Les utilisateurs du réseau Tor en Afrique

Au détour d’un article sur la montée spectaculaire du nombre d’utilisateurs du réseau d’anonymisation Tor survenu il y’a quelques jours (lien) je me suis demandé quelles pouvaient bien êtres les tendances d’utilisation de ce réseau dans les pays d’Afrique. Fort heureusement, les gestionnaires de ce projet mettent gratuitement en ligne des outils de monitoring de l’activité sur le réseau pour que toute personnes qui le désire bien puisse s’en servir. Pour ceux qui se demandent de quoi est ce qu’il s’agit, un tour par ici ne serait pas de trop : Tor, quésako ?  Il m’a ainsi été possible de constater par exemple ces différentes statistiques d’utilisation :

– L’Algérie : direct-users-2013-01-01-off-2013-08-30-dz

– Le Cameroun : direct-users-2013-01-01-off-2013-08-30-cm

La Cote d’Ivoire :  direct-users-2013-01-01-off-2013-08-30-ci

– L’Ethiopie :  direct-users-2013-01-01-off-2013-08-30-et

– l’Egypte : direct-users-2013-01-01-off-2013-08-30-eg

– Le Gabon : direct-users-2013-01-01-off-2013-08-30-ga

– La Guinée Equatoriale : direct-users-2013-01-01-off-2013-08-30-gq

– le Nigéria : direct-users-2013-01-01-off-2013-08-30-ng

le Sénégal : direct-users-2013-01-01-off-2013-08-30-sn

– L’Afrique du Sud : direct-users-2013-01-01-off-2013-08-30-za

Vous avez certainement remarqué cette croissance brusque survenue au cours du mois de d’Août dans plusieurs pays tels que l’Afrique du Sud, l’Algérie, l’Egypte, le Sénégal. durant cette même période on constate une croissance certes fortes, mais de moindre amplitude comparé aux premières citées dans les pays tels que le Cameroun, la Cote d’Ivoire, le Nigéria, la Guinée Equatoriale et l’Ethiopie.

A titre indicatif, rappelons qu’il s’agit là des utilisateurs directement connectés au réseau sans passer par une passerelle (des relais non publics) Tor. Toujours sur la même page, du site des métriques, il est possible d’avoir les statistiques spécifiques des utilisateurs passant par des Tor Bridge. Pour ces derniers, au Cameroun on à la courbe suivante :

bridge-users-2013-01-01-2013-08-30-cm

Vous aussi, vous pouvez avoir les statistiques d’usages en fonction des pays et des critères qui vous intéressent, pour ce faire c’est par ici : https://metrics.torproject.org/

Sur près de la moitié des pays mentionnés, on remarque une certaine augmentation du nombre d’utilisateurs du réseau vers mi-Juin 2013, serait ce en rapport avec les révélations sur le dossier PRISM ?

Valdes T. Nzalli

Souveraineté Numérique et Raison d’Etat

Vous l’aurez sans doute remarqué, le buzz depuis les semaines passées est aux récentes révélations d’actes d’espionnage et de surveillance massive orchestrés par la NSA (National Security Agency) des USA, mis au grand jour par un ancien employé de la CIA travaillant chez un sous-traitant de la NSA à Hawaï par le truchement des quotidiens britanique « The Guardian » et Américain « Whashington Post ». Ce programme baptisé « PRISM » aurait vu le jour depuis 2007 et il en ressort que les Etats Unis ne seraient pas les seuls bénéficiaires des informations collectées. Une compilation succincte d’informations au sujet du programme PRISM est disponible sur le site de Qualys [1].

soldantSuite à tout ceci la première question qui vient à l’esprit c’est de savoir si un programme comme   PRISM (car il y’en a probablement d’autres pas nécessairement connus du grand public) est-il légal ? Après les sorties du président Barack Obama et du Directeur de la NSA, il advient que jusqu’à présent ce programme est connu et approuvé par la loi… aux USA ! Du coup on se demande, Qu’en est-il du reste du monde qui n’est pas Américain/ne vivant pas aux USA et dont les informations transitent et sont traitées par les plateformes incriminées (Facebook, Microsoft, Skype, Google, Apple, …) ?

De par l’évolution des TIC, on retient que la surveillance et l’espionnage des communications est un fait avéré et répandu (à tort ou à raison) et il y’aura toujours des moyens/procédés/solutions de plus en plus subtiles pour permettre aux gouvernements de le faire. Personnellement, tout ce buzz me semble un peu surfait, mais bon, le grand public découvre que l’eau chaude chauffe ! Par contre l’une des choses qui m’a le plus marqué c’est que suite à cette déclaration selon laquelle l’administration Obama via ses services secrets n’espionnent QUE les étrangers, l’enthousiasme de plusieurs agitateurs/agités a chuté ! Comme quoi l’espionnage n’est mauvais que si et seulement si il inclue comme cible les citoyens Américains.

Il est important de noter que très peu de Gouvernements/Organisations ce sont sentis concernés par cette nouvelle, bien que quelques uns ont tout de même réagit à l’exemple de la Norvège qui, par son Secrétaire d’Etat, a tout de suite réclamé aux Officiels Américains de plus amples informations afin de savoir comment ses citoyens sont affectés par ce programme. Quelques temps après c’était au tour de l’Union Européenne, via sa Commissaire Chargée de la Justice, de monter au créneau concernant cette affaire en exigeant que la vie privée des citoyens européens soit aussi préservée comme celles des Américains au cours de ce programme[2]. Coté Africain, aucun Etat, ni l’Union Africaine ne s’est senti particulièrement concerné ! Nothing… nada… rien… jusqu’à présent vu le silence qui règne ; Faut bien croire que ça ne nous gêne pas vraiment. Et puis, c’est pas trop comme si ça date d’aujourd’hui que nos gouvernements Africains n’osent demander des comptes aux « grandes puissances » ! d’ailleurs que rien n’exclue qu’ils ne soient au courant de la chose depuis longtemps  ou qu’ils n’aient leur part de programmes similaires déjà opérationnels (après tout, ne dit-on pas « tout le monde espionne et surveille » ! Dire que ces dernières semaines nous avons eu et aurons droit à plusieurs événements d’envergure ici en Afrique portant sur Internet, son rôle dans notre développement et sa gouvernance ; J’ose croire qu’au cours de toutes ces rencontres le sujet ait été à l’ordre du jour d’un quelconque atelier !

Je vois ici une affirmation (abus?) d’une position dominante, vu que tous les opérateurs cités sont essentiellement des firmes Américaines dont plusieurs autres entreprises et individus de part le monde en dépendent. Qui pourra y faire quoi ?! Personne ! Vous comptez les boycotter ?! J’en doute en tout cas pas de ci tôt avec toutes les données qu’ils possèdent déjà et la dépendance (vitale?) par laquelle ils vous tiennent. Et si bien même quelques uns les boycottaient, le gros de leurs clientèle sera toujours intact. Quelqu’un d’autre aurait dit qu’il s’agit d’un cercle vicieux !

Tout ceci a mon avis relance en partie le débat sur la Souveraineté Numérique des Nations/Organisations régionales. Allant de la fabrication des matériels de nos Infrastructures à la production de solution logicielles pérennes sur notre sol en passant par la formation, l’encadrement et la mise en service du personnel qualifié. En Europe, ils en sont déjà déjà par exemple à affiner leur Stratégie Globale sur le Cloud [3] ainsi que leur projet de Loi sur la vie Privée devant s’appliquer dans leur espace géographique ainsi qu’à tous leurs ressortissants. Entre temps ici en Afrique qu’avons nous ?! Bah rien pour l’instant ! Une pensée générale dit : « Celui qui a l’Information a le Pouvoir » ! je trouve qu’elle cadre bien avec cette situation qui nous sied.

Nul besoin de mentionner les retours positifs que cela pourrait avoir sur l’ensemble du continent passant de la réduction du taux de chômage des jeunes à la création de la richesse via la commercialisation de nos solutions locales, l’impact sur le développement global et bien d’autres ; bref on y gagnerait sur toute la ligne.

Bien sûr, être le moins numériquement dépendant ne nous mettra pas entièrement à l’abri des grandes oreilles des Agences de Renseignement occidentales (et Asiatique), mais ce sera déjà un pas en avant car rappelons le, la protection de l’information n’est pas un produit en soit, mais tout un processus marqué par plusieurs jalons.

Note : Dans ce billet je ne me préoccupe pas de savoir comment la NSA procède pour obtenir les données de ses « fournisseurs ». De plus il n’est pas question ici du bien fondé d’une surveillance de l’Internet et encore moins de savoir si nos propres Etats ne possèdent pas de mécanismes similaires.

Liens Utiles :

[1] Que sait-on exactement sur PRISM ?
[2] Espionnage : Bruxelles tance Washington
[3] New strategy to drive European business and government productivity via cloud computing
[4] Souveraineté Numérique : Cas de l’Afrique
[
5] Comprendre le programme « Prism »

Infosec Africa : Ce que la Cyber Sécurité nous réserve pour 2013!

Jeudi passé, lors d’un Group Chat via Twitter à l’initiative de l’un membre de la communauté Infosec (Rafal Los) , auquel j’ai pris part, il était question pour chaque participant de donner son point de vue sur les grandes lignes que suivra l’écosystème de la Sécurité de l’Information pour l’année 2013.

Un dump des différentes interventions est disponible à cette adresse : #SecChat

Sans revenir sur les idées émises par les uns et autres, la chose qui m’a le plus frappé c’est l’absence d’une quelconque mention du continent Africain. Ceci pourrait s’expliquer par le fait que la plus part des intervenants sont situés en Occident et du coup, ne savent que peu ou pas ce qu’il en est de l’évolution des tendances en Afrique. N’ayant pris le Group Chat qu’en cours, cet article est pour moi l’occasion de présenter ce qui selon moi, sera d’actualité au cours de cette année 2013 en Afrique en particulier.

Sans plus tarder, en cette année qui s’amorce, parmi les faits marquants ayant trait à la Cyber Sécurité en Afrique, nous aurons :

  • Un meilleur engagement de la part des autorités nationales Africaines dans la lutte contre la cybercriminalité et l’insécurité dans le cyber espace. Certains pays comme la cote d’ivoire avec la Plateforme de Lutte contre la Cyber Criminalité (PLCC) s’y prêtent déjà au jeu. Certes leur moyens d’actions sont parfois limités, mais c’est déjà bien que ce genre d’organisme existe et je crois fermement que 2013 verra le renforcement de leurs ressources tant budgétaires qu’humaine pour un meilleur rendement.
  • Pour 2013, nous aurons droit au renforcement des liens entre les différents CERT/CIRT des Etats Africains. Des initiatives dans ce sens sont en cours de tractation, mais nul doute que cette année verra leur entrée en application ainsi que leur expansion. Avec les projets déjà en cours de part et d’autre, Il s’en suivra l’arrêt d’une politique de Cyber Sécurité globale au niveau Africain. En plus des organisations étatiques, nous verrons aussi plus de collaboration entre des organisations non gouvernementales œuvrant dans le domaine de la Sécurité de l’Information à l’exemple d’AFRICACERT, ISG Africa, et bien d’autres.
  • Une forte croissance dans les métiers liés à la Sécurité de l’Information sur le continent avec la demande sans cesse croissante de profils de plus en plus pointus. Ceci passera par l’accès aux formations/certifications Professionnelles pour les nouveaux venus ainsi que les reconvertis de l’IT, et le retour en Afrique de plusieurs Professionnels de la Sécurité actuellement basés hors du continent.
  • Le nombre de conférences et d’évènements dédiés à la Cyber Sécurité et ses ramifications va continuer son ascension, non plus seulement en Afrique Anglophone, mais aussi dans les autres pays du continent.
  • Inévitablement, le nombre d’infractions dans le Cyber Espace en provenance et/ou ayant pour destination des pays d’Afrique va continuer de grimper, ceci est en parti dû à au taux sans cesse croissant de personnes et périphériques connectés à internet et à la situation « précaire » de nos politiques et moyens de lutte contre la Cybercriminalité.
  • Une réduction des coûts d’acquisition des solutions de Sécurité Informatique. Cela va du simple antivirus pour les terminaux d’utilisateurs à des Appliances et Applications bien plus complexes de sécurité en entreprise.
  • L’élaboration des lois spécifiques au Cyber Espace et leur Application Effective. Par  Application effective, j’entends ici la mise à disposition des ressources de toute nature (matérielles, financière, logistiques, humaines, …) devant permettre l’exécution des dites lois dans le contexte qui leur sied.
  • La vulgarisation des moyens et mesures de sensibilisation des utilisateurs finaux face aux dangers et contraintes sécuritaires du cyber espace.
  • Le développement du phénomène de BYOD (Bring Your Own Device) ainsi que ses variantes qui,  avec  toutes les implications de sécurité liées, donnera un peu plus de fil à retordre aux départements informatiques des entreprises.
  • Entre autres s’annonce aussi beaucoup plus de violation des libertés individuelles notamment les atteintes à la vie privée des internautes. La cause principale était la mise sur pieds par les entreprises privées et Administrations publiques des moyens de sécurité ne respectant pas toujours les standards de base sur la protection de la vie privée des utilisateurs finaux, ceci à la faveur de l’absence de loi sur le sujet.

Concernant ce dernier item, j’ai espoir que nous verrons naître des institutions semblables à la Commission Nationale de l’Informatique et des Libertés (CNIL), qui seront les protecteurs du droit à la vie privée des utilisateurs du Cyber Espace et que ces institutions seront dotées d’un pouvoir légal similaires à leurs homologues dans les pays occidentaux.

Vous l’aurez surement remarqué, je suis très optimiste dans mes perspectives, ceci n’est pas seulement une vue de l’esprit, mais s’appuie sur les tendances actuelles ayant déjà pris racine et qui se verrons accroître dans les temps à venir grâces à la synergie de tous les acteurs.

Valdes T. Nzalli

Liens Utiles :

Draft Convention on Cyberlegislation in Africa

CyberCrime, Hacking and Malware in AFRICA