La fuite des cerveaux, d’ordinaire, c’est au détriment du continent africain. Un expert en sécurité informatique, Younoussa Sanfo, propriétaire et directeur général d’Intrapole, a décidé de prendre le chemin inverse. Après avoir bâti son entreprise labélisée en France, malgré une solide réputation et une notoriété taillées au sein de la communauté internationale « des génies de l’informatique », il a décidé de délocaliser « sa boîte » au Burkina Faso, la terre de ses aïeux. Au Faso, cet ancien inspecteur de police a décidé de se placer aux avant-postes d’un combat contre l’insécurité en informatique. L’ennemi peut provoquer le chaos national. Sa force de nuisance donne froid au dos. En face, la réaction est timide. Ce qui n’est pas du goût de l’expert Sanfo.

Sur le terrain quel est exactement le domaine d’action de votre entreprise ?

Notre domaine d’action touche trois cibles principales. La population pour qui nous faisons essentiellement de la sensibilisation, afin que la jeune fille de 16 ans, qui discute dans un cyber avec des inconnus ne se retrouve dans un réseau de prostitution très loin de sa famille. Ensuite, les entreprises publiques ou privées qui disposent d’informations. Nous avons le devoir de faire de sorte que les informations sensibles ne tombent pas entre les mains de personnes malveillantes et veiller à ce que l’entreprise puisse disposer de ses informations sans interruption. Dans le domaine de la cybercriminalité, outre la sensibilisation, nous aidons les entreprises à se protéger contre les menaces en réduisant considérablement leurs vulnérabilités.

Quant aux investigations électroniques, elles concernent les affaires criminelles pour lesquelles un ordinateur, un réseau, un téléphone, Internet ont été utilisés. Notre rôle consistera alors à participer à la manifestation de la vérité en aidant le juge ou les forces de l’ordre dans les enquêtes sur les ordinateurs, les téléphones, les réseaux d’entreprise ou sur Internet. Pour cela, il faut qu’une plainte ait été déposée, qu’une enquête soit en cours et que nous ayons été réquisitionnés.

Comment un officier de police burkinabè s’est-il retrouvé en France à tutoyer les sommités de l’informatique ?

L’informatique, c’est ma seconde vie. Dans la première, j’étais inspecteur de police. Un beau jour, j’ai tout abandonné pour aller faire des études en France. J’ai simplement eu envie de faire autre chose. Pour dire vrai, quand je partais en France en son temps, je n’avais aucune idée des études que j’allais y faire. Sur place, j’ai été pris en charge par le Centre d’information des jeunes pour l’emploi qui m’a soumis à un test psychotechnique. C’est à l’issue de ce test que des enseignants de l’AFPA (Association pour la Formation Professionnelle des Adultes), m’ont suggéré la formation d’analyste-programmeur en télétraitement et conversationnel.

Une fois diplômé, je devais servir la région Normande qui avait besoin d’informaticiens capables de gérer de gros systèmes informatiques, appelés « mainframe » généralement utilisé dans de très grosses structures, comme l’Armée, certains ministères, des industries, etc. Mais, dès la fin de la 1ère année, les enseignants me proposent une inscription au Conservatoire National des Arts et Métier (CNAM). J’y ai suivi un cycle d’Ingénieur, ensuite une spécialisation en sécurité informatique. A la fin de mes études, lors de ma soutenance, un industriel m’a proposé un emploi.

J’ai soutenu un jeudi et le mardi suivant je signais mon premier contrat pour mon premier emploi en qualité de responsable informatique de GDE la filiale française de Traffigura Industries. 5 ans après, j’ai travaillé dans une entreprise du nom de IN-SNEC, un prestataire de services notamment de l’Armée française. Pour y entrer, il faut montrer patte blanche. Je dois avouer y avoir beaucoup appris, notamment dans le domaine de la stratégie. C’est pour cette raison que, toute modestie gardée, je pense pouvoir être utile aux Etats africains pour mettre en place des stratégies de sécurité des systèmes d’informations sensibles (entreprises stratégiques, forces de sécurité, fichiers électoraux, banques, etc …).

Vous êtes un expert de renom en Europe. Comment se fait-il qu’au Burkina vous soyez très peu connu ?

En effet je ne suis pas connu, ce qui ne me dérange nullement. Ce qui est important pour moi, ce n’est pas la publicité autour de ma personne, mais le service que je souhaite rendre à mon pays et aux Etats africains. Mais, j’avoue que j’ai un petit pincement au cœur quand les organisateurs des conférences me présentent comme un expert français. Je suis 100% Burkinabè, et fier de l’être. Je veux être utile à mon continent, car je sais à quel point, l’informatique peut être paradoxalement une menace pour notre monde contemporain.

Au vu de l’informatisation peu avancée du Burkina, la qualité de l’expertise nationale en sécurité informatique et les risques d’attaque, peut-on dire que le Burkina a à craindre pour sa sécurité ?

Pour être honnête, le Burkina Faso est très vulnérable en matière de sécurité de ses systèmes informatiques au même titre que bon nombre de pays africains. Compte tenue de l’ampleur des vulnérabilités et des menaces, j’estime que la lutte devait être plus concrète et basée sur des décisions immédiatement applicables. Pour moi, des unités devaient être créées pour sécuriser les entreprises stratégiques. La situation actuelle est telle qu’il n’est pas difficile pour un ennemi, à l’aide de l’outil informatique, de faire que notre pays se retrouve du jour au lendemain sans électricité, sans eau courante, sans téléphone, dans l’impossibilité de payer les salaires des fonctionnaires, etc. Au jour d’aujourd’hui, c’est possible. C’est même d’une facilité primaire ! Je sais que les gens n’aiment pas entendre cela, mais si on me demande des preuves, je peux les fournir. Pour moi, la bonne attitude n’est pas la politique de l’autruche. Il faut se parer et barrer la route aux criminels.

Nos entreprises, dites-vous ne sont pas en sécurité. Pouvez-vous le démontrer ?

La démonstration est possible. Je l’ai même déjà faite à la demande de certains clients. Ce qui est important à mes yeux, c’est qu’au vu de la situation, une structure officielle prenne naissance qui pourra alerter, assister et parfois imposer aux structures stratégiques des règles qui les exposeraient moins. J’en profite pour lancer un appel à mes collègues informaticiens, pour qu’ils évitent de « rassurer » les décideurs, en leur disant que tout va bien. La menace est là.

Comment choisir le bon mot de passe ?

Le bon mot de passe n’est pas court. « 1 2 3 4 », « toto », « tata » choisis pour faciliter la mémorisation comporte des risques. Il faut aussi éviter les mots de passe tirés du dictionnaire. Les pirates ont résolu cette question. Ils ont des bases de données des dictionnaires français, anglais, espagnols… Si vous choisissez « papaye », ou « mangue » en moins de 5 mn, le pirate peut retrouver votre mot de passe. Les malfrats disposent aussi de la méthode dite « brute force » pour lever le secret des mots de passe. Il s’agit de connaître la longueur du mot de passe. Ce qui n’est pas difficile. Après, il suffit de faire l’anagramme de toutes les combinaisons possibles. Le bon mot de passe doit être fort. Il doit disposer d’au minimum 9 caractères. Il doit combiner minuscules, majuscules, chiffres, caractères spéciaux (virgule, point-virgule, point d’exclamation, etc).

Le pirate pour découvrir, à l’aide de la brute force ce mot de passe, a besoin de 20 ans de travail s’il dispose d’un seul ordinateur ! Il y a une méthode mnémotechnique qui vous permet d’avoir un bon mot de passe. Tout part d’une phrase, d’une formule que vous ne pouvez pas oublier. On pourra retenir les premières lettres de chaque mot de la phrase. La combinaison de ces lettres d’avec vos chiffres fétiches et quelques caractères spéciaux ( ! ? , ; : ) garantit le mot de passe. Un exemple : « Nul homme ne peut se vanter de se passer des femmes ! » Un mot de passe qui en naîtra : « Nhnpsv2spdF ! ». Deux majuscules ont été introduites pour compliquer encore le mot de passe.

Le petit génie en informatique qui pirate un réseau informatique peut-il créer un compte et l’alimenter ou ordonner un mouvement d’argent comme on le voit dans les films futuristes hollywoodiens ?

La réalité est beaucoup plus complexe même si certains films de science-fiction s’en approchent. Ne nous focalisons pas sur les banques. En général, quand notre clientèle se montre frileuse sur la protection de ses données informatiques confidentielles, nous proposons un test d’intrusion. Evidemment, nous demandons qu’une autorisation préalable nous soit fournie. INTRAPOLE se met dans la peau d’un pirate. Nous simulons un pirate de base sans grande connaissance et dépourvu d’outils spécialisés, ensuite nous augmentons la complexité au fur et à mesure, jusqu’à la simulation d’une organisation criminelle disposant d’énormes moyens de piratage. Comme vous citez des banques, je peux juste vous dire qu’à la suite de nos tests d’intrusion, des banques ont pris des mesures vigoureuses pour sécuriser leur réseau. Je ne peux pas en dire plus.

Les logiciels de piraterie, les différents plans d’attaques, les outils des cybercriminels…tout se vend sans condition sur Internet. Autant dire que la lutte ne sera pas facile ?

La première arme, c’est la sensibilisation. Lors de nos séances, il nous arrive de faire des démonstrations pour permettre à l’auditoire de toucher du doigt la réalité du terrain. Nous activons par exemple le micro d’un téléphone portable qui permet à la salle de suivre à distance l’utilisateur du téléphone en question. Nous interceptons des messages instantanés… A chaque fois, nous attendons que l’auditoire nous demande comment alors se protéger des éventuels pirates. Mais non ! En réalité les gens veulent savoir comment espionner ou pirater ! On veut savoir comment réussir une écoute téléphonique. C’est dangereux. Déjà, c’est condamnable par la loi. Et notre rôle n’est pas d’enseigner le piratage. Nous ne sommes pas des pirates, mais notre métier nous oblige à connaître toutes les techniques utilisées par les pirates ! Mais comme vous le dites, sur le Net tout se vend.

Quelqu’un après avoir assisté à nos démonstrations ou motivé par toute autre chose peut vouloir jouer aux apprentis-sorciers car les sites d’apprentissage ou d’outillage de piratage ne proposent rien sans rien. Quelqu’un, en y allant, peut livrer tout de son entreprise. En effet, les logiciels de piratage que vous allez y télécharger intègrent eux-mêmes parfois des chevaux de Troie (logiciels espions), introduits par ceux qui les ont mis en ligne. Une personne qui, du poste de son bureau télécharge ce type de logiciels, ouvre une porte d’entrée de son entreprise à des pirates plus expérimentés et plus aguerris. Voulez-vous pirater la boîte E-mail de votre collègue ? Internet vous en donne les clés. Sauf que l’outil ou les outils qui vous ont été fournis peuvent permettent à ceux qui vous ont permis de réussir votre piratage, de vous pirater et de pirater l’ensemble de votre entreprise ! Imaginez un banquier qui s’hasarde sur ce terrain. C’est la catastrophe ! Par ailleurs, les vrais pirates sont des praticiens qui ont souvent fait de hautes études parfois même dans le domaine de la sécurité en informatique. Si un policier ou un gendarme décide de devenir cambrioleur, il est clair qu’il sera difficile de l’appréhender.

Le Burkina n’est peut-être pas avant-gardiste dans la lutte contre la cybercriminalité. Mais des textes existent. Que dit la loi en la matière ?

Je suis le premier à dire qu’en matière de sécurité informatique, on n’en fait pas assez. Mais rassurez-vous, bien de choses sont faites. L’ARCEP est en train de mettre en place des structures de lutte contre la cybercriminalité. La CIL est aux côtés des entreprises pour les aider à préserver la vie privée de leurs clients en protégeant les informations à caractère confidentiel. Les forces de sécurité appréhendent régulièrement des malfrats de l’informatique. Mais j’en veux plus. Je veux une action d’envergure, professionnelle et pérenne. En matière juridique, les dispositions existent. La loi classique peut s’appliquer aux cybercriminels. Mais aussi des textes spécifiques ont été pris. Seulement, je pense que pour pouvoir dire la loi, les magistrats, les juges, les forces de sécurité doivent être informés. Des formations à ces profils ne seront pas superflues, et c’est là que le bât blesse.

Interview réalisée par Jérémie NION

Sidwaya