Selon de multiples allégations, les prix de ces données proposés par des pirates seraient de 3 000 dollars US pour l’ensemble des données (25 GB) et de 1 000 dollars US pour des données partielles (10 GB) selon de nombreux experts en cybersécurité. Jeudi, la CNPS n’avait pas encore de déclaration officielle à ce sujet. Tout est parti le même 12 septembre 2024, un message inquiétant publié sur un forum de piratage indiquait que la CNPS avait été la cible des hackers. Dans ce message, l’on apprenait que le groupe de hackers Space Bears avait piraté une mine de données potentiellement lucrative de la CNPS, et sollicitait le paiement d’une rançon au plus tard le 22 septembre 2024, faute de quoi ces données seront mises en vente sur le Darkweb.
Suivant ces déclarations infondées, relayées par de nombreux internautes et plateformes, les données piratées contiennent, d’après le message publié sur ce forum, des : informations sur les cotisations des employés et des employeurs, des détails des bénéficiaires de la sécurité sociale (plus de 1,5 million de personnes), des documents financiers et rapports comptables, données de sauvegarde et bases de données clients, schémas de structure du réseau Huawei entre autres. Le prétendu message publié dans le forum affirmait que la CNPS utilise une infrastructure réseau Huawei, bien que ce détail ne puisse être vérifié de manière indépendante. Plus alarmant encore, les hackers semblaient posséder des données personnelles sur les employés et les citoyens, y compris des informations d’assurance archivées et potentiellement sensibles.
Ce qui a soulevé de graves préoccupations en matière de confidentialité, car de telles violations de données pourraient être exploitées pour le vol d’identité, la fraude financière ou même la manipulation sociale. La CNPS est une institution publique essentielle responsable de la gestion des prestations de sécurité sociale pour les camerounais. Or il n’en est rien. La CNPS a bel et bien battu en brèche toutes les accusations et diffamations ayant circulé autour de ce dossier qui n’existe pas : la gangraine des fake news, pour lequel la société civile et l’Etat se bat contre au quotidien.
« Il est porté à la connaissance de l’opinion publique ainsi que des assurés sociaux et partenaires de la CNPS, que des prétendus influenceurs dans les réseaux sociaux, et qui colportent avec une délectation malveillante les informations relatives à la CNPS, aussi fausses soient-elles, diffusent des nouvelles laissant croire que le système d’information de la CNPS serait piraté, et que toute sa base de données serait entre les mains de personnes non indiquées, qui menacent de les publier faute de paiement de rançon. Le Directeur général tient à rassurer à ce propos, à ce jour, le système d’information de la CNPS fonctionne normalement. Mais il a été aisé d’établir des relations étroites entre ces maîtres chanteurs s’étant par ailleurs, à plusieurs reprises, butés à notre fin de non-recevoir de leur accorder des subsides aussi malhonnêtement sollicités. En tout état de cause, les informations présentées comme confidentielles et susceptibles d’être divulguées par ces truands à col blanc sont libres d’accès, dans la mesure où la CNPS applique une politique de transparence exemplaire dans ses activités. » a souligné la CNPS dans son communiqué, par la voix de son Directeur Général Noel Alain Olivier Mekulu Mvondo.
Même si le démenti a été fait, la CNPS devrait donc agir rapidement dans le cadre du renforcement de son système de sécurité. Mettre en œuvre un plan de réponse aux incidents robuste pour contenir la menace et prévenir de futurs dommages, revoir et renforcer leurs mesures de cybersécurité pour prévenir d’éventuelles attaques à l’avenir.
Car les conséquences potentielles auraient été multiples si cela était avéré à savoir l’usurpation d’identité : Les données volées peuvent être utilisées par des cybercriminels pour usurper l’identité des victimes et commettre des fraudes ; Le chantage, les pirates pourraient tenter de faire chanter les personnes dont les données ont été compromises ; Des dégâts financiers, les entreprises et les institutions peuvent subir des pertes financières importantes en raison de ce piratage ; Atteinte à la réputation : La CNPS et l’État camerounais pourraient voir leur réputation entachée par cette affaire.
Cette cyberattaque imaginaire, met en évidence la nécessité pour le Cameroun de renforcer considérablement sa cybersécurité. Les entreprises et les institutions publiques doivent investir davantage dans des solutions de sécurité informatique pour protéger les données sensibles de leurs clients et de leurs citoyens. Il est également urgent de sensibiliser la population aux risques liés à la cybercriminalité et de leur apprendre à protéger leurs données personnelles.
