels piratés

L’association Internationale « Business Software Alliance » fait état pour l’année 2011 d’un taux d’utilisation de logiciels contrefaits, c’est-à-dire sans licence originale, d’environ 73% pour l’Afrique de façon globale. La situation ne s’est pas beaucoup améliorée, loin de là, de 2010 à 2011 elle s’est même aggravée en Afrique du Nord. Ceci est attribué au printemps Arabe et l’utilisation massive par les populations de logiciels d’origines douteuses pour manifester contre leurs gouvernements (LOIC et autres logiciels client pour lancer des DDoS et rester anonyme). De plus suite à l’inflation globale qui a suivi cette période de trouble les utilisateurs étaient plus enclins à l’utilisation des logiciels piratés qui revenaient nettement moins chers, sinon gratuits (en apparence !).

Dans le même ordre d’idées, le rapport de renseignement de sécurité de  Microsoft (Microsoft Security Intelligence Report) vient confirmer ces estimations dans son édition du 2e semestre de 2011 avec le nombre d’infections et des logiciels malveillants en Egypte qui après une croissance considérable les deux dernières années, passe au premier rang en Afrique et figure dans le top 5 mondial.
Rapport Microsoft Security Intelligence

  • Les régulations sur la Cybercriminalité

Ici le constat est flagrant car très peu de pays Africains disposent de textes de loi spécifiques au cyber espace en général et à la cybercriminalité en particulier. Ceci est à l’avantage des cybercriminels qui s’y jette comme sur du pain béni !

Toutefois, ces dernières années ont vu la mise en œuvre de plusieurs CERT (Computer Emergence Response Team) et CIRT (Computer Incidence Response Team) ainsi que de quelques alliances régionales et sous régionales afin de contrer la progression de la cybercriminalité dans la zone. La figure ci-dessous représente quelques mesures déjà mises en place par certains pays Africains pour endiguer le phénomène.

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis.

Il est à rappeler que certains pays mentionnés dans cette figurent présentent bien un CERT/CIRT mais ces Agences ne sont pas pour ainsi dire vraiment opérationnelles. C’est le cas par exemple pour le Cameroun qui en ce début d’année 2012 a mis sur pieds son CIRT (Centre d’Alerte et de Réponses aux Incidents Cybernétiques (CIRT/ANTIC) ). Mais pour ce qui est de la communication, on peut dire sans se tromper que très peu sont les usagers (individus, entreprises privées, Administrations publiques) qui sont au courant de son existence, de ses activités et qui remontent les informations de Cyber Sécurité auprès d’eux (et vice versa). Mettre sur pieds une CERT/CIRT c’est déjà bien, mais le tout ne s’arrête pas là, il faut des mesures d’accompagnement (Ressources Humaines compétentes, Moyens financiers, infrastructurels, législations) sans lesquels le dit CERT/CIRT ne pourra pas s’exprimer totalement ni exercer sa mission principale ; ce qui serait bien entendu assez dommageable.

Selon l’expert Contador Harrison, Software Director à Somodo Oy, en Finlande, il revient à l’Union Africaine de prendre les mesures nécessaires pour vite palier à ces problèmes, comme le font les autres organisations continentales outre atlantique. D’autant plus que la course actuelle au cyber-armement (et par ricochet à la Cyber Défense) ne nous laisse pas vraiment le choix de rester passif à observer. Selon cet expert, les gouvernements Africains ne devraient pas lancer leurs différents projets d’eGovernment tant que ces besoins essentiels en matière de Cyber Sécurité ne sont pas encore garantis. A défaut, leur réseau d’eGovernment ne devra couvrir que les infrastructures et systèmes critiques via un réseau sécurisé interne qui ne  devrait en aucun cas être relié au réseau Internet afin de réduire tant que cela ce peut la surface d’exposition aux attaques extérieures.

Sur ce point je suis entièrement d’accord mais cela soulève un autre problème qui est celui des ressources Humaine ; tant pour la mise en œuvre de ce genre d’Infrastructure que pour sa maintenance et son utilisation quotidienne (recyclage et formation des potentiels utilisateurs). Car les ménaces peuvent aussi venr de l’intérieur du réseau, principalement à cause de certains utilisateur véreux ou des mauvaises manipulations. La semaine passée encore j’ai reçu un mail d’un haut responsable à la Communication du Département de la Défense des Forces Armées du Cameroun depuis son adresse privée Yahoo! , pourtant il s’agissait d’une réponse à un courrier officiel et non privé. Ce genre de petits détails qui nous échappent encore et qui au final nous portent préjudice doivent déjà être éradiqués. Et ceci passe par la formation des agents de maîtrise ainsi que par la mise sur pieds de référentiels de procédures dans ce genre de contexte.

Depuis quelques années on nous parle d’Infrastructure à clé publique ci et là, mais concrètement les avancées dans leur déploiement ne sont pas encore vraiment parlante.

Mr Harrison revient aussi sur le problème des équipements (routeurs, ordinateurs, …) d’occasion qui sont plutôt prospèrent ici en Afrique (coût accessible pour les populations) présentant pourtant un risque inhérent de sécurité car rien ne garantit l’authenticité de ces matériels ou des logiciels embarqués dedans. Il en est de même pour l’usage des systèmes d’exploitation et des logiciels crackés dont on ne sait pas toujours ce que le crackeur a bien pu ajouter sur le code initial de l’OS (ou de l’application).

A cet effet je pense que les éditeurs de logiciels ainsi que nos gouvernements doivent mettre sur pieds des partenariats pour d’une part subventionner certains produits logiciels de base  et d’autre part encourager davantage la production locale via des formations adéquates dans nos universités, via l’amélioration du soutien des Etats aux startup locales qui proposent généralement des produits à coût accessible pour nos populations et qui méritent grandement d’être encouragées dans ce sens. De plus l’Afrique doit sur cet item booster ses capacités en recherche de développement (R&D) tant pour dans l’industrie Logicielle que Matérielle, non pas seulement en matière de Cyber Sécurité, mais de technologies en général.

Quelques remarques :

Tout d’abord je pense que le fait qu’on ait eu une analyse détaillée que pour les 4 pays est assez maigre pour un document sensé couvrir la cybercriminalité dans tout le continent. Certes l’Afrique compte 57 pays et environ 3000 langues (excuses avancées par les auteurs du rapport) mais je tiens à préciser que ces langues ne sont pas toutes officielles car en terme de langues officielles, on en décompte au trop une trentaine, le reste ne sont que des dialectes locaux. Les éditeurs auraient bien pu s’arranger pour nous fournir de plus amples détails sur au moins deux pays de chacune des 5 divisions sous régionales que comporte l’Afrique.

Ceci étant je suis assez triste de ne point trouver d’informations par exemple sur les scams Ivoiriens, Béninois ou Ghanéens qui depuis plusieurs années ne cessent de proliférer sur internet. Par la même occasion on n’a aucune information des différents problèmes de cybercriminalité (défaçage  de site institutionnels, vols de données bancaire, infection virale généralisée, …) qu’il y’a eu ces derniers années dans des pays comme la Tunisie, le Ghana, le Maroc, l’Uganda, la cote d’Ivoire, le Cameroun et bien d’autres ; d’autant plus que ce n’est pas ça qui a manqué.

Par ailleurs le lecteur aurait aussi aimé pourvoir trouver au sein d’un rapport de ce type des informations sur les différentes stratégies qui sont mises en place tant par les gouvernements Africains que par les institutions privées et les organismes communautaires pour stopper ce problème de prolifération de la cybercriminalité en Afrique. J’entends par là de façon non exhaustive, les évènements annuels, les partenariats avec d’autres gouvernements ayant déjà une bonne maîtrise de la chose, les rencontres thématiques, les Forums dédiés à la Cyber Sécurité, les  programmes de formation des experts dans ce domaine, les estimations pour les années à venir  non pas seulement en matière de chiffre d’affaire comme c’est le cas dans le rapport, mais aussi en matière de ressources humaines qualifiées afin de répondre efficacement aux besoins…

Toutefois étant donné qu’une fois n’est pas coutume, j’ose croire que les prochains rapport du genre seront bien plus fournis. Toujours est-il que l’initiative est à encourager chez eux comme chez tout autre organisme œuvrant dans ce sens ici en Afrique.

Valdes T. Nzalli

Quelques liens Utiles :

Arnaque Mail

L’Afrique de l’Ouest se mobilise contre la cybercriminalité

Africa: Risk of Cyber War Poses Serious Security Threat, Says Computer Expert Kaspersky

Experts deliberate cyber security with growth of Africa’s information economy

Better Cyber Security Urged in West Africa

Africa’s Cybersecurity: an Internet W.M.D. by Ukeme Esiet

Africa’s Cyber WMD

The Balancing Act: How Universities Can Prevent Malware and Enable Information Access

Cameroun, nos Vitrines Web brisées!