[Digital Business Africa] - Les hackers ont finalement rendu public et en téléchargement libre ce 22 septembre 2024 environ 10 GB de données piratées de la Caisse nationale de prévoyance sociale (CNPS) du Cameroun. Sur le Darkweb, ces données de la CNPS sont effectivement accessibles à tout internaute, comme l’a constaté Digital Business Africa.
Les pirates disposeraient de 30 GB de données et seulement près de 10 GB sont mis en téléchargement gratuit sur le Darkweb. D’après des experts en cybersécurité, c’est un moyen pour les hackers de dire aux décideurs de la CNPS : « Comme vous niez, tenez un échantillon de vos données que nous avons piratées et nous pouvons publier l’ensemble de ces données ! »
L’on peut constater sur cette page sur le darkweb que près de 10 000 personnes ont déjà consulté cette annonce des hackers. Dans les forums de piratage, l’on peut lire que ces pirates détiennent des données sur des :
– Informations sur les cotisations des employés et des employeurs
– Détails des bénéficiaires de la sécurité sociale (plus de 1,5 million de personnes)
– Documents financiers et rapports comptables
– Données de sauvegarde et bases de données clients
– Schémas de structure du réseau Huawei
– Données personnelles des employés et des citoyens, y compris des informations d’assurance archivées.
Plus alarmant encore, les hackers semblent posséder des données personnelles sur des millions d’employés et citoyens camerounais, y compris des informations d’assurance archivées et potentiellement sensibles.
Au lendemain de l’article de Digital Business Africa publié le 12 septembre 2024 indiquant que des données de la Caisse nationale de prévoyance sociale (CNPS) du Cameroun avaient été piratées et mises en vente dans le Darkweb, la CNPS, qu’on avait contactée avant la publication dudit article afin de confirmer ou démentir les déclarations des hackers, avait démenti cette information.
Dans un communiqué publié sur sa page Facebook et partagé la nuit du 13 septembre 2024 sur les réseaux sociaux, la CNPS démentait formellement ce piratage.
Le communiqué du directeur général Noël Alain Olivier Mekulu Mvondo Akame rassurait ses usagers qu’à ce jour, le système d’information de la CNPS fonctionne normalement et que le piratage annoncé est faux.
Le Communiqué de la CNPS
10 GB de données de la CNPS en téléchargement libre sur le Darkweb
La mise en ligne sur le darkweb par les hackers de 10 GB de données de la CNPS vient confondre le communiqué du DG de la CNPS qui indiquait qu’il n’y a pas eu de piratage et que « les informations présentées comme confidentielles et susceptibles d’être divulguées par ces truands à col blanc sont libres d’accès, dans la mesure où la CNPS applique une politique de transparence exemplaire dans ses activités ».
Malheureusement, comme l’avait supposé Digital Business Africa, les 10 GB de données publiées hier par les hackers ne sont pas des données libres d’accès. Comme tout le monde peut le constater sur le Darkweb.
Comme rapporté dans les notes de la rédaction de Digital Business publiées au bas du communiqué de la CNPS, Digital Business Africa avait simplement relayé ce qui se disait dans des forums spécialisés et vérifiables sur le Darkweb. Tout comme dans certains forums de revente de données issues du piratage consultés par Digital Business Africa.
Plus encore, tous les internautes peuvent se rendre sur le Darkweb et vérifier cela. Mais attention ! C’est à vos risques et périls. Car non seulement vous y trouvez ce qui est proscrit et interdit, mais aussi vous vous exposez. Car des hackers, cybercriminels et algorithmes divers peuvent également vous suivre et collecter vos données sensibles.
C’est pour cela qu’il est recommandé de prendre des précautions avant de se rendre sur le Darkweb. Comme par exemple, disposer d’un VPN fiable (NordVPN ou ExpressVPN) et installer TOR pour y naviguer facilement. Il vous faudra en plus disposer du lien URL indiquant les données de la CNPS piratées.
L’objectif de Digital Business Africa n’étant pas d’encourager les internautes à aller à ce lien URL qui donne accès à ces données de la CNPS disponibles sur le Darkweb, nous ne publions pas ce lien de vérification ici. Mais, comme indiqué plus haut, ce lien URL est disponible dans les forums spécialisés.
Ce piratage soulève une fois de plus les préoccupations en matière de confidentialité de données, car de telles violations de données pourraient être exploitées pour le vol d’identité, la fraude financière ou même la manipulation sociale. Car, la CNPS l’institution publique responsable de la gestion des prestations de sécurité sociale des Camerounais.
Actions urgentes nécessaires
Pour le cabinet de veille stratégique ICT Media Strategies, il appartient à présent à la CNPS de mettre en œuvre un plan de réponse aux incidents robuste pour contenir la menace et prévenir d’autres dommages, de mener une enquête pour déterminer les causes de ce piratage, l’étendue de la violation des données et des documents piratés; d’identifier d’autres vulnérabilités ; de saisir Interpol, l’Agence nationale des technologies de l’information et de la communication (ANTIC) et des professionnels en cybersécurité pour une riposte.
Par ailleurs, la CNPS devrait réaliser un audit de sécurité, identifier les failles, revoir et renforcer leurs mesures de cybersécurité pour prévenir de futures attaques.
Aussi, comme le rappelle Mounir Nji Amine, professionnel en cybersécurité et CEO d’ENIX, « nos institutions doivent accorder une attention plus soutenue à la prévention et à l’anticipation ».
Importance de la confidentialité des données
Pour Beaugas-Orain DJOYUM, DG de ICT Media STRATEGIES, un cabinet de veille stratégique et d’e-réputation, cet incident souligne également l’importance croissante de la sauvegarde de la confidentialité des données en Afrique de manière générale et au Cameroun en particulier. Car ce sont là des millions de données personnelles de Camerounais qui sont ainsi mises en accès libre dans le darkweb.
« Le gouvernement camerounais et les institutions concernées devraient agir plus rapidement en faveur de la mise en œuvre d’une réglementation solide en matière de protection des données personnelles et en même temps œuvrer davantage pour la sensibilisation à la cybersécurité auprès des citoyens et auprès des organisations publiques comme la CNPS et bien d’autres », suggère Beaugas-Orain DJOYUM.
Par Digital Business Africa
Lire aussi
La CNPS dément le piratage de ses données, mais… la réalité est tout autre
