Les principales violations de données en Afrique : Le paysage des menaces change

Le déplacement massif vers le travail à distance dans le sillage de la pandémie fait que les professionnels de la sécurité doivent se démener, alors que le paysage de la menace change en Afrique subsaharienne. 

Alors que les entreprises et les administrations publiques se sont fermées cette année, provoquant un déplacement massif vers le travail à distance, les professionnels de la sécurité ont été débordés, se démenant pour sécuriser les communications et les données qui se déplaçaient de plus en plus hors des locaux. 

L’année 2020 restera certainement dans les mémoires comme une année de bouleversements, car tous les aspects de nos modes de vie et de travail ont été touchés par la pandémie mondiale. Il est désormais clair que l’une des conséquences durables est l’acceptation du travail à distance pour les entreprises et une dépendance accrue à l’égard de la technologie du cloud en tant que plate-forme commerciale. En conséquence, cela a fait craindre une recrudescence de la cybercriminalité, les criminels exploitant le manque de compréhension – tant des individus que des entreprises – en matière de sécurité à distance. 

Fait remarquable, cependant, au cours du premier semestre de l’année, la société de cybersécurité Kaspersky a détecté une baisse de 36 % des attaques de logiciels malveillants en Afrique du Sud, une baisse de 26 % au Kenya et une baisse de 2,7 % au Kenya. 

Les organisations et les particuliers de la région doivent cependant savoir que certains types d’attaques spécifiques sont en augmentation, selon Kaspersky. 

Les principales cibles des pirates informatiques en Afrique subsaharienne sont les gouvernements, l’éducation, les soins de santé et les entités militaires, a déclaré M. Kaspersky dans un récent rapport. Les principaux groupes de piratage APT (Advanced Persistent Threat) impliqués dans des attaques sont TransparentTribe, Oilrig, et MuddyWater, qui se sont installés en Afrique à partir de leurs cibles initiales au Moyen-Orient et sur le sous-continent indien. 

En outre, les soi-disant pirates à louer pourraient bientôt accorder plus d’attention à l’Afrique, où les travailleurs des entreprises n’ont pas autant d’expérience avec eux que les utilisateurs de TI ailleurs dans le monde, a déclaré M. Kaspersky. 

Les attaques de ces nouveaux acteurs de la menace comprennent le spearphishing, une forme de phishing très ciblée, a rapporté M. Kaspersky. 

Alors que la valeur des escroqueries et des infractions en Afrique jusqu’à présent en 2020 est dérisoire en comparaison avec les économies plus développées, les entreprises africaines en général sont attaquées par des pirates informatiques malveillants plus fréquemment que les entreprises ailleurs dans le monde, selon les recherches de Check Point Software. 

Voici quelques-unes des principales violations de données et histoires de sécurité au cours des 12 derniers mois dans les principales économies d’Afrique subsaharienne. 

Experian souffre d’une violation massive 

La brèche dans les données d’Experian en août a été l’une des plus importantes à se produire en Afrique. Des données sur 24 millions de personnes ont été exposées. Pour replacer cela dans son contexte, on estime qu’il y a 40 millions de Sud-Africains de plus de 18 ans, et que 11 millions d’entre eux ne sont pas bancarisés. Il reste donc 29 milliards de comptes bancaires au total, ce qui signifie que les données sur plus de 80 % de tous les titulaires de comptes bancaires dans le pays ont été exposées. C’est stupéfiant. 

Experian est l’une des plus grandes sociétés de données de crédit au monde, une société qui promet à ses clients qu’elle peut “débloquer le potentiel des données et offrir des solutions pour optimiser vos relations avec les clients”. 

La société, et tous ses principaux clients, ont réagi rapidement et les premiers signes indiquent que la menace a été contenue. Les banques ont noté dans les courriels envoyés à leurs clients que les informations volées comprenaient des numéros d’identification, des adresses physiques et des coordonnées. Sur son site web, Experian explique qu'”un individu en Afrique du Sud, prétendant représenter un client légitime, a demandé frauduleusement des services à Experian. Ces services impliquaient la divulgation d’informations fournies dans le cadre normal des affaires ou qui sont accessibles au public. Nous pouvons confirmer qu’aucune information sur le crédit à la consommation ou les finances des consommateurs n’a été obtenue. Nos enquêtes n’indiquent pas qu’aucune donnée détournée n’ait été utilisée à des fins frauduleuses”.  

La société a ajouté que “le matériel de l’individu est mis à la fourrière et les données détournées sont sécurisées et supprimées”. 

Alors qu’il semble que les dommages aient été contenus et le suspect identifié, les consommateurs méfiants sont invités à changer leurs mots de passe et à renforcer toute leur sécurité en ligne. 

La Postbank de SA remplace 12 millions de cartes bancaires 

La Postbank, la banque du bureau de poste sud-africain, a été contrainte de remplacer quelque 12 millions de cartes bancaires pour un coût de 58 millions de dollars après que des initiés aient compromis les données personnelles de millions de titulaires de comptes en copiant un passe-partout. Les données ont été compromises en 2018, mais l’histoire de la brèche et du programme de remplacement des cartes n’a été rendue publique qu’en juin 2020, lorsque le Sunday Times sud-africain a révélé l’affaire. 
Dans les mois qui ont suivi la brèche, la banque a détecté environ 25 000 transactions frauduleuses dans son système. Entre 8 et 10 millions de détenteurs de cartes ont été touchés et, en plus d’avoir volé un total de 3,2 millions de dollars sur leurs comptes, les pirates ont pu également exfiltrer les informations personnelles d’un million de clients supplémentaires.

Life Healthcare annonce une cyberattaque

En juin, l’entreprise de santé a annoncé que ses opérations en Afrique australe avaient été victimes d’une “attaque ciblée” sur ses systèmes informatiques. Le groupe a mis ses systèmes hors ligne afin de contenir l’attaque. Les hôpitaux et les bureaux administratifs du groupe sont passés à des systèmes de traitement manuel de sauvegarde et ont continué à fonctionner, bien qu’avec quelques retards administratifs, ont-ils déclaré.  L’incident de sécurité a affecté les systèmes d’admission, les systèmes de traitement des affaires et les serveurs de messagerie, qui ont été mis hors ligne par mesure de précaution pour contenir l’attaque, mener des enquêtes et prendre des mesures correctives. Le groupe n’a pas signalé que des données sur les clients avaient été volées. 

La Nedbank piratée par l’ingénierie sociale

Lors d’une opération de surveillance de routine en février 2020, l’une des plus grandes banques d’Afrique du Sud, la Nedbank, a découvert une faille de sécurité qui a touché 1,7 million de ses clients. La brèche a été réalisée par un fournisseur de services tiers appelé Computer Services Ltd, dont le travail consiste à envoyer des messages textuels et des messages marketing Whatsapp au nom de la banque. La brèche a ciblé les données privées des clients, y compris des informations sensibles telles que :
Nom 
Numéro d’identification 
Adresse physique et adresse électronique 
Numéro de téléphone

Dans une interview télévisée avec CNBC Africa, le PDG de la banque, Mike Brown, a expliqué que “si les données bancaires elles-mêmes n’étaient pas compromises, elles pouvaient être utilisées à des fins d’ingénierie sociale. Ainsi, quelqu’un pourrait vous téléphoner et prétendre être la banque, en vous demandant votre code PIN et votre mot de passe”. 

Les plus grandes cibles de la cybercriminalité : Nigeria et Afrique du Sud 

Dans une grande étude mondiale intitulée L’état de la sécurité dans les nuages en 2020, le cabinet de recherche Sophos a fait des découvertes intéressantes sur l’Afrique. Alors que la valeur des piratages en Afrique est éclipsée par le reste du monde, l’Afrique et le Moyen-Orient sont des régions particulièrement préoccupantes.  “Le crypto-jacking (dans la région) est à son plus haut niveau parmi toutes les régions (22%),” indique le rapport, “car les criminels font tourner des centaines de serveurs virtuels pour faire du crypto-mining illégal et s’échapper avant d’être découverts”. 
En outre, l’Afrique du Sud (avec le Japon) est le pays qui compte le plus grand nombre d’identifiants de comptes de fournisseurs de services dans le nuage volés. Cinquante-neuf pour cent des violations en Afrique du Sud ont été commises par le biais de références volées, et 39 % par une mauvaise configuration.  

Le Nigeria et l’Afrique du Sud étant les environnements les plus riches en cibles, des statistiques intéressantes se dégagent : 

  • 86 % des organisations nigérianes interrogées ont été touchées par un incident de sécurité au niveau de leur stockage cloud
  • En Afrique du Sud, 60 % des organisations ont vécu la même expérience
  • Une mauvaise configuration (64 %) au Nigeria est plus probablement responsable d’un incident que le vol de titres de compétences (36 %) 
  • Les organisations sud-africaines sont plus conscientes de leurs atouts en matière de cloud computing. 79 % des personnes interrogées sont au courant, contre 54 % seulement au Nigeria.

Les Shadow Kill Hackers à Johannesburg 

En octobre 2019, Johannesburg a appris que le site web municipal et les services de facturation de la ville avaient été piratés par un groupe se faisant appeler Shadow Kill Hackers. Le groupe exigeait une rançon de quatre bitcoins, soit environ 30 000 dollars à l’époque, afin d’empêcher le groupe de diffuser sur Internet toutes les données qu’il s’était procurées.  
Une note de rançon a été envoyée à plusieurs employés de la ville, qui disait simplement : “Tous vos serveurs et données ont été piratés. Nous avons des dizaines de portes dérobées à l’intérieur de votre ville. Nous avons le contrôle de tout dans votre ville. Nous avons également compromis tous les mots de passe et les données sensibles telles que les finances et les informations personnelles sur la population”. Le groupe a ensuite publié des captures d’écran sur Twitter pour prouver qu’il avait piraté le serveur Active Directory de la ville. 
Le sentiment de crainte a été renforcé par la nouvelle que plusieurs grandes banques sud-africaines se sont mises hors ligne en même temps, mais le groupe a publié une déclaration affirmant que le piratage bancaire n’avait rien à voir avec elles. Par mesure de précaution, la ville a mis tous ses services hors ligne pendant qu’elle mettait en place des procédures de sécurité.  
Bien que le piratage ait été qualifié de “logiciel de rançon” par certains médias, il n’en était rien techniquement. Le groupe de pirates a apparemment accédé à des données et les a ensuite utilisées pour demander une rançon, mais n’a pas utilisé de logiciel qui chiffrait les données (la définition habituelle de logiciel de rançon). Après la violation des données, la ville a reconnu son impact, mais a déclaré qu’elle ne paierait pas la rançon.
“La ville de Johannesburg peut confirmer que la récente cyber-attaque sur nos systèmes TIC a eu un impact significatif sur notre capacité à fournir des services à nos résidents”, a déclaré la conseillère municipale Funzela Ngobeni dans une déclaration. “Je peux confirmer que la ville ne cédera pas à ses exigences et nous sommes confiants que nous serons en mesure de rétablir les systèmes dans leur pleine fonctionnalité”. 
Dans les jours qui ont suivi l’attaque, les services de la ville sont lentement revenus en ligne, bien que les responsables de la ville n’aient pas précisé les procédures qu’ils ont mises en œuvre pour remettre les systèmes en état de marche en toute sécurité. Bien que la rançon demandée soit faible, par rapport au budget d’une grande ville, la brèche a montré comment les auteurs de violations de données peuvent paralyser d’importants services publics dans une grande ville. 

L’opération “reWired” met les escrocs nigérians sur la sellette 

Dans le pays le plus peuplé d’Afrique, le Nigeria, la plupart des cyberattaques ne sont pas signalées et il semble y avoir un manque inquiétant d’engagement de la part du gouvernement à prendre la cybersécurité au sérieux. Il y a eu de nombreux piratages de sites web appartenant au gouvernement au cours de la dernière décennie, mais apparemment peu de choses ont été faites pour renforcer la sécurité. Du site web de l’Assemblée nationale à la Commission des petites et moyennes entreprises, en passant par la Cour d’appel du Nigeria, chacun de ces sites critiques a été piraté ces dernières années sans que le gouvernement ne réagisse de manière efficace. 
La plupart des cybercrimes émanant du Nigeria semblent se produire sous la forme de 419 escroqueries et autres abus de confiance, mais ce n’est certainement qu’une question de temps avant que le piratage plus important et plus sophistiqué ne devienne monnaie courante. 
Une bonne nouvelle a été l’annonce en septembre 2019 du Département américain de la justice qui a travaillé avec les autorités nigérianes sur l’opération reWired pour réprimer un certain nombre de compromissions de courriels d’affaires, qui ont entraîné des pertes de plus de 1,3 milliard de dollars en 2018. Dans un scénario typique, selon le FBI, deux hommes au Royaume-Uni et au Nigeria ont envoyé des courriels à un cadre d’une entreprise du Connecticut, aux États-Unis. “Le prétendu PDG demandait un transfert de fonds”, a déclaré le FBI dans un communiqué de presse. “L’e-mail semblait légitime, donc le contrôleur de la société a envoyé de multiples virements totalisant plus de 500 000 dollars. Mais il s’est avéré que le compte e-mail du PDG avait été usurpé et que l’argent était directement versé sur des comptes gérés par les criminels”. 

Des personnes du monde entier ont été arrêtées dans le cadre de cette opération, notamment du Ghana et du Kenya. Le balayage a permis la saisie de près de 3,7 millions de dollars et la perturbation et la récupération d’environ 118 millions de dollars de virements électroniques frauduleux, selon le ministère américain de la justice.

La prévention est la clé de la sécurité 

Les points communs des grandes violations de données et des histoires de sécurité en Afrique au cours de l’année dernière sont les institutions gouvernementales qui sont vulnérables aux acteurs disposant d’outils en ligne sophistiqués et les entreprises privées qui sont la proie de menaces internes. Si les réglementations en matière de cybersécurité peuvent aider, la prévention est essentielle. 

Selon Check Point, 84 % des fichiers malveillants en Afrique ont été transmis par Internet, contre 63 % des fichiers malveillants dans le monde. “Il est donc essentiel que les entreprises déploient des solutions anti-malware de dernière génération sur leurs réseaux ainsi que sur les appareils mobiles de leurs employés, afin de protéger tous les points d’extrémité de l’entreprise”, a déclaré Maya Horowitz, directrice de Threat Intelligence & Research, Products à Check Point, dans une déclaration accompagnant le rapport d’octobre. “Ils devraient également sensibiliser les employés aux dangers d’ouvrir les pièces jointes des courriels, de télécharger des ressources ou de cliquer sur des liens qui ne proviennent pas d’une source ou d’un contact de confiance”.

L’Équipe CIberObs