Cybercriminalité : le groupe Karakurt divulgue une première partie des données de l’Artp
Il y’a moins d’une semaine, le groupe de hackers Karakurt a menacé de rendre publique, ce lundi 17 octobre, 102 gigaoctets de données piratées à l’Autorité de régulation des télécommunications et des postes (Artp) du Sénégal. Après avoir revendiqué son attaque la semaine dernière, le groupe aurait demandé une rançon dont le montant n’a pas été divulgué. 102 gigaoctets de données stratégiques seront divulgués en cas de non-paiement, avaient précisé les hackers. Hier, le groupe de cybercriminels a mis sa menace à exécution en divulguant une première partie des données de l’Artp. Selon nos informations, le piratage de l’Artp concerne exclusivement les boites mails de salariés de l’Artp. Il s’agit d’échanges avec des ministères, avec d’autres personnes d’autres pays, mais également des données sur des projets passés, en cours ou à venir au Sénégal qui n’étaient pas publics jusqu’ici.
L’Artp fait désormais partie des nombreuses victimes du groupe Karakurt. En effet, après avoir revendiqué une attaque contre le système de l’ARTP la semaine dernière et demandé une rançon dont le montant n’a pas été divulgué, le groupe de hackers Karakurt a mis sa menace à exécution en divulguant une première partie des données de l’ARTP hier. Selon le spécialiste de la cybercriminalité et Cofondateur de Hackers Sans Frontières, SaxX, Karakurt a bel et bien divulgué une partie des données de l’Artpce lundi 17 octobre à 16h45 plus précisément. « Le groupe de cybercriminels de hackers Karakurt a mis sa menace à exécution. Ce lundi 17/10 à 14h45 (GMT+2), une première partie des données de l’ARTP du Sénégal, l’Autorité de Régulation des Télécoms et Postes, a été divulguée ! », a déclaré le nommé SaxX sur Twitter.
A l’en croire, l’attaque concerne surtout des boites mails « d’un nombre important de salariés de l’Artp ». Il s’agit, précise la source, d’échanges avec des ministères ou encore avec d’autres personnes d’autres pays, mais également des données sur des projets passés, en cours ou à venir au Sénégal qui n’étaient pas publics jusqu’ici. Alors que pour ce qui est du type des documents concernés, ça va des Pdf, Word, Excel.
« Le piratage de l’Artp concerne exclusivement les boites mails d’un nombre important de salariés de l’Artp. Parmi ces employés, certains occupent des postes stratégiques. On va donc retrouver des données très sensibles : des échanges avec des ministères, d’autres personnes d’autres pays, des données sur des projets passés, en cours ou à venir au Sénégal qui n’étaient pas publics jusqu’ici, des documents de type Pdf, Word, Excel… », a expliqué le spécialiste de la cybercriminalité et Cofondateur de Hackers Sans Frontières, SaxX. Avant de poursuivre pour ajouter que des PII (Personal Identifiable Information) comme des adresses mails, des numéros de téléphones, des passeports, des cartes d’identités, des adresses postales… font également parti du « butin » des cybercriminels.
Cependant, le régulateur télécoms sénégalais n’est pas la seule victime du groupe de hackers qui a dévoilé plusieurs autres entreprises actuellement touchées par ses attaques informatiques. Au 15 octobre, apprend-on, l’Artp faisait encore partie des quelques organisations qui avaient refusé toutes négociations avec les pirates.
Au regard de la situation, plusieurs questions se posent désormais selon les spécialistes. Il s’agit notamment la plus importante, celle de savoir comment l’Artp va gère cette fuite massif d’informations ou encore comment l’Artp rebondira après cette cyberattaque. On peut également se demander où en est la politique de sécurité du Sénégal ou encore quelles sont les obligations légales pour des institutions comme l’ARTP en terme de reporting à un organe central ou encore quel organe central pour prendre en charge rapidement ces cyberattaques qui vont devenir récurrentes au Sénégal et en Afrique. Les chantiers à lancer pour cartographier la surface d’exposition du Sénégal sont également à prendre en compte.
Selon l’entreprise de conseil informatique Accenture, Kakakurt est actif depuis juin 2021. Le groupe cible les organisations de petite et moyenne taille. Il s’infiltre progressivement dans un système informatique pour en extraire les données. Il n’injecte pas de malwares potentiellement destructeurs. Après l’extraction, il passe au chantage à la rançon pour ne pas diffuser les données publiquement ou à la concurrence. Accenture indique que le groupe modifie ses tactiques en fonction de l’environnement de la victime, privilégiant les attaques de type « Living off the Land (LotL) ». D’après la société de sécurité informatique Kaspersky, cette cyberattaque utilise des logiciels et des fonctions légitimes disponibles dans le système de la victime pour y effectuer des actions malveillantes.
En juin 2022, le Bureau fédéral d’investigation (FBI) américain, l’Agence de cybersécurité et de sécurité des infrastructures (CISA), le département du Trésor et le réseau de lutte contre la criminalité financière (FinCEN) publiaient un avis conjoint de cybersécurité interpellant les entreprises et organisations sur les agissements de Karakurt. Ils indiquaient que les demandes de rançon connues oscillaient entre 25 000 $ et 13 000 000 $ en Bitcoin.
Dans son dernier rapport « Global Cybersecurity Index », publié en 2020, l’Union internationale des télécommunications (UIT) indiquait que seuls 23 pays africains avaient une stratégie nationale de cybersécurité ; 19 un centre d’alerte et de réponse aux cyberattaques (CERT). Seuls 31 avaient une législation sur le piratage des réseaux ; 6 avaient un mécanisme de développement des compétences en cybersécurité. Seuls 15 pays affichaient un niveau de préparation de la cybersécurité supérieur à la moyenne mondiale. L’île Maurice demeurait leader du continent, depuis 2014 alors que le Sénégal pointe à la 21e place au dernier classement.
Abdoulaye NDAO
