[Digital Business Africa] - À la suite de l’article de Digital Business Africa publié hier indiquant que des données de la Caisse nationale de prévoyance sociale (CNPS) du Cameroun avaient été piratées et mises en vente dans le Darkweb, la CNPS, qu’on avait contactée avant la publication de cet article afin de confirmer ou démentir les déclarations des hackers, a finalement réagi.
Dans un communiqué publié sur sa page Facebook et partagé cette nuit du 13 septembre 2024 sur les réseaux sociaux, la CNPS dément formellement ce piratage. Le communiqué du directeur général Noël Alain Olivier Mekulu Mvondo Akame rassure ses usagers qu’à ce jour, le système d’information de la CNPS fonctionne normalement et que le piratage annoncé est faux. Même s’il ne signe pas formellement le communiqué, celui-ci est publié sur la page Facebook de l’entreprise.
Le Communiqué de la CNPS
« Il est porté à la connaissance de l’opinion publique ainsi que des assurés sociaux et partenaires de la CNPS, que des prétendus influenceurs dans les réseaux sociaux, et qui colportent avec une délectation malveillante les informations relatives à la CNPS, aussi fausses soient-elles, diffusent des nouvelles laissant croire que le système d’information de la CNPS serait piraté et que toute sa base de données serait entre les mains de personnes non indiquées, qui menacent de les publier faute de paiement de rançon. Le Directeur général tient à rassurer à ce propos, à ce jour, le système d’information de la CNPS fonctionne normalement.
Mais il a été aisé d’établir des relations étroites entre ces maîtres chanteurs s’étant par ailleurs, à plusieurs reprises, butés à notre fin de non-recevoir de leur accorder des subsides aussi malhonnêtement sollicités. En tout état de cause, les informations présentées comme confidentielles et susceptibles d’être divulguées par ces truands à col blanc sont libres d’accès, dans la mesure où la CNPS applique une politique de transparence exemplaire dans ses activités.
Yaoundé, le 13 septembre 2024
Le directeur général
Noël ALAIN OLIVIER MEKULU MVONDO AKAME »
Notes de la rédaction en cinq points
1 – « Le système d’information de la CNPS fonctionne normalement »
Digital Business Africa précise à ses lecteurs que nous n’avons pas indiqué que le système d’information de la CNPS ne fonctionne pas. Nous croyons aux précisions du DG qui rassure que ce système fonctionne normalement. Digital Business Africa salue d’ailleurs la vision du top management de la CNPS dans sa volonté de digitaliser l’ensemble de ses services afin de faciliter la tâche des usagers de l’entreprise. Donc, avec un système d’information robuste.
Digital Business Africa a toujours prêché pour le tout digital et encourage les pays et organisations africaines et camerounaises en particulier à œuvrer pour l’instauration des « Cashless and Paperless Nations ». C’est ce que s’attelle à faire avec brio la CNPS et la DGI au Cameroun. Et Digital Business Africa a plusieurs fois présenté comme exemple le déploiement digital de la CNPS pour encourager les autres institutions publiques à faire de même.
Lire à ce sujet ces quelques textes de Digital Business Africa :
Cameroun: Camtel s’inspire de la CNPS pour améliorer sa gestion
Cameroun : La Cnps veut utiliser les TIC pour promouvoir son service d’assurance volontaire
Toutefois, ils sont rares les systèmes informatiques infaillibles. Des pirates peuvent pénétrer un système après une faille de sécurité ou encore même à la suite de la négligence d’un employé qui a ouvert un e-mail compromettant ou encore qui a inséré une simple clé USB infectée sur un ordinateur de l’entreprise. Les causes sont nombreuses. Il est donc possible que ces données soient copiées sans compromettre l’utilisation du système de l’entreprise. Ce qui semble le cas ici.
2 – Une rançon effectivement demandée
Le DG dans son communiqué reconnaît que « ces maîtres chanteurs » se sont, « à plusieurs reprises, butés à notre fin de non-recevoir de leur accorder des subsides aussi malhonnêtement sollicités ». C’est une confirmation que les pirates ont effectivement demandé une rançon qui n’a pas été payée. Preuve que ces pirates disposaient des informations confidentielles. Car, difficile de demander une rançon lorsqu’on n’a rien en échange.
3 – Difficile d’avoir jusqu’à 25 GB de données de la CNPS en accès libre
Selon le communiqué de la CNPS, « les informations présentées comme confidentielles et susceptibles d’être divulguées par ces truands à col blanc sont libres d’accès ». Sur le Darkweb, les hackers et vendeurs de ces données indiquent que la taille des données piratées de la CNPS est de 25 GB. Difficile de croire que jusqu’à 25 GB de données de la CNPS (et peut-être plus) soient libres d’accès. C’est improbable et visiblement inquiétant si c’est la réalité.
4 – Tout le monde peut vérifier la présence de ces données sur le Darkweb
Digital Business Africa a simplement relayé ce qui se dit dans des forums spécialisés et vérifiables sur le Darkweb. Tout comme dans certains forums de revente de données issues du piratage consultés par Digital Business Africa.
Plus encore, tous les internautes peuvent se rendre sur le Darkweb et vérifier cela. Mais attention ! Ce sera à vos risques et périls. Car vous y trouvez ce qui est proscrit et interdit. Mais, vous vous exposez aussi, car il y a des hackers et cybercriminels qui peuvent également vous suivre et collecter vos données sensibles.
C’est pour cela qu’il est recommandé de prendre quelques précautions avant de se rendre dans le Darkweb. Par exemple, disposer d’un VPN fiable (NordVPN ou Express VPN) et installer TOR pour y naviguer facilement. Il vous faudra en plus disposer du lien URL indiquant les données de la CNPS piratées.
L’objectif de Digital Business Africa n’étant pas d’encourager les internautes à aller à ce lien URL qui donne des précisions sur les données de la CNPS disponibles dans le Darkweb, nous n’allons pas publier ce lien ici. Mais, comme indiqué plus haut, ce lien URL est disponible dans les forums spécialisés. Ceux qui veulent absolument ce lien afin de vérifier peuvent nous écrire (contact@digitalbusiness.africa).
Voici néanmoins une capture d’écran. L’on constate que les données piratées de Covidal y sont également. Possible que les données de la CNPS soient accessibles au plus grand nombre de personnes dans sept jours.
5 – Possible de communiquer autrement, car les institutions sont piratées tous les jours
Piratage ou hacking, toutes les institutions peuvent en être victimes. Nul n’est à l’abri. Il faut simplement mieux communiquer. D’ailleurs, ce même 13 septembre 2024, en France, la Caisse nationale d’assurance vieillesse (CNAV) a été la cible d’une cyberattaque. Et les données de 370 000 bénéficiaires ont été volées et mises en vente sur le Darkweb. Contrairement à la CNPS du Cameroun, la CNAV a publié à ce sujet un communiqué reconnaissant ce piratage et présentant même des excuses à ses usagers.
« Des données personnelles (adresse, numéro de sécurité sociale, montant approximatif des ressources), relatives à environ 370 000 bénéficiaires, ont été compromises. Il s’agit de données pour la plupart anciennes : certaines des personnes concernées sont par exemple décédées », a précisé le communiqué de presse de la CNAV.
Tout comme la CNAV a annoncé avoir « immédiatement suspendu l’activité de ce portail partenaire et a signalé l’incident à la Cnil. Les personnes concernées seront informées; une plainte sera en parallèle déposée ».
« La Cnav présente ses excuses aux personnes concernées par cet incident. Elle veille sans relâche à ajuster en permanence les systèmes de sécurité informatique de son réseau. La sécurité des données est et sera toujours pour l’Assurance retraite une priorité absolue », lit-on dans le communiqué.
Lire le communiqué intégral de la CNAV ici.
Nous ne sommes pas en France, c’est vrai, mais la CNPS pouvait également s’en inspirer.
Par Beaugas Orain DJOYUM