Cyber-Interview avec le Hacker Franco-Sénégalais Clément DOMINGO, alias SaxX

Perspective Numérique en Afrique : Il faut “repenser la cybersécurité en Afrique pour les 10 prochaines années”

 

Clément DOMINGO, “Hacker” Franco-Sénégalais livre à Africa CyberSecurity Mag son analyse sur les défis et enjeux cyber qui menacent actuellement l’Afrique. Il donne également son avis sur les opportunités afin que le continent soit un acteur majeur du domaine Cyber.

Qui est réellement  Clément DOMINGO ?

Clément DOMINGO, alias SaxX est un Hacker professionnel et surtout un “bug Bounty” hunter. Ce qui veut dire littéralement un chasseur de bugs informatiques.  Extrêmement curieux et avec une soif constante d’apprendre, il devient l’un des hackers à col blanc les plus populaires de l’écosystème du bug Bounty.

Il a travaillé et accompagné de prestigieuses institutions en Europe, notamment en   France et en Afrique pour identifier leurs failles de sécurité, mettre en place des solutions de protection. Clément évolue aujourd’hui au sein d’une équipe de Hackers français qui s'appelle HEXPRESSO. Équipe avec laquelle il participe à plusieurs compétitions de cybersécurité à travers le monde et a pu affronter les meilleurs hackers dans leur domaine.

Il évoque dans cet entretien les menaces Cyber qui pèsent sur la démocratie, la paix, l’influence des rapports géopolitiques et la désinformation qui guettent l’Afrique.

ACM : Quelle est votre lecture des menaces Cyber sur L’Afrique par rapport au reste du monde ?

L'Afrique est le prochain eldorado numérique des 10 prochaines années. Tous les autres continents ont connu presque leur apogée en terme de numérique. L'Afrique à son tour y vient. Mais cette transformation numérique se fait dans la douleur vu que l'aspect "CYBERSÉCURITÉ" de la chose est très peu à l'ordre du jour.

J'en prends pour preuve la convention de Malabo qui date de 2014, 7 ans plus tard, je pense que l'on peut compter du bout des doigts de la main les pays africains qui ont mis en place une "cellule de cybersécurité" à défaut de l'avoir inclus dans leur politique.

Aussi, ma lecture est quelque peu pessimiste même si j'essaie de voir le verre à moitié plein. Mais c'est compliqué, très compliqué. Rien que sur le dernier semestre 2020, j'ai eu écho de 15 gros leaks d'entreprises stratégiques en Afrique, parmi ces leaks, j'en ai découvert 8.

Là, se pose la question éthique de comment contacter et reporter rapidement le pot-au-roses aux bonnes personnes avant que des personnes malveillantes ne mettent la main dessus et en fassent mauvais usage. Et bien, la sentence est sans appel... compliqué pour ne pas dire dantesque est le processus d'alerte. On pourrait facilement l'assimiler aux 12 travaux d'Hercule ! On trouve difficilement les bons interlocuteurs et quand bien même on finit par les trouver, c'est la déception. Soit la vulnérabilité n'est pas corrigée et est poussée sous le tapis, soit les personnes ne comprennent pas trop étant eux-mêmes peu ou pas sensibles au sujet de la cybersécurité.

L'Afrique est bien plus exposée sur Internet par rapport au reste du monde. On parle d'un taux d'exposition à hauteur de 80 %. J'en prends pour preuve tout ce que l'on peut trouver après 1 heure de recherches sur Internet et sur certains moteurs spécialisés. Mais pour le moment, ce joug n'est pas oppressant, dirais-je. Des attaquants, pays amis voisins ou ennemis ou encore des groupes cyber-mafieux attendant le bon moment pour appuyer sur le dernier bouton qui paralysera des entreprises jusqu'à l'entièreté d'un pays.

J'ai eu trois cas d'entreprises nationales africaines en 2020 qui ont subi des cyberattaques et étaient incapables de savoir comment réagir. Ma sidération a été plus grande lorsqu'en visioconférence, ils étaient incapables d'apprécier toute l'ampleur et la gravité de la chose. Pour des raisons de réserve, je n'en dirais pas plus, mais ça donne une petite idée... pas des plus rassurantes. Il faut dire que la pandémie que l'on vit accélère énormément la transformation numérique et avec elle les risques accrus de piratages !


ACM : Les menaces et risques Cyber en Afrique ne touchent pas uniquement les entreprises ou les systèmes d’informations. Les répercussions se déclinent jusqu'aux couches socio-économiques, sur l'influence démocratique et le maintien de la paix. Expliquez-nous comment les Cyber-attaquants sont susceptibles de déstabiliser une nation et un pays ?

Question très intéressante qui prend tout son sens à l'approche d'élections dans certains pays d’Afrique ou encore de mouvements sociétaux dans le reste du monde. On appelle cela de l'Hacktivisme avec un H (comme pour Hacker/Hacking) ou du cyberactivisme. J'ai un exemple en tête qui me vient, mais compliqué de le donner parce que c'est une vraie menace qui pèse sur l'Afrique... Je vais donc élucubrer en prenant un autre exemple totalement factice pour ne heurter aucune sensibilité.

Imaginons qu'une banque régionale ou multinationale avec des succursales nationales dont en Afrique, en ces temps de covid, fasse quelque chose de travers. Et bien, un groupe de hackers européens, anglo-saxons, russes, chinois, ou même africains pourrait décider des représailles en paralysant les Distributeurs Automatiques de Billets (DAB) du pays ainsi que le site web de cette banque ou même le système de paiement par mobile money. Ces répercussions se feraient rapidement sentir tant pour les consommateurs que les employés. C'est le genre d'incident qui passe rarement inaperçu en 2021 à l'heure de l'avènement des réseaux sociaux. 

Un autre exemple pourrait résulter d'une politique jugée inadaptée d'un gouvernement d’un pays africain X qui, verrait ses infrastructures médicales et au niveau du transport paralysées par une attaque de type DDOS (déni de service). Ou alors par un hacking qui déboucherait sur une dégradation des sites principaux pour ensuite diffuser des messages de propagande. Les exemples concernant ce domaine sont infinis mais compliqués d'en dire plus sans donner plus de précisions liées  à certains acteurs.

“On a une jeunesse brillante, mais il faudrait que les pouvoirs publics et les entreprises fleurons de l'économie africaine soutiennent les initiatives qui se mettent en place.”

 

ACM : La désinformation guette les démocraties et à une forte influence sur les rapports géopolitiques entre puissances, vous l’avez rappelé  précédemment. Comment l’Afrique doit-elle se préparer pour limiter l’impact de ce type de menaces et préserver son intégrité ?

La désinformation est l'un de mes sujets de prédilection du moment. Savez-vous réellement qui est à l'origine de certains #hashtags à polémique sur Twitter, Instagram ou Facebook par exemple ? Savez-vous qui sont toutes les personnes qui peuvent twitter et/ou poster sur une actualité ? Quelles sont leurs velléités ?

Et bien si l'on n’est pas informé et armé contre tout cela, on devient facilement manipulable. L'exemple par excellence que je pourrais citer est celui de cambridge analytica... Ok, je vous explique rapidement.

Cambridge Analytica, c'est cet énorme scandale avec Facebook qui a éclaté notamment dans le cadre de l'élection américaine de 2016. Cambridge Analytica aurait collecté les données (likes, posts, … ) touchant plus de 87 millions d'utilisateurs Facebook sans leur consentement. Pour rappel, ce serait des données qui auraient été collectées via un test de personnalité présenté comme un simple exercice académique. Pour ce faire, une application du nom de "This is your digital life" a été mise en place. Ils ont absorbé les informations Facebook de ceux qui ont passé le test via cette application, mais aussi celles de leurs amis sur Facebook; sauf que les amis des amis eux n'étaient pas consentants pour se faire aspirer leurs données et ainsi donner ces informations-là. Cambridge Analytica aurait été employé par Trump dans le cadre de l'élection de 2016 pour influencer les électeurs américains.  C'est en fonction du profilage, grâce aux likes de certains utilisateurs qu’ils ont eu un profilage sur les personnes qui étaient un peu moins sûrs de leurs opinions. Cambridge Analytica a pu ainsi cibler ces personnes-là et ainsi dénicher un petit pourcentage qui a permis de faire basculer totalement le résultat des élections.

Cet exemple me parle beaucoup parce que c'est typiquement ce qui se passe aujourd'hui au niveau de l'opinion publique et qui fait intervenir ce que l'on appelle les BIAIS COGNITIFS. Les biais cognitifs me passionnent aussi, je pourrai en parler pendant des heures en les déclinant dans le domaine de la cybersecurité et du numérique. 

Donc, très clairement, l'Afrique n'est absolument pas à l'abri de ce genre de manipulation de masse concernant l'opinion publique. Pour cela, il faudrait se doter d'outils et de spécialistes pouvant adresser ce genre de situations. Je me suis amusé à analyser quelques hashtags sur Twitter concernant l'Afrique et certaines initiatives, j'ai été très très surpris...

ACM : Pour finir; quel sera votre conseil ou recommandation aux acteurs du secteur public et privé en Afrique ? 

Peut-être se concerter, repenser la cybersécurité en Afrique pour ces 10 prochaines années. Il me semble indispensable et primordial de le faire, car les répercussions seraient assez dramatiques. Pour être honnête, j'imagine le pire, mais je pense que dans mon entendement, ce n'est pas le plus pire. (là je viens de faire une grossière faute de langage en disant le “PLUS PIRE”, mais c'est pour appuyer mes propos).

Un autre aspect d'ordre stratégique serait d'investir dans de la formation de notre jeunesse, mais aussi d'experts africains qui pourraient intervenir demain en cas de cyberattaque.  Aujourd'hui, ce n'est hélas pas le cas ! 

J'ai prévu de dédier toute mon énergie en 2021 pour rencontrer les dirigeants africains aussi bien politiques et économiques pour discuter de la menace de la cybersécurité et de l'urgence des mesures à prendre. Tant qu'on n’explique pas, qu'on ne sensibilise pas, qu'on ne fait pas découvrir, les choses peinent à avancer. 

La tâche est immense et très compliquée quand il est question de savoir par où commencer ou comment faire. J'ai cette intime conviction que si je ne mets pas à contribution mes compétences et mon potentiel, ce serait du gâchis !

Interview réalisée par Africa Cybersecurity Mag