Cybercriminalité en Afrique de l’Ouest : vers une organisation des États ?

L’Afrique de l’Ouest est un ensemble géopolitique couvrant la partie occidentale de l’Afrique. Elle comprend les pays côtiers au nord du Golfe de Guinée jusqu’au fleuve Sénégal, les pays couverts par le bassin du fleuve Niger ainsi que l’arrière-pays sahélien. L’accès à Internet, qui passe majoritairement par l’intermédiaire du téléphone mobile, ne fait que s’accroitre. En 2015, seulement 15% des habitants étaient couverts par le réseau 4G, pour 63% en 2020. Toutefois, cette croissance n’est pas homogène dans tous les États. « Entre 2000 et 2021, le taux de croissance au Togo a atteint 912%, représentant le pays avec la plus forte augmentation. [1]», tandis que le Cap Vert, sur cette même période, ne comptabilisait que 4,3%. Parallèlement, si le Nigéria est l’un des premiers pays d’Afrique avec plus de la moitié de sa population connectée, le Niger et le Tchad sont bien loin derrière avec respectivement 2,2% et 2,7% (données 2016) et font partie des États dont la population est la moins connectée.

Dans ces pays, ce sont majoritairement les jeunes qui se connectent. Selon le dernier rapport de l’ONU sur les perspectives démographiques mondiales, l’Afrique de l’Ouest est peuplée d’environ 391 millions d’habitants, dont plus de 60% auraient moins de 24 ans et subiraient pour beaucoup un chômage massif (31,2% pour les 15-24 ans et 11,9% en moyenne pour la région). Face à cela, de nombreux petits délinquants se sont tournés vers la cybercriminalité et les perspectives financières avantageuses qu’elle offrait (un phénomène qui a été accentué par la crise du Covid-19).

Aussi, dans certains cas, la cybercriminalité a littéralement permis « de sortir des gens de la rue ». Au Ghana, la population en est même venue à donner aux hackeurs un statut social privilégié et une intégration pleine et entière dans la société sous le nom de « Sakawa boys ».

Une pluralité de menaces

En 2021, INTERPOL publiait un rapport sur la cybercriminalité sur le continent africain et présentait un état des lieux des menaces criminelles sur Internet. Sans surprise, l’Afrique de l’Ouest était touchée par l’ensemble d’entre elles :

Escroqueries en ligne – Pour les pays africains, les escroqueries en ligne représentent la menace la plus fréquemment signalée et la plus pressante dans la région. Cette dernière cible et exploite les peurs, les insécurités et les vulnérabilités des victimes en recourant à l’hameçonnage, aux campagnes d’envoi massif de messages électroniques et à l’ingénierie sociale. Les pays membres ont signalé une hausse accentuée du nombre d’escroqueries bancaires en ligne, et notamment de cas de fraude bancaire et de fraude à la carte de crédit.

Extorsion en ligne — L’extorsion en ligne cible les particuliers soit en alléguant de la détention d’images sexuellement compromettantes, soit par des campagnes de chantage direct. Même si ces menaces sont loin d’être nouvelles, la transformation numérique de la société — en particulier au sein de la région africaine — a créé de nouveaux vecteurs d’attaque pour les malfaiteurs pour à la fois brouiller leur identité et cibler de nouvelles victimes.

Escroqueries aux faux ordres de virement – Aux côtés des escroqueries en ligne, les escroqueries aux faux ordres de virement (FOVI) ont été identifiées comme une préoccupation et une menace de premier plan pour la région. En Afrique, les entreprises et les organisations qui dépendent lourdement des transactions par virement sont vulnérables à cette menace.

Rançongiciels – Au cours de la seule année 2020, plus de 61% des entreprises de la région auraient subi des attaques par rançongiciel. Ces attaques ont ciblé les infrastructures essentielles de certains pays africains, notamment dans les secteurs de la santé et du maritime.

Botnets – Les botnets sont des réseaux de machines infectées utilisées pour automatiser des campagnes à grande échelle comme des attaques par déni de service distribué (DDoS), des campagnes d’hameçonnage, la propagation de « maliciels », etc. Près de 50 000 détections de victimes de botnets ont été dénombrées en Afrique, avec une moyenne mensuelle de 3 900 détections.

Dans la région, les principales cibles sont les pays occidentaux francophones et les États-Unis. Cependant, il y a une augmentation du nombre d’attaques visant les locaux. En 2016, la Côte d’Ivoire a perdu environ 2,5 millions d’euros à cause de ces attaques, tout comme le Nigéria qui a subi plus de 600 millions de dollars de pertes annuelles en 2017.

Pour une pluralité d’acteurs

Dans le cyberespace ouest-africain, en plus de la simple criminalité, l’on retrouve la présence de groupes non étatiques, à la fois des oppositions armées et/ou des djihadistes. L’intervention occidentale en Libye a eu pour effet de déstabiliser fortement la région et de favoriser l’émergence de telles organisations politico-militaires et par conséquent leur présence sur Internet. De multiples groupes, en compétition, opèrent en Afrique de l’Ouest, parmi lesquels Al-Qaeda au Maghreb islamique (AQMI), l’État islamique dans le grand Sahara (EIGS) et Boko-Haram. Ces groupes ont saisi l’importance de la toile dans leur lutte religieuse. Ils l’utilisent non seulement pour communiquer, mais aussi pour recruter et mener des opérations de propagande et d’influence.

La technicité a aussi évolué et certains groupes criminels sont passés de simples vidéos postées en ligne à de véritables productions, mettant en place des stratégies de communication pour accompagner leurs actions. Ils peuvent eux aussi lancer des cyberattaques afin de récolter des fonds pour leur mouvement ou pour mettre hors service des systèmes informatiques de pays ennemis.

La France, qui intervient militairement dans la région pour s’opposer à ces groupes, en fait les frais. Ces organisations et des États ennemis, comme la Russie, attisent avec des fake news et/ou une information orientée, le sentiment anti-français dans la région tout en critiquant les gouvernements qui lui sont alliés. Face à l’ampleur et à la multiplicité des menaces dans le cyberespace, certains États de la région ont décidé de s’organiser.

Vers une réponse collective ?

Des États d’Afrique de l’Ouest ont pris conscience des menaces, de leur vulnérabilité et de la nécessité d’acquérir les capacités nécessaires à la maîtrise de leur espace numérique. Le climat, le manque de financement et le faible développement des infrastructures limitent leurs actions, mais des pays s’organisent collectivement. « L’adoption de la convention sur la cybersécurité et la protection des données à caractère personnel — dite Convention de Malabo — par l’Union africaine en 2014 et les récents développements législatifs et opérationnels de la Côte d’Ivoire, du Sénégal ou encore du Burkina Faso, en ont été les premiers signes. » En novembre 2018, l’inauguration de l’École nationale à vocation régionale (ENVR) de cybersécurité de Dakar, et l’accent mis sur ce thème lors des deux dernières éditions du Forum international sur la paix et la sécurité en Afrique au Sénégal ont démontré un intérêt croissant pour le sujet. Au mois de mars de cette année, le Togo a organisé une conférence internationale sur la cybersécurité où une trentaine de pays étaient présents. À l’occasion de ce rassemblement, le chef de l’État togolais, Faure Gnassingbé, a déclaré que « La cybersécurité est l’un des enjeux majeurs de notre temps […] mis en place de structures opérationnelles nationales en matière de cybersécurité, ouvrant la voie à une coopération active avec les pays africains et avec tous les acteurs de l’écosystème numérique ».

L’enjeu est multiple. Les États d’Afrique de l’Ouest doivent coopérer et se doter des moyens, des cadres juridiques et des infrastructures nécessaires pour parvenir à imposer leur souveraineté dans leurs espaces numériques respectifs. En plus des cybercriminels, ceux-ci doivent faire face aux volontés d’expansion de la Chine et des GAFAM dans la région. Ainsi les États tentent, à travers des institutions internationales telles l’Union africaine et la Communauté économique des États d’Afrique de l’Ouest (CEDEAO) et avec des aides internationales, de bâtir leur souveraineté numérique.