Ingénieur en cybersécurité, le Franco-Sénégalais Clément Domingo est aussi un hacker parmi les plus en vue, sous le pseudonyme de SaxX.
Cofondateur de la communauté de hackers Hexpresso il y a huit ans, il coordonne les activités de cette communauté entre les membres en France et quelques contacts à Dakar. Le jeune homme de 29 ans revendique le côté « éthique » de son activité, qu’il met au service des entreprises afin de repérer les failles de leurs systèmes numériques.
Depuis huit mois, il se penche notamment sur la cybersécurité en Afrique, proposant aux entreprises africaines de les aider à corriger les vulnérabilités de leurs sites internet ou de leurs applications mobiles. Ce mois-ci, il a notamment aidé l’Agence béninoise de cybersécurité (Anssi) à organiser le HackerLab, un concours pour recruter les meilleurs hackers, qui se termine le 30 septembre.
Il livre à Jeune Afrique un constat alarmant sur l’état de la cybersécurité sur le continent.
Jeune Afrique : Dans un rapport publié fin septembre, Kaspersky, éditeur de logiciels de cybersécurité, a répertorié 28 millions de cyberattaques en Afrique entre janvier et août 2020. Ces chiffres sont-ils inquiétants ?
Clément Domingo (SaxX) : À l’heure actuelle, ces chiffres sont encore bien en-dessous de ceux que l’on peut trouver en Europe ou en Amérique du Nord. Mais ils augmentent à mesure que la numérisation du continent s’améliore et il faut vraiment tirer la sonnette d’alarme si l’on ne veut pas se retrouver avec un énorme chaos numérique en Afrique d’ici deux ans.
Les entreprises africaines ne sont pas du tout sensibilisées à la cybersécurité. J’ai eu l’occasion, pendant le confinement, de tester une application de mobile money pendant un mois pour la filiale ouest-africaine d’un opérateur européen. Nous avons trouvé énormément de vulnérabilités, qui ont heureusement été corrigées depuis. J’ai également contacté un autre opérateur pour lui signaler des vulnérabilités dans une de ses applications, il y a deux mois. À l’heure actuelle, elles ne sont toujours pas corrigées.
C’est aux États de faire ce travail. Aujourd’hui, il y a encore très peu d’agences de cybersécurité dans les pays d’Afrique francophone, par exemple. Celle du Bénin, qui organise le HackerLab jusqu’au 30 septembre, est presque une exception.
D’ailleurs, toujours pendant le confinement, j’ai trouvé une application gérée par un gouvernement d’Afrique de l’Ouest où étaient exposées les informations trois millions de citoyens. Au bout d’une journée à essayer d’alerter les autorités du pays, j’ai finalement pu joindre quelques personnes au bout d’une journée, mais chacun se renvoyait la balle.
Comment expliquez-vous, alors, qu’aucune entreprise n’ait à ce jour été totalement paralysée, à l’image de ce qui s’est passé pour Garmin ou de Honda, pour prendre des exemples récents ?
On y viendra très vite ! Les entreprises africaines sont exposées aux dix attaques les plus communes identifiées par l’ONG Open Web Application Security Project (Owasp).
Tout particulièrement à trois d’entre elles : l’injection SQL, qui permet aux pirates d’avoir accès à toute la base de données d’une entreprise ; l’exposition de données sensibles mal protégées due à des défauts de configuration des systèmes ; et le rançongiciel (ransomware), qui consiste à chiffrer les données d’une entreprise et d’exiger un rançon en échange de leur restitution.
Dans ce dernier cas, l’infiltration se produit généralement par du hameçonnage (phishing) ou harponnage (spearphishing), soit l’envoi de courriels vérolés. Les attaques de ce type peuvent être évitées en ayant une meilleure gestion du système d’information d’une entreprise (mise à jour des logiciels et des règles de sécurité…) et en faisant régulièrement des sauvegardes.
Pour donner un autre exemple, j’ai été contacté par une société industrielle d’Afrique de l’Ouest qui avait été touchée par une cyberattaque. Je me suis rendu compte que leur dernière sauvegarde remontait à un mois, alors que l’équivalent de 30 millions de francs CFA (46 000 euros) de chiffre d’affaires avait été réalisé entre-temps !
Par ailleurs, beaucoup d’entreprises africaines ne font pas de veille sur les produits et logiciels qui sont installés chez elles. Ce qui fait que lorsqu’il y a de grosses vulnérabilités, elles sont les premières attaquées. Dès que l’on passe du temps sur des outils de recherche en sécurité accessibles à tous, comme Shodan, ou son équivalent chinois FOFA, le constat est alarmant quant aux actifs des entreprises africaines exposés sans sécurité.
Pour corriger cela, il faut aussi bénéficier d’individus compétents, formés à la cybersécurité. Mis à part dans les pays d’Afrique du Nord, cela n’existe pas sur le continent.
Il n’y a vraiment aucune communauté de chercheurs en sécurité numérique en Afrique ?
Il n’y a pas, à ma connaissance, de société spécialisée dans le bug bounty ou les tests de pénétration en Afrique, ou alors elles sont vraiment peu visibles. Pire encore, il n’y a à ce jour aucune formation en cybersécurité, bien que des universités commencent à créer des parcours orientés vers ce sujet.
En 2018, la France et le Sénégal ont signé un accord pour créer une école nationale de cybersécurité à vocation régionale. Deux ans plus tard, cette école n’a toujours pas vu le jour. Je pense qu’ils ont tout simplement du mal à recruter des professeurs, des intervenants en cybersécurité sur le continent africain.
C’est pourquoi, le chercheur en sécurité connu sous le nom de Chaignc, membre du même collectif de hackers en France que moi, Hexpresso, a monté Chaignc Academy, qui offre des cours gratuit d’initiation au hacking qui regroupe, sur la platefrome Discord, une centaine de jeunes Africains, du Sénégal à Madagascar.
En début d’année 2020, nous étions très actifs et nous donnions des cours tous les deux jours, le soir entre 22 heures et minuit, heures françaises. Les sessions allaient de « comment hacker un site web » à des défis de tests de pénétration. Nous avons été moins assidus depuis le déconfinement, mais je pense que nous allons reprendre activement à partir de novembre. Nous avons tenté d’en parler à des gouvernements et des entreprises, sans succès pour le moment.
Une autre communauté, Pyramid Hackers, a été créée par le Togolais Adama Assiongbon, que j’avais rencontré lors des Security Days, à Dakar. Il s’agit d’un ensemble de groupes WhatsApp regroupant près de 500 étudiants en informatique, de chercheurs en sécurité ou de hackers amateurs d’Afrique de l’Ouest mais aussi quelques personnes qui travaillent au sein de gouvernements – certains responsables de la sécurité de grandes entreprises ont été ajoutés mais ils n’ont pas encore pris le temps de voir ce que l’on y fait.
Je suis également en train de travailler avec Arnaud Aken Elion, fondateur de la société Skytech-Congo, pour lancer, d’ici la fin de l’année 2020, un événement global à Brazzaville dédié à la cybersécurité, à l’image des Assises de la sécurité, qui se déroulent chaque année à Monaco, d’abord dans la sous-région d’Afrique centrale puis, à terme, pour toute l’Afrique francophone.
