Des hackers ont lancé le vendredi dernier, une importante attaque sur de nombreux sites du Gouvernement sénégalais. Dans ce contexte politique très tendu, ils disent vouloir « libérer le Sénégal de la dictature ».

Ce sont plusieurs dizaines de sites Internet qui étaient inaccessibles avant d’être rétablis. Papa Gora Samb, expert en Cybersécurité, président–fondateur de Secure Solutions Sénégal est largement revenu sur ce type d’attaque, avant de proposer des solutions pour faire face.

Selon le référentiel européen de cyber–incident, « c’est un groupe de hacktivistes qui n’est pas bien connu mais qui a récemment attaqué le ministère éthiopien de la Santé, réussi un DDOS à un média indien et récemment le Gouvernement du Sénégal. Les hacktivistes sont motivés par un changement politique, social, ou religieux et ne sont nullement motivés par l’argent », a expliqué M. Samb, ajoutant que « leur but c’est donc d’encourager un changement politique ».

A en croire M. Samb, « les attaques DDOS (Distributed Denial of Service) sont les attaques les plus élémentaires en Cybersécurité, mais elles peuvent causer “d’énormes dégâts si une réponse efficace et adéquate n’est pas apportée“. Ces attaques sont effectuées avec des réseaux de machines connectées à Internet. Et ces réseaux sont constitués d’ordinateurs et d’autres appareils (tels que des appareils IoT) qui ont été infectés par des logiciels malveillants, ce qui leur permet d’être contrôlés à distance par un attaquant », a-t-il expliqué.

Dans la lancée, Pape Gora Samb enchérira : « Ces appareils individuels sont appelés robots (ou zombies), et un groupe de robots est appelé botnet. Une fois qu’un botnet a été établi, l’attaquant est en mesure de diriger une attaque en envoyant des instructions à distance à chaque bot. Lorsque le serveur ou le réseau d’une victime est ciblé par le botnet, chaque bot envoie des demandes à l’adresse IP de la cible, ce qui peut entraîner un débordement du serveur ou du réseau. Ce qui entraîne un déni de service vers le trafic normal ! »

En outre, M. Samb a soutenu que «  chaque robot est un appareil internet légitime, il peut être difficile mais pas impossible de séparer le trafic d’attaque du trafic normal. Il faut donc savoir de quel type de DDOS le Sénégal a été victime car il existe beaucoup types de DDOS attaquants et différentes couches de l’OSI model à savoir : “Attaque de la couche d’application ou layer 7,  Http flood, Protocol attack ou state exhaustion attack, SYN flood attack, Volumetric attack et  DNS amplification ou multi vectors.U“ ».

Un simple communiqué ne peut pas déterminer les causes exactes encore moins les solutions

Le Gouvernement sénégalais a sorti un communiqué, pour reconnaitre les attaques et les réponses à apporter. Mais, pour le président–fondateur de Secure Solutions Sénégal, « tous ceux–ci sont des types de DDOS attaques qu’un simple communiqué ne peut pas déterminer les causes exactes encore moins les solutions.

Même s’il est d’accord avec le communiqué du Gouvernement pour éclairer le Peuple, mais la manière reste à digérer. En matière de sécurité il y a ce qu’on appelle le « risk management strategy » ou « stratégie de gestion des risques ». Ce qui était un risque faible hier pourrait devenir un risque élevé demain. Du coup, mentionner le nom de ces “hacktivistes“ dans un communiqué d’un Gouvernement sérieux, leur donne d’avantages de crédibilité et donc révèle l’embarras du Gouvernement sénégalais. »

« Il existe des méthodes adéquates de communication en matière de Cybersécurité », a-t-il trouvé. 

Mise en place d’une structure nationale de Cybersécurité au Sénégal…

Pour faire face à ces attaques, il n’y a pas de stratégie “one size fits all“, selon M. Samb, mais plutôt des stratégies de défenses en profondeurs (couche par couche).

– Est–ce qu’il en existe ?

– J’en doute ! Quel est notre plan de réponses aux incidents ? Qui doit faire quoi ? Y a–t–il des stratégies non pas de Cybersécurité mais de cyber-défenses en place ? Quel est notre business continuity plan ? Que compose notre disaster recovery plan ? Quel est notre Recovery Time Objective ?

Toutes ces questions devraient normalement être adressées à l’agence chargée de la Cybersécurité au Sénégal, qui, semble ne pas exister, malheureusement.

Afin d’éviter de telles attaques à l’avenir, il a proposé la mise en place d’une structure nationale de Cybersécurité au Sénégal.