Actualités

Trois balles dans le corps numérique du Sénégal

il y a 4 semaines
129 8 minutes de lecture

Le 11 mai 2026, le Sénégal est revenu au centre de l’actualité cybernétique, après l’annonce de la Direction générale de la Comptabilité publique et du Trésor (DGCPT) l’institution chargée de la comptabilité publique et de l’exécution des opérations financières de l’État indiquant qu’une partie de ses systèmes d’information avait été affectée par un incident survenu durant le week-end.

Le communiqué, relayé par l’Agence de presse sénégalaise officielle, évoquait des « mesures conservatoires » prises immédiatement après la détection de l’attaque, afin de limiter son impact sur le fonctionnement des services.

Cette annonce ne constituait pas simplement un nouvel incident technique au sein d’une institution financière. Elle est survenue après une série d’incidents et de revendications de piratage ayant ciblé, ces derniers mois, des institutions sénégalaises détenant des données extrêmement sensibles.

Dès lors, la question ne se limite plus à : un service a-t-il été perturbé ? Elle devient plus large : que se passe-t-il lorsque les bases de données de l’État elles-mêmes deviennent des cibles pour les groupes de rançongiciels et d’extorsion numérique ?

La première balle : lorsque les attaques ont atteint le cœur du système fiscal

Le début n’est pas venu du Trésor. La Direction générale des Impôts et des Domaines (DGID) au Sénégal l’administration chargée des impôts, des dossiers fiscaux et de certains aspects liés au patrimoine foncier s’est retrouvée au centre d’un dossier cybernétique sensible en octobre 2025.

À cette période, la DGID avait annoncé faire face à une « indisponibilité liée à un problème technique spécifique ». La veille de ce communiqué, un groupe de pirates connu sous le nom de Black Shantrac avait revendiqué une attaque contre l’administration, menaçant de publier des données qu’il affirmait avoir dérobées lors de l’intrusion si une rançon estimée à dix millions d’euros n’était pas versée.

L’institution fiscale n’a pas confirmé, selon ce qu’ont rapporté des plateformes spécialisées, l’existence d’une cyberattaque ni d’une demande de rançon. Elle a toutefois reconnu l’interruption du site officiel et des services de déclaration fiscale, tout en précisant que les paiements restaient possibles via les guichets physiques.

Ce détail révèle la nature concrète de l’impact de l’attaque ou de la panne. Le problème ne se limitait plus à un site inaccessible, mais touchait désormais la capacité de l’administration fiscale à garantir la continuité des services numériques destinés aux citoyens et aux entreprises.

Parallèlement, des sources spécialisées dans le suivi des menaces ont évoqué une revendication du groupe Black Shrantac, affirmant avoir dérobé près d’un téraoctet de données financières, fiscales et administratives.

L’importance de l’incident de la DGID réside dans le fait qu’il a placé les données fiscales au cœur du ciblage direct. Ces données peuvent révéler des situations financières, des patrimoines, des adresses, des dossiers d’entreprises, des transactions, voire des documents juridiques et administratifs.

Une fuite de cette nature pourrait ouvrir la voie à des opérations de fraude, de phishing ciblé, de chantage, ou encore au ciblage d’entreprises et de particuliers sur la base d’informations précises.

À ce jour, aucune communication officielle publiée ne confirme ou ne dément, avec des détails techniques, l’ampleur des données potentiellement compromises. Ce qui est certain, c’est l’interruption des services électroniques ; quant au volume et à la nature des données divulguées, ils demeurent au stade d’allégations non officiellement confirmées.


La deuxième balle : l’attaque la plus dangereuse… l’identité numérique

En février 2026, les inquiétudes ont atteint un niveau encore plus sensible avec l’incident de la Direction de l’Automatisation des Fichiers (DAF) au Sénégal, une entité liée à la gestion des dossiers d’identité et des documents officiels, notamment les cartes d’identité, les passeports, les documents d’immigration et les données biométriques.

Le site The Record, spécialisé dans l’actualité de la cybersécurité, a rapporté que le Sénégal avait confirmé une intrusion ayant visé la DAF, à la suite d’allégations d’un groupe de rançongiciel se faisant appeler Green Blood Group. Selon le rapport, le groupe affirmait avoir obtenu 139 gigaoctets de données, comprenant des registres de citoyens, des données biométriques et des documents liés à l’immigration.

Selon la même source, un responsable de la sécurité sénégalaise a indiqué que les efforts de restauration des systèmes étaient en cours, tout en affirmant que l’intégrité des données personnelles des citoyens restait préservée. Le rapport mentionne également un message daté du 20 janvier 2026, émanant d’un responsable de la société IRIS Corporation Berhad, une entreprise malaisienne liée au système d’identité numérique sénégalais, évoquant une intrusion dans deux serveurs de la DAF le 19 janvier, ainsi que le vol de données liées à l’émission des cartes à partir de l’un des serveurs, avec des mesures prises telles que la déconnexion d’un serveur et la modification du mot de passe sur un autre.

À ce stade, le dossier devient plus complexe. Si les détails rapportés sont confirmés, l’attaque ne concerne plus seulement des courriels ou des mots de passe. Elle touche le système même de l’identité : bases de données des citoyens, documents officiels et potentiellement données biométriques.

Il s’agit d’une catégorie de données difficile à modifier ou à protéger une fois qu’elle a été exposée. Un citoyen peut changer ses mots de passe, mais il ne peut pas changer ses empreintes digitales, sa date de naissance ou ses traits du visage.

L’interruption des services de cette agence nationale clé au Sénégal a duré près de deux mois, avant que les autorités n’annoncent la reprise de la production des cartes d’identité à partir du 1er avril 2026.

À ce jour, l’incident de la DAF apparaît comme le plus sensible parmi les récents événements au Sénégal, car il ne touche pas seulement un service financier ou fiscal, mais la structure même qui définit le citoyen au sein de l’État.

Et si les chiffres évoqués sont exacts, l’impact ne s’arrête pas à la reprise du service, mais soulève une question de long terme sur la protection des données biométriques et des documents civils, ainsi que sur la souveraineté numérique et le degré de dépendance de l’État à des entreprises étrangères pour la gestion de l’infrastructure sensible de l’identité nationale.

La troisième balle : au cœur du cycle financier de l’État

L’histoire finale, selon les annonces officielles, a commencé durant le week-end précédant le lundi 11 mai 2026, lorsque une partie des systèmes de la Direction générale de la Comptabilité publique et du Trésor (DGCPT) au Sénégal l’institution financière publique chargée de la comptabilité publique et de l’exécution des opérations financières de l’État a été affectée.

Le communiqué officiel de l’institution indique qu’elle a pris des « mesures conservatoires » dès la détection de l’attaque, tout en cherchant à rassurer les utilisateurs. Toutefois, il ne fournit pas de détails sur la nature de l’incident ni sur son étendue réelle.

Cette formulation prudente signifie que ce qui est confirmé à ce stade est l’existence d’un incident cybernétique ayant touché une partie des systèmes. En revanche, l’ampleur de l’impact et la nature des données potentiellement concernées restent hors du champ de confirmation officielle.

Par la suite, un second récit a commencé à circuler sur des sites techniques africains, notamment SocialNetLink, un média sénégalais spécialisé dans l’actualité technologique, la transformation numérique et la cybersécurité. Il évoque une fuite massive d’environ 70 gigaoctets de données, attribuée à la trésorerie publique et diffusée sur le dark web.

La gravité de cet incident réside dans la nature de l’entité ciblée. Le Trésor n’est pas un simple portail de services : il s’agit d’une institution située au cœur du cycle financier de l’État. Elle traite des comptes publics, des ordres de paiement, des correspondances financières et des documents liés aux finances publiques.

Si l’hypothèse de la fuite se confirme, l’impact ne serait pas uniquement technique, mais pourrait également affecter la confiance dans la sécurité des systèmes financiers publics et dans la capacité de l’institution à protéger ses données.

À ce jour, les questions essentielles restent ouvertes : s’agissait-il d’une simple perturbation partielle ? Les systèmes ont-ils été chiffrés ? Une exfiltration de données a-t-elle eu lieu ? Quels types de fichiers ont été touchés ? Et le Trésor sénégalais publiera-t-il une mise à jour technique ou une communication détaillée à destination des utilisateurs ?

L’absence de réponses à ces interrogations est précisément ce qui donne davantage de poids, dans le débat public sénégalais, aux récits des attaquants ou aux plateformes de fuite dans les semaines à venir.

La quatrième balle : de “Mama Africa” à “Tata France”

En France, le ministère de l’Intérieur a annoncé que le système des titres sécurisés, connu sous le nom de France Titres, lié à l’ancienne Agence nationale des titres sécurisés (ANTS), l’organisme chargé des services numériques relatifs aux cartes d’identité, passeports, permis de conduire et immatriculation des véhicules, a détecté le mercredi 15 avril dernier un incident de sécurité susceptible d’impliquer une exposition de données issues de comptes d’individus et de professionnels sur le portail ants.gouv.fr.

Dans un communiqué daté du 21 avril 2026, le ministère de l’Intérieur français a indiqué que les investigations techniques étaient toujours en cours afin de déterminer l’origine et l’ampleur de l’incident. Il a ajouté que les données potentiellement affectées, pour les comptes individuels, incluent des informations d’identification telles que l’identifiant de connexion, le nom, l’adresse e-mail, la date de naissance et l’identifiant du compte, et peuvent inclure dans certains cas l’adresse postale, le lieu de naissance ou le numéro de téléphone.

Les autorités françaises ont précisé qu’environ 11,7 millions de comptes pourraient être concernés par l’incident.

Les autorités ont traité cet événement comme un dossier institutionnel et judiciaire. La Commission nationale de l’informatique et des libertés (CNIL), autorité française chargée de la protection des données personnelles et du respect des règles de confidentialité, a été notifiée. Une alerte a également été transmise au parquet de Paris, avec la prise en charge de l’enquête par l’Office anti-cybercriminalité (OFAC), une unité spécialisée dans la lutte contre les crimes cybernétiques et les activités criminelles dans l’espace numérique.

À ce jour, l’importance de l’incident France Titres réside dans le fait qu’il s’est produit dans un pays doté de capacités institutionnelles et juridiques avancées en matière de protection des données. Cela remet en question l’idée selon laquelle les incidents cybernétiques majeurs concernent uniquement les États moins préparés.

La France n’a pas empêché l’incident, mais elle a offert un modèle plus clair de communication : identification des données potentiellement touchées, exclusion de ce qui n’a pas été confirmé, information des utilisateurs et mise en garde contre les messages suspects.

La cinquième balle : avant qu’elle n’arrive

Du Trésor sénégalais à l’administration fiscale, de la gestion des documents à Dakar jusqu’au portail France Titres à Paris, il apparaît clairement que les cyberattaques se rapprochent désormais du cœur de l’État : l’argent, l’identité, les impôts et les documents officiels. Il ne s’agit plus de services secondaires, mais des piliers de la confiance entre le citoyen et l’institution publique.

Pour la Mauritanie, la vague régionale et mondiale d’attaques numériques intervient à un moment où l’adoption de services numériques liés à l’identité s’accélère. Dès lors, la question n’est plus : faut-il numériser ou non ? Mais plutôt : dispose-t-on du niveau de protection et de transparence à la hauteur de la sensibilité de ce que l’on numérise ?

Un État qui numérise l’identité ne se contente pas de transférer des documents vers un téléphone : il transfère aussi la responsabilité de protéger la confiance. Et à l’ère des rançongiciels et des fuites de données, cette confiance est devenue une infrastructure à part entière, aussi essentielle que les serveurs, les réseaux et les applications.

Tags
il y a 4 semaines
129 8 minutes de lecture
Afficher plus

Articles similaires

Le fabricant du vaccin contre le coronavirus acquiert une entreprise tunisienne spécialisée dans l’intelligence artificielle pour 680 millions de dollars

11 janvier، 2023

Étude de Stanford : un agent d’intelligence artificielle surpasse des testeurs d’intrusion professionnels dans un environnement de production réel

13 décembre، 2025

L’Autorité de régulation saisit un appareil « Starlink » lors d’un atelier organisé par le ministère du Numérique

30 avril، 2025

Rimatel, une nouvelle entreprise de services internet en Mauritanie

6 avril، 2022

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

©2026، جميع الحقوق محفوظة لـ Tech Rek   |  
Bouton retour en haut de la page