Piratage de banques : « Le principal perdant, c’est l’Etat », Younoussa Sanfo, expert en sécurité informatique
Banques, services de paiement mobile, sociétés d’Etat, personnalités politiques. Nul n’est à l’abri des cybercriminels, ces hors-la-loi qui semblent avoir une longueur d’avance sur leurs victimes. La lutte contre la cybercriminalité est un travail de longue haleine et le plus grand obstacle, selon Younoussa Sanfo, expert en sécurité informatique, demeure « l’obscurantisme », de certains acteurs. Dans une interview qu’il nous a accordée, vendredi 24 mars 2017 à Ouagadougou, l’homme aborde sans faux-fuyant les contours de la 3e grande menace de la planétaire.
Lefaso.net : Un ancien policier devenu expert en sécurité informatique. Quelle est l’histoire ?
Youn Sanfo : Pour moi, c’est une évolution, une continuité. J’étais inspecteur de police. J’ai travaillé dans les Renseignements, à la Sûreté de l’Etat, à la Police de l’aéroport, à la Brigade de recherche. J’ai travaillé dans des services où le traitement de l’information était le nerf de la guerre. Celui qui arrivait le mieux à traiter l’information faisait la différence. Quand j’ai voulu reprendre les études, je ne visais pas obligatoirement l’informatique. C’est à la suite d’un test qu’on m’a orienté en informatique. Aux autres camarades, on a proposé trois filières et à moi, une seule. Informatique, informatique ou informatique. Dès que j’ai commencé l’informatique, très rapidement, la sécurité a commencé à m’intéresser parce que je faisais un parallèle avec mon métier de policier. Faire la sécurité informatique, reviens en quelque sorte à faire mon ancien métier.
Lefaso.net : Parlez-nous de vos débuts dans le domaine au Burkina ?
Youn Sanfo : J’ai créé Intrapole mais je n’avais pas de clients. J’essayais de sensibiliser les gens mais on ne m’écoutait pas. Les gens se demandaient comment on ne pouvait faire que de la sécurité. A l’époque, il n’y avait même pas de spécialiste en sécurité en Afrique. J’ai dû repartir en France et je venais de temps en temps jusqu’à ce que la DELGI (Délégation générale de l’informatique, ndlr) me fasse appel pour l’aider à installer des serveurs sécurisés. Une Banque m’a ensuite appelé.
L’information est passée de bouche à oreille et j’ai travaillé avec deux autres banques. C’est après cela que je suis revenu m’installer parce que j’avais déjà des clients pour payer mes salariés. Depuis cinq ans, je ne vais pas chercher les clients. C’est eux qui viennent à moi. Je ne regrette pas d’avoir quitté la France parce qu’ici je suis plus utile à mon pays. En 2000, nous étions six experts en sécurité en France. Aujourd’hui, il y a près de 3000 experts en sécurité.
Lefaso.net : En tant qu’expert, pouvez-vous nous donner une définition simple de la cybercriminalité ?
Youn Sanfo : La cybercriminalité est l’ensemble des infractions liées soit à l’utilisation d’un ordinateur, d’un téléphone, à l’exploitation du numérique, de l’information ; soit une infraction dirigée contre ces outils ou fait avec l’aide de ceux-là.
Lefaso.net : A quel moment a-t-on commencé à parler de cybercriminalité au Burkina ?
Youn Sanfo : On a commencé à parler de cybercriminalité depuis qu’on a commencé à utiliser internet. Le fait existait, c’est-à-dire qu’il y avait des crimes de nature cyber mais le mot « cybercriminalité » n’était pas connu. Lorsque les gens avaient des ordinateurs, il y a 20 ans, il y en a qui tentaient de modifier des écritures dans les entreprises. Aujourd’hui, c’est puni dans le cadre de la cybercriminalité mais à cette époque, on n’en parlait pas. Internet étant un monde totalement connecté, même les apprentis en matière de cybercriminalité apprennent très vite parce qu’ils ont plus de ressources. C’est là qu’on a vu apparaitre les brouteurs en Côte d’Ivoire. Ces brouteurs sont un peu partout et on les retrouve même au Burkina Faso.
Lefaso.net : Quelle est l’ampleur du phénomène au Burkina Faso ?
Youn Sanfo : Tous les jours que Dieu fait au Burkina, les postes de police, les brigades de gendarmerie et les tribunaux, enregistrent des plaintes pour des faits de cybercriminalité. Cela va de l’escroquerie au chantage ou à d’autres formes de menaces dont les internautes, les citoyens sont victimes.
Je n’ai pas fait de statistiques mais on peut dire que le fléau est croissant, que les cybercriminels accroissent leurs capacités de nuisance et que les victimes sont de plus en plus nombreuses.
Lefaso.net : Qui sont les principales proies des cybercriminels et quels sont les modes opératoires les plus usités ?
Youn Sanfo : Les victimes, c’est presque tout le monde. Les principales proies sont les réseaux de téléphonie mobile, surtout les services de paiement mobile, les banques, les services de transfert d’argent, les services de l’Etat (impôts, douanes, trésor public, budget, paie des fonctionnaires), les sociétés d’Etat qui fournissent des services. Il y a également des personnes cibles tels que les ministres, les directeurs généraux, les députés, les personnalités politiques, les professeurs reconnus, le procureur, les opérateurs économiques etc ...
Pour ce qui est du mode opératoire, retenez qu’il dépend de l’acte commis. Il y a quelques années, on pouvait détecter des escrocs, rien qu’avec du bon sens. A l’époque, on recevait un message soit disant d’une entreprise qui a pignon sur rue, mais avec tellement de fautes d’orthographe ou de syntaxe qu’il fallait vraiment le vouloir pour se faire escroquer. Malheureusement, les cybercriminels montent en puissance. Ils se font aider par des personnes qui écrivent bien, par des juristes et par des informaticiens. Du coup, l’arnaque ne se voit plus comme avant, même si la plupart des techniques ne sont pas sophistiquées.
Actuellement, parmi les techniques qui font recette on peut citer le Fishing qui est une technique utilisée par des cybercriminels pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. Le fraudeur imite par exemple le site de votre banque, vous envoie un message pour vous demander de modifier certaines informations en vous expliquant que cela contribue à vous protéger. Si vous ne détectez pas la supercherie, vous pouvez donner vos identifiants à un cybercriminel. Parfois, le Fishing est une étape pour effectuer un acte de piratage plus dangereux. Il en existe d’autres, plus ou moins pernicieux, que je me garde de citer ici.
L’autre mode opératoire très usité actuellement est le spoofing. C’est le fait de se faire passer pour une autre personne, pour une machine, afin d’obtenir des privilèges auxquels on n’a pas droit. Chaque fois que vous entendez qu’une banque a été piratée, cette technique a été utilisée obligatoirement. Parce que de nos jours, même la banque la moins sécurisée prend le soin de « reconnaitre » et d’authentifier les utilisateurs ou les ordinateurs de son réseau. C’est la moindre des précautions. Le cybercriminel ne peut accéder aux données bancaires qu’en se faisant passer pour un élément du réseau.
Lefaso.net : En tant qu’expert, avez-vous déjà été la cible de cybercriminels ?
Youn Sanfo : Notre site internet est attaqué quasiment tous les jours. Sur le site, il n’y a que des informations que nous donnons aux internautes pour les sensibiliser. On parle aussi de l’entreprise et on ne sait pas pourquoi, il y a un tel engouement des pirates pour notre site. Un jour, quelqu’un m’a dit qu’à l’université il faisait des défis avec ses amis ; l’un d’eux consistait à pirater le site web d’Intrapole. Je ne sais pas si ce sont ces défis qui continuent jusqu’aujourd’hui. Au début, on a commencé à tracer les pirates pour savoir d’où ça provient et je dois vous dire qu’on a été parfois très surpris. Et on se demande vraiment quels intérêts ont-ils à nous attaquer ?
A part cela, personnellement j’ai déjà été victime. J’ai fait un achat sur Internet et le lendemain matin, j’ai constaté qu’en dehors de mon achat, quelqu’un a utilisé ma carte pour acheter un billet d’avion en Inde. J’ai très rapidement appelé ma banque qui a bloqué et qui m’a remboursé. Bien que je sois très sensibilisé, nous sommes des humains et il nous arrive de commettre des imprudences. Mais, bon, je ne suis pas la cible idéale pour les cybercriminels parce que je prends un certain nombre de précautions et j’ai une idée de la manière dont ils procèdent.
Lefaso.net : Est-ce une aventure palpitante que de traquer des cybercriminels ?
Youn Sanfo : J’ai 48 ans. Si j’en avais 20, peut-être que cela m’aurait amusé. Aujourd’hui après près d’une vingtaine d’années d’activités, ça ne m’amuse plus trop. Mais aujourd’hui, c’est d’autres personnes qui le font.
Lefaso.net : La semaine dernière, des hackers se sont introduits dans le système informatique de la banque CBAO au Sénégal et ont subtilisé des centaines de millions de francs CFA. Des personnes ont été arrêtées au Burkina et au Sénégal. Est-il possible de mener un tel piratage sans une complicité interne ?
Youn Sanfo : Je n’aime pas répondre aux questions qui concernent les banques car cela génère de mauvaises interprétations. La dernière attaque dont vous parlez ne devrait plus aboutir dans aucune banque. En fait, la principale victime d’un piratage de banque, c’est l’Etat parce que la banque est assurée et va enregistrer les sommes dérobées dans la rubrique « perte ». Une perte ne sera pas soumise à TVA ni imposée. Donc, le principal perdant c’est l’Etat, et c’est à l’Etat de sévir.
Les banques font partie des OIV (Organisme d’Intérêt Vital). L’Etat doit donc vérifier si elles ont pris toutes les mesures pour éviter ce type d’évasion de devises et surtout, être sûr que derrière ce qui est présenté comme un piratage, on n’est pas face à un jeu de dupe pour gruger l’Etat.
Retenez une chose : les derniers piratages ne peuvent se faire sans complicité interne si on analyse le mode opératoire. Pour l’instant les personnes arrêtées sont des « mules ». C’est du menu fretin. Si ce n’est déjà fait, il faut retrouver les cerveaux, qui ne sont peut-être pas très loin de la scène de crime.
Lefaso.net : Après une attaque cybercriminelle de ce genre, quelle est la première mesure à prendre au niveau de la banque ?
Youn Sanfo : Déclencher la traçabilité, soupçonner tout le monde, du directeur général au dernier stagiaire, et rechercher le ou les complices internes.
Lefaso.net : Guérir, c’est bien mais quelles précautions doivent prendre les banques en termes de sécurité avant leur ouverture ?
Youn Sanfo : L’Etat devrait imposer un cahier des charges aux banques pour que certaines failles ne puissent persister. L’Etat devra effectuer des contrôles assortis d’amendes à tous les OIV, banques y compris.
Lefaso.net : A qui la faute lorsqu’une attaque cybercriminelle a lieu ?
Youn Sanfo : En général, c’est à 80% des erreurs humaines. Dans les entreprises, parfois, on ne mesure pas assez le degré de sécurité que l’entreprise devrait avoir. On va se sécuriser mais pas à un niveau assez suffisant pour ne pas être piraté. Chaque fois qu’une entreprise a des problèmes de sécurité, on évite de lui jeter la pierre parce qu’il suffit d’une seule faille pour que le système soit compromis. Je dirai que la sécurité est une sorte de balances entre les menaces, les risques et la valeur de ce que vous avez à protéger. Si ce que vous avez à protéger a une valeur de 200, vous n’allez pas dépenser 500 pour le protéger.
Lefaso.net : Il est souvent reproché aux informaticiens d’être trop négligents et de préférer souvent des logiciels crackés aux licences officielles.
Youn Sanfo : Il y a quelques années, nous avons beaucoup parlé des informaticiens qui étaient très négligents. C’était vrai. Quand nous en parlions, les informaticiens n’étaient pas contents parce qu’ils trouvaient qu’on les accusait. Et pourtant, ils étaient les premiers à banaliser la sécurité. Ils ont fait peut-être quelques heures de sécurité durant tout leur cursus, et ils te diront qu’ils ont un antivirus et un firewall. Il y a quelques années, c’est ce qu’ils disaient. Mais, aujourd’hui, ils ont compris que la sécurité n’était pas une question de dispositif. Ça va au-delà de cela. Ce que nous nous évertuons à leur faire comprendre, c’est que le comportement humain, c’est-à-dire de l’utilisateur et de l’informaticien, est à la base de tout.
Il y a quelques années, nous avons fait plusieurs tests. Quand on voulait par exemple montrer à une entreprise qu’il est facile de l’attaquer, on leur demandait de nous commander un test d’intrusion. A chaque fois qu’on nous a appelés, on a réussi à prendre le contrôle du système. Pourquoi ? Parce que le niveau de sécurité n’avait pas atteint ce qu’il fallait pour que la structure soit entièrement protégée. Au Burkina, il y a des entreprises qui sont assez bien protégées et qui ne se plaignent jamais de problèmes de sécurité. Et puis, il y a ceux qui négligent la sécurité et qui en payent les frais.
Lefaso.net : Quelles sont ces entreprises ?
Youn Sanfo : Je ne peux pas vous les citer. Il y en a qui sont mes clients et même quand ce ne sont pas mes clients, je n’ai pas à balancer le nom d’une entreprise qui est un peu légère sur sa sécurité.
Lefaso.net : Aujourd’hui, quels sont les plus grands obstacles dans la lutte contre la cybercriminalité ?
Youn Sanfo : Au Burkina Faso, le plus grand obstacle, c’est l’obscurantisme. Les gens luttent contre la cybercriminalité « avec la bouche », dans les secrets des bureaux, en chuchotant à l’oreille des autorités. La plupart sont des mystificateurs. Personne ne les a jamais vus gérer quoi que ce soit en matière de cybercriminalité. Depuis une dizaine d’années, on observe les mêmes acteurs théoriciens et nous avons eu plusieurs fois l’occasion de constater que dès que le pays est en difficulté ils disparaissent tous, pour réapparaitre quand le calme revient. Quand il faut mener des actions de lutte réelle au grand jour, nous nous retrouvons toujours seuls sans « ces grands génies ». Je leur suggère de s’inscrire dans des filières dédiées à la sécurité informatique et d’avoir de réelles compétences. Le pays en a besoin.
Le deuxième obstacle, c’est l’absence d’une structure compétente qui centralise tous les événements qui concourent à la lutte contre la cybercriminalité.
Pourtant l’Etat a fait des efforts et a créé des structures pour mener la lutte. Seule la Commission de l’Informatique et des Libertés (CIL) sort son épingle du jeu. Elle est présente sur le terrain et mène des actions de sensibilisation en direction de la population, surtout sa frange jeune, ainsi que vers les entreprises. Mais en dehors de la CIL et des forces de défense et de sécurité, l’Etat devra revoir toutes les autres structures qui ne font strictement rien pour lutter contre la cybercriminalité, hormis de grands discours savants.
Lefaso.net : Ces mystificateurs dont vous parlez, ne sont-ils pas vos concurrents ?
Youn Sanfo : La plupart des détracteurs de la sécurité sont des informaticiens. C’est paradoxal. Intrapole n’est pas la seule entreprise dans le domaine. Nous sommes les premiers mais nous ne sommes pas seuls. Nous discutons de temps en temps. Et ils ont tous le même problème : leurs détracteurs, ce sont les autres informaticiens. Notre premier interlocuteur devrait être l’informaticien. C’est lui qui pilote le projet de sécurité, et nous, nous l’aidons juste à mettre en place leur chantier sécurité et à faire des transferts de compétences afin qu’ils soient autonomes.
Lefaso.net : Depuis 2015, le Burkina Faso est la cible de plusieurs attaques terroristes. Entre une attaque terroriste et une attaque cybercriminelle, laquelle touche le plus à l’économie nationale ?
Youn Sanfo : Honnêtement, ça dépend des pays. Aux Etats-Unis, ils disent que la cybercriminalité est une plus grosse menace que le terrorisme. Chez nous, il faut voir parce qu’en général, les attaques terroristes ne visent pas l’économie. Il est vrai que ça contribue à affaiblir l’économie, mais celle-ci n’est pas directement visée. Ce n’est pas comme pour ceux qui ont des puits de pétrole. Je ne suis donc pas sûr qu’au Burkina, le terrorisme fasse plus de dégâts que la cybercriminalité ou vice versa. Mais, ce que je sais c’est que même dans les attaques terroristes, il y a de la cybercriminalité. Le terroriste, pendant qu’il prépare ses attaques, utilise internet. Il utilise la technologie. Donc, je ne dissocie pas le terrorisme de la cybercriminalité.
Lefaso.net : Pour finir, quels conseils pouvez-vous donner aux Burkinabè, vous dont le compte bancaire a été piraté ?
Youn Sanfo : Aux citoyens, je leur suggère de ne jamais adosser leur compte bancaire à la carte de crédit susceptible d’être utilisée sur Internet. En terme clair, la carte bancaire que vous utilisez pour effectuer des achats sur Internet ne doit contenir que de petites sommes. Même si la banque vous rembourse de temps en temps ce que le pirate vous a volé, cela reste désagréable de se retrouver par exemple à l’étranger avec une carte bancaire qui a été vidée de son contenu.
Si votre banque vous propose un moyen de connexion à distance, exigez de votre banque qu’elle mette à votre disposition une double authentification. En plus de votre couple « login + mot de passe », une validation par votre téléphone sera exigée pour vous permettre de prouver que vous êtes la bonne personne.
Interview réalisée par Herman Frédéric Bassolé
Lefaso.net
Vos commentaires
1. Le 25 mars 2017 à 17:57, par Tapsoba R(de H) En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
« En plus de votre couple « login + mot de passe », une validation par votre téléphone sera exigée pour vous permettre de prouver que vous êtes la bonne personne. » Parfaitement comme ça se passe chez moi.
C est la premiere des choses à faire pour que les utilisateurs effectuent leurs achats et payement de factures via internet en sécurité et en toute confiance.La double authentification via le téléphone consiste à recevoir un code de votre banque après avoir appuyé sur "envoyer" ,c est avec ce code que vous validerez votre opération.
2. Le 26 mars 2017 à 00:01, par burkimbila En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
Youn a encore frappé, avec son langage fleuri et direct. Le journaliste a interviewé un expert en cyber sécurité et il a réveillé le policier qui nous a raflé avec no gos en 1987 et il nous a enfermé au commissariat central. ha ha ha ce jour là, j’étais avec mon voisin qui est devenu plus tard ministre. mais je ne vous dirai pas qui c’est. indice : il a beaucoup de cheveux afro.
Bravo Youn SANFO, si tous les experts nous aprenaient autant chaque fois qu’on les lisait, le pays avancerait
3. Le 26 mars 2017 à 09:19, par Beogyinga En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
Bravo Mr Younoussa Sanfo. Chaque fois que je lis vos interviews, je ressors un peu plus informé sur ces sujets qui depassent le commun des mortels, mais dont nous sommes potentiellement les premieres victimes. Vous avez cité la CIL mais que devient donc l’Agence nationale de securite des systemes d information ? Est-elle operationnelle ? sinon, ne faut il pas renforcer ses capacites ? Et surtout, nos policiers et gendarmes sont ils formés pour tracker ces cyber escrocs ? en tous cas, merci d eclairer notre lanterne et bonne chance pour la suite de vos activites. J espere que vous aussi vous chuchotez a l’oreille de quelqu’un et qu’il vous ecoute. Bon vent
4. Le 27 mars 2017 à 06:41, par HAMADE En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
merci mon cher,bien dit je suis au garde a vous !!!!! mes vives Congratulations.....
5. Le 27 mars 2017 à 09:22, par Moi En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
Bravo voisin fantôme, et merci pour la richesse des réponses. Merci également au journaliste pour la pertinence des questions.
J’espère que certaines personnes comprendront l’importance d’avoir cette double authentification dont dispose déjà certaines banques de la place. Outre la réception de ce code par SMS, il y a la possibilité de générer un code grâce à une sorte de clé que l’on appel TOKEN.
Vivement que les pratiques et les mentalités changent au Faso !
6. Le 27 mars 2017 à 09:58, par Zidama En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
Merci Mr Younoussa SANFO pour nous avoir éclairer sur un des sujets sensibles de notre monde actuel la cybersecurité. La double authentification via le téléphone est l’une des solutions efficace a l’heure actuel pour mieux se protéger dans le cyberespace.
7. Le 27 mars 2017 à 12:45, par Rango En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
bonjour
Là il y a un problème si j’ai une bonne mémoire c’est le même SANFO qui assurait la securité des sites comme www.bcb.bf ou maep.bf. Donc je me trouve perdu dans cet interview. Au pays des aveugles le borgne est roi.
Le 27 mars 2017 à 16:16, par ILBOUDO En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
Bonsoir Mr RANGO
Je suis un des Ingénieurs à INTRAPOLE et je m’occupe de la sécurité des sites web à notre niveau, mais les sites que vous venez de citer dans votre publication ne font aucunement partie des sites web gérés par notre société. Veuillez revoir vos sources d’information.
Le 28 mars 2017 à 08:55, par RANGO En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
Bonjour Mr ILBOUDO donc tu es nouveau dans le coin. Sinon étant aussi un ancien de la bas je confirme. Peut être pas maintenant a plus
Le 28 mars 2017 à 15:39, par R-X En réponse à : Piratage des banques : « Le principal perdant, c’est l’Etat », soutient Younoussa Sanfo, expert en cybersécurité
Bonjour Mr RANGO.
Juste une petite précision, le site web d’une banque (ou d’une institution) est différent de la plateforme de e-banking. si dans leurs contrat avec INTRAPOLE la sécurisation ne se limite qu’au site web, il revient à la banque de sécuriser son application (plateforme).