[Digital Business Africa] – Des millions de données des usagers de la Caisse Nationale de Prévoyance Sociale (CNPS) du Cameroun sont en vente sur le darkweb, relèvent plusieurs experts en sécurité.
Les prix de ces données proposés par des pirates seraient de 3 000 dollars US pour l’ensemble des données (25 GB) et de 1 000 dollars US pour des données partielles (10 GB).
Contactée ce vendredi par Digital Business Africa, la CNPS a indiqué qu’elle n’a pas encore de déclaration officielle à ce sujet. Donc, pour l’instant, aucune confirmation et aucun démenti que cette entreprise publique a été victime d’une cyberattaque.
Hier 12 septembre 2024 déjà, un message inquiétant publié sur un forum de piratage indiquait que la CNPS avait été la cible des hackers. Dans ce message, l’on apprenait que le groupe de hackers Space Bears a piraté une mine de données potentiellement lucrative de la CNPS et sollicitait le paiement d’une rançon au plus tard le 22 septembre 2024, faute de quoi ces données seront mises en vente sur le Darkweb. Visiblement, ils n’ont pas attendu jusqu’à cette date limite.
Ces données contiennent, d’après le message publié sur ce forum, des :
– Informations sur les cotisations des employés et des employeurs
– Détails des bénéficiaires de la sécurité sociale (plus de 1,5 million de personnes)
– Documents financiers et rapports comptables
– Données de sauvegarde et bases de données clients
– Schémas de structure du réseau Huawei
– Données personnelles des employés et des citoyens, y compris des informations d’assurance archivées.
Le message publié dans le Forum affirme que la CNPS utilise une infrastructure réseau Huawei, bien que ce détail ne puisse être vérifié de manière indépendante. Plus alarmant encore, les hackers semblent posséder des données personnelles sur les employés et les citoyens, y compris des informations d’assurance archivées et potentiellement sensibles.
Ce qui soulève de graves préoccupations en matière de confidentialité, car de telles violations de données pourraient être exploitées pour le vol d’identité, la fraude financière ou même la manipulation sociale.
La CNPS est une institution publique essentielle responsable de la gestion des prestations de sécurité sociale pour les Camerounais. Si cette cyberattaque est avérée, cela pourrait causer des difficultés significatives pour les usagers des services de la CNPS.
Le message du Forum ne précisait pas si les données avaient déjà été compromises. Cependant, les informations détaillées fournies suggèrent que les hackers pourraient avoir obtenu un accès significatif aux systèmes de la CNPS.
Actions urgentes nécessaires
La CNPS devrait donc agir rapidement pour enquêter sur la validité de ces affirmations et évaluer l’étendue de toute violation potentielle de données. Ils devraient également :
– Mettre en œuvre un plan de réponse aux incidents robuste pour contenir la menace et prévenir d’autres dommages.
– Mener une enquête pour déterminer l’étendue de la violation et identifier les vulnérabilités.
– Revoir et renforcer leurs mesures de cybersécurité pour prévenir de futures attaques.
D’après Mounir Nji Amine professionnel en cybersécurité et CEO d’ENIX, il est déjà trop tard. Car ces données sont d’ores et déjà en vente sur le Darkweb. « Même si nous venions à verser la rançon, ces informations seraient déjà compromises. Space Bears est en réalité un courtier en données, mais les pirates qui leur ont fourni ces informations en détiennent nécessairement une copie. Comme on dit souvent chez nous : lors du déploiement d’un système, si l’on a un doute en matière de sécurité, alors il n’y a plus de doute à avoir. Il faut immédiatement prendre des précautions. Nos institutions doivent accorder une attention plus soutenue à la prévention et à l’anticipation », explique l’expert en cybersécurité.
Importance de la confidentialité des données
Pour Beaugas-Orain DJOYUM, DG de ICT Media STRATEGIES, un cabinet de veille stratégique et d’e-réputation, cet incident souligne l’importance croissante de la confidentialité des données en Afrique de manière générale et au Cameroun en particulier. « Le gouvernement camerounais et les institutions concernées devraient agir plus rapidement en faveur de la mise en œuvre d’une réglementation solide en matière de protection des données personnelles et en même temps oeuvrer davantage pour la sensibilisation à la cybersécurité auprès des citoyens et auprès des organisations », suggère Beaugas-Orain DJOYUM.
Par Digital Business Africa