Don de tablettes aux députés : Quels sont les risques sécuritaires d’un tel cadeau ?
mardi 15 novembre 2016
Toutes les versions de cet article : [(1|>{1}|?{' '}) [[({'',})]français{'',}] ]
Il y a quelques jours, la société Huawei faisait don à l’Assemblée nationale d’un lot de 130 tablettes d’une valeur estimée à 65 millions de francs CFA. Au-delà de la légalité de ce don qui contrevient à la loi sur l’enrichissement illicite (interdisant tout don de plus de 35 000F CFA à un fonctionnaire), il se pose des problèmes de sécurité avec une telle opération. Nous avons approché un expert en sécurité informatique pour avoir son avis.
La société Huawei vient de faire un don de 130 tablettes aux députés burkinabè. Comment appréciez-vous ce don en tant qu’expert en sécurité informatique ?
Je vous remercie de me donner la parole pour m’exprimer sur le sujet qui défraie actuellement la chronique. J’avais déjà donné mon avis en 2013, lorsque les députés de l’Assemblée Nationale de l’époque avaient reçu un don d’un pays ami. Il s’était agit d’ordinateurs portables et de tablettes également.
J’avais approché quelques députés que je connaissais et je leur avais posé la question : "qu’avez vous fait lorsque vous avez reçu ces tablettes et les ordinateurs portables ?" et ils m’avaient répondu qu’ils ont organisé une cérémonie de remise officielle au cours de laquelle ils ont remercié le donateur. Et après demandais-je ? « Eh bien, nous les avons branchés et nous avons commencé à les utiliser  ».
Je vais donc à nouveau faire la même suggestion que j’avais faite en 2013.
Lorsque une administration, une entreprise reçoit du matériel électronique sous forme de don ou de prêt, il est recommandé de diagnostiquer ces appareils pour vérifier que ces derniers n’embarquent pas des logiciels ou des composants espions.
Ce n’est pas de la paranoïa, c’est de la prudence élémentaire par les temps qui courent.
Est-il possible donc de vérifier si ces tablettes sont des outils d’espionnage ?
Oui, il est possible de vérifier si ces tablettes sont "safe" et il existe au Burkina Faso le seul laboratoire d’investigation numérique d’Afrique, capable de débusquer n’importe quel espion électronique qu’il soit logiciel ou matériel. L’Etat burkinabè a déjà eu recours aux services de ce laboratoire plusieurs fois ces deux dernières années.
Les experts en sécurité informatique sont-ils sollicités, après réception de ces types de dons pour détecter quoi que ce soit ?
Pour ma part, j’ai déjà été sollicité pour d’autres type d’expertise, mais pas pour détecter des logiciels ou du matériel espion sur du matériel électronique. Au Burkina Faso, nous avons déjà effectué du déminage pour des domiciles et des bureaux, mais pas pour du matériel électronique.
Quels conseils pour les députés dans l’utilisation de ces tablettes et par extension à des institutions comme l’Armée et le ministère en charge de la sécurité qui reçoivent aussi du matériel informatique de l’étranger ?
Le conseil gratuit que je donnerais à toutes ces institutions, c’est de faire vérifier ce matériel avant de l’utiliser surtout si ce matériel sera utilisé pour envoyer et recevoir des emails, ou pour stocker des documents à caractère confidentiel. C’est le minimum à faire. Pour l’armée et le ministère de la sécurité, je recommande encore plus sérieux qu’un déminage. Les forces de défense et de sécurité ainsi que tous les environnements sensibles doivent procéder à une mise en quarantaine active.
Pour résumer, ce matériel sera d’abord branché en laboratoire et nous allons simuler une utilisation qui nous permettra de vérifier si des données sont envoyées à des destinations bien précises ou si des connexions entrantes sont reçues par ces dispositifs. Je ne peux pas dévoiler toute la technique aujourd’hui parce que nous vivons de çà et il faut que nous continuions à faire bouillir la marmite.
D’une façon générale, faut-il alors se méfier des cadeaux informatiques ?
Oui, il faut se méfier des cadeaux électroniques. Les Etats doivent s’en méfier, les individus aussi.
Pour les Etats cela devrait être une obligation de l’Agence Nationale de la Sécurité des Système d’Information que notre pays a créé depuis 3 ans. En la matière nous avons déjà sensibilisé quasiment tous les ministères en effectuant des démonstrations de prise de contrôle de poste de travail ou de serveur, en modifiant des écritures a distance et surtout en se faisant envoyer périodiquement des informations ciblées.
Pour les individus, si vous offrez un téléphone ou une tablette à une personne, et que vous prenez le soin de "préparer" ce téléphone ou cette tablette, vous pouvez recevoir une copie de tous les SMS de la personne, tout son carnet d’adresses, sa position géographique en temps réel, écouter ses conversations, voir les photos et les vidéos que la personne fait avec son téléphone, envoyer des messages à la place de la personne, en gros vous pouvez tout faire avec le téléphone comme si vous l’aviez entre les mains.
Je profite d’ailleurs pour souhaiter à l’avance une bonne fête de Saint Valentin à toutes les dames !
Entretien réalisé par Frédéric Herman Bassolé
Lefaso.net