Vent de panique à l’Union africaine après une nouvelle cyberattaque

L’intrusion du groupe de hackers russes BlackCat a paralysé l’intranet, les services financiers et les boîtes mail de l’institution. Plus de 200 ordinateurs ont été infectés.

Stupéfaction au siège de l’Union africaine (UA) à Addis-Abeba. Le 3 mars, dix jours après la clôture du sommet annuel de l’organisation qui réunit les chefs d’Etats du continent, subitement c’est l’écran noir. Le système informatique s’est effondré. « Une cyberattaque massive a compromis les capacités de notre data center et a coupé l’accès à nos services et nos applications », prévient le 7 mars la vice-présidente de la Commission, Monique Nsanzabaganwa, dans une note interne, que Le Monde s’est procurée.

L’attaque paralyse aussitôt l’intranet de l’institution. Les services financiers sont inaccessibles, tout comme les boîtes mail ou encore le logiciel de gestion de la performance du personnel. Plus de 200 ordinateurs sont infectés, suscitant un mouvement de panique au sein de l’organisation panafricaine.

« Nous sommes dans le flou »

Plusieurs diplomates africains ont d’abord pensé à une attaque émanant d’une puissance étrangère. Le nom d’Israël a dans un premier temps circulé dans les larges couloirs en marbre du quartier général à Addis-Abeba, en Ethiopie. Certains ont voulu croire à une vengeance de l’Etat hébreu après l’expulsion de sa diplomate Sharon Bar-li, lors de la dernière assemblée générale de l’UA, sur fond de polémique autour du statut d’observateur accordé à Israël.

Les pirates ont fini par s’identifier eux-mêmes au moment de réclamer une rançon. Selon plusieurs sources au sein de l’institution, le groupe de hackers russes BlackCat a demandé par courrier électronique à ce qu’on lui verse 3 millions de dollars pour mettre un terme à son attaque.

Faute de réponse de l’UA à ses multiples demandes, Le Monde n’a pas pu déterminer le montant exact de la rançon, ni si celle-ci a été payée, mais un diplomate ouest-africain basé à Addis-Abeba résume les raisons de l’embarras de l’organisation. « L’institution ne dispose d’aucune assurance contre de tels risques d’intrusion », précise-t-il. « Jusque-là, tous les organes tentent d’étouffer l’affaire », confie une autre source diplomatique. « Nous sommes dans le flou, la Commission ne nous a donné aucun détail sur l’attaque depuis le 7 mars », conclut le membre d’une ambassade nord-africaine, frustré.

Heureusement pour l’organisation, les données stockées dans son data center – situé à Nairobi – ont été sauvegardées la veille de l’attaque et seraient en partie intactes. Depuis, il a fallu l’intervention d’équipes d’Interpol, d’Afripol et de la Banque africaine de développement – qui a déboursé 6 millions de dollars pour l’opération – pour nettoyer les ordinateurs, rétablir certains services et commencer la mise à jour d’un système de sécurité particulièrement friable.

« La passoire »

Selon un diplomate nord-africain, « moins de 40 % » des services informatiques de l’UA sont restaurés deux mois après l’attaque. Il y a ni Wi-Fi, ni boîtes mail. « Le personnel doit travailler en “remote”, avec ses propres équipements, ses propres ordinateurs et ses propres modems Internet », précise-t-il. En d’autres termes, c’est la débrouille.

Le groupe de hackers russe BlackCat n’en est pas à sa première attaque. Il cible les grandes organisations et s’est fait connaître en subtilisant 700 gigabits de données à l’agence italienne de l’énergie GSE. Dans une autre attaque, le groupe russe avait en 2022 réclamé une rançon de 5 millions de dollars à la région autrichienne de Carinthie contre la livraison d’un logiciel de récupération des données qu’il avait subtilisé à l’administration.

Pour l’UA et des centaines de diplomates inquiets, se posent une nouvelle fois la question de la vulnérabilité des systèmes informatiques. Une affaire en particulier hante les esprits. En 2017, la cellule informatique de l’organisation avait découvert que les données sensibles de l’organisation étaient mystérieusement siphonnées nuitamment. Une enquête du Monde avait alors révélé qu’elles étaient acheminées vers des serveurs situés à Shanghaï, la Chine étant le généreux constructeur et donateur du siège de l’UA à Addis-Abeba.

Seulement, Pékin avait livré clés en main le bâtiment en 2012, après avoir truffé les murs et les salles de conférence de micros espions. L’UA a depuis acquis ses propres serveurs, mais sans jamais être en mesure de faire obstacle aux pirates informatiques. Avec ironie, plusieurs membres de l’organisation l’ont ainsi surnommée « la passoire ».

Source: Le Monde

Noé Hochet-Bodin