La Tunisie est classée parmi les pays africains les plus exposés aux cyber-attaques et parmi les plus infectés.

Auteur : Haythem EL MIR, CISSP
CEO, Keystone & CSIRT.tn

Un rapport de Shadow Server vient d’être publié, analysant les menaces en Afrique et montrant à quel point notre continent est en train de se développer technologiquement et à quel point on devient exposé et infecté par des malwares.

En ce qui concerne le cyberespace Tunisien, il figure dans le top des pays les plus exposés et aussi les plus infectés, en voici quelques chiffres qui concernent le mois d’Avril 2020 :

  • La Tunisie est 6ième en Afrique en termes d’infections avec plus de 20 000 IP détectées par les réseaux d’analyse de malware. L’Egypte s’affiche dans le top  de ce classement avec plus que 160 000 IP suivie par l’Algérie avec presque 120 000 IP infectées,

L’Afrique du nord est dans le top de ce classement, ceci est justifié par le développement technologique et le taux de pénétration d’Internet, comparée aux autres régions.

Les principaux malwares

  •  Le malware le plus répondue en Afrique est  Andromeda : un botnet vendu en tant que service (Crimeware-as-a-service), mais ayant été démantelé par l’opération Avalanche. On retrouve aussi Mirai le botnet des IoT et Nercus le botnet de spam.
  • En Tunisie le Malware Avalanche Andromeda infectait plus que 19 800 IP le 16 Avril 2020. Nercus avait infecté plus de 1 100 IP à la même date et Mirai était présent aussi en Tunisie avec 182 IP infectées.
  • En Afrique les Malwares mobiles, ceux qui infectent les smartphones, sont les plus présents, touchant essentiellement les systèmes Android.
  • Les principaux Malwares en circulation en Afrique sont android.backdoor.prizmes, ghost-push et android.iop.  D’autres anciens malwares sont encore en circulation en Afrique comme  Virut, Conficker et Lethic.
  • Il est à noter que la Tunisie ne dispose pas d’un nombre significatif d’infections par les Malwares Mobiles comparée à d’autres pays. L’Algérie est au Top suivie par l’Angola, le Nigéria, l’Egypt et le Maroc.

Les services exposés

D’autres chiffres sont aussi importants concernant les services exposés. Il s’agit de services réseaux qui sont accessibles depuis Internet et qui peuvent poser un risque sur les réseaux. Ils peuvent contenir des vulnérabilités ou peuvent être exploités afin de lancer d’autres attaques (comme l’amplification et la réflexion DDoS).

  • En termes de services exposés, la Tunisie est deuxième après l’Afrique du Sud :

  • Le service le plus exposé en Afrique ainsi qu’en Tunisie est le CWMP (CPE WAN Management Protocol), utilisé par les fournisseurs de service Internet pour manager leurs équipements comme les modems. Ce service a été abusé auparavant par le Malware Mirai et ne devrait pas être accessible depuis Internet.
    • On trouve ensuite le SSH qui est un service généralement ciblé par les attaques par force brute,
    • Puis on trouve  le HTTPS qui est naturellement utilisé pour la publication d’applications web et qui n’est pas forcément sujet de vulnérabilités,
    • Après  on repère le telnet, qui n’a aucune raison d’exister,
    • Il y a aussi les services utilisés pour l’amplification DDoS comme le DNS et le NTP,
  • En Tunisie, il y a plus de 170 000 IP avec des services exposés sur Internet,
  • En matière de service CWMP, la Tunisie est première avec plus de 140 000 IP identifiées,
  • En termes de (open) DNS, la Tunisie est troisième après le Maroc et l’Afrique du Sud avec presque 12 000 services DNS exposés. Ce qui présente un risque réel si ces IP seront utilisées pour amplifier les attaques DDoS  ayant par conséquence la pénalisation des fournisseurs de service Internet.

Blacklisting des IP

Le blacklisting des IP est un problème majeur pour les pays africains, ces IP qui deviennent bloquées par les opérateurs internationaux et par les Anti-SPAM suite à la détection de comportements douteux en leur provenance. Il y a entre 2 et 3 millions d’IP africaines qui sont présentes dans des blacklists.

  • La Tunisie est 3ième après les Iles Maurice et l’Afrique du sud avec plus de 83 500 IP présentes dans des blacklists.

Pour conclure

La situation des réseaux Tunisien est certainement un peu alarmante, ceci est due d’une part au développement technologique, l’ouverture des réseaux, l’exposition des services, et d’autre part à un manque au niveau de la protection et une certaine négligence des aspects (parfois basiques) de la sécurité.

Il faut impérativement renforcer la sécurité des réseaux, assurer une meilleure résilience de l’Internet et surtout sensibiliser les citoyens pour qu’ils puissent comprendre les risques et comment se protéger.

Cet article a été rédigé en se basant sur un rapport publié par Shadow Server, le 30 Avril 2020: https://www.shadowserver.org/news/the-shadowserver-foundation-threat-report-a-spotlight-on-africa/

Next Post

EasyJet piraté : 9 millions de clients affectés et 2 000 cartes de crédit exposées

La compagnie aérienne britannique EasyJet a signalé une fuite de données massive affectant neuf millions de ses clients et impliquant plus de 2 000 détails de cartes de crédit. EasyJet a ajouté que son attaquant était « très sophistiqué », et qu’il avait eu accès aux adresses e-mail et aux détails de voyage de […]