Les pirates annoncent avoir volé 1 To de données fiscales et administratives au cœur du système fiscal sénégalais. L’attaque soulève des enjeux critiques de cybersécurité nationale.
La Direction Générale des Impôts et des Domaines (DGID) du Sénégal a été la cible d’une cyberattaque revendiquée par le groupe Black Shrantac, nouvel acteur apparu sur la scène internationale avec déjà trois attaques en Inde et en Turquie. Les pirates affirment avoir exfiltré un volume considérable de données sensibles, estimé à un téraoctet. Ces informations incluraient aussi bien des rapports financiers que des documents légaux et des identités administratives. L’opération suit le schéma classique de la double extorsion : demande de rançon pour effacer les données volées et mise en vente de celles-ci sur des canaux clandestins. Si la compromission se confirme, l’impact pourrait être institutionnel pour l’État et dramatique pour les citoyens exposés à de potentielles fraudes massives.
La DGID, colonne vertébrale fiscale du Sénégal
Le site dgid.sn est la plateforme officielle de la Direction Générale des Impôts et des Domaines, organisme central du ministère sénégalais des Finances et du Budget. Sa mission est multiple : collecter impôts et taxes, administrer le patrimoine foncier, gérer les biens domaniaux de l’État et assurer la mobilisation des recettes fiscales. Cette structure constitue la clef de voûte de la gestion financière publique et l’un des piliers de la gouvernance étatique.
C’est donc un organisme stratégique qui se retrouve exposé par l’intrusion d’un groupe criminel comme a pu le constater le Service de Veille de ZATAZ. Les pirates affirment avoir compromis deux machines, qu’ils identifient comme « 1 » et « 2 », et en avoir extrait des données massives. Pour crédibiliser leurs revendications, ils diffusent sur leur vitrine du dark web plusieurs échantillons : documents administratifs portant tampons et signatures officielles, identités d’administrés, matricules de solde, ainsi que des dossiers internes. Une méthode connue dans l’écosystème de la cybercriminalité, utilisée pour attirer l’attention de potentiels acheteurs. Le reste des données sont à vendre !
Black Shrantac, un acteur émergent de la cyber-extorsion
Le groupe Black Shrantac est un nom nouveau dans le paysage du cybercrime. Suivi depuis fin août par le Service de veille ZATAZ, ce groupe n’a jusqu’ici revendiqué que trois opérations, en Inde et en Turquie. Son mode opératoire rappelle celui d’autres collectifs de rançongiciels : exfiltration de données stratégiques, mise en ligne partielle pour preuve et diffusion d’un message proposant deux issues.
Leur communication est explicite : « La société peut payer pour la suppression des données, et les particuliers non concernés peuvent nous contacter pour acheter des informations ». Une offre cynique qui illustre la logique double du modèle : rançon auprès de la victime principale et commerce des données auprès de tiers. Payer serait dans tous les cas bien inutiles : les données sont perdues. Elles ont été triées, stockées dans le dark web et affichées en partie.
⚠️ Êtes-vous une proie facile ?⚠️ ️
Confidentiel • Instantané • Sécurisé • 100 % Made in France
Enjeux institutionnels et citoyens d’une fuite massive
Pour l’administration sénégalaise, une telle attaque représente un double choc. Institutionnel d’abord, car la DGID, pilier de la collecte fiscale, doit garantir l’intégrité de ses systèmes et la confidentialité des dossiers qu’elle gère. Une exposition de ses failles techniques remet en question sa crédibilité et sa résilience numérique. La confiance dans la gouvernance digitale de l’État pourrait s’en trouver durablement altérée.
Pour les citoyens ensuite, le danger est concret. Les documents exfiltrés peuvent nourrir des fraudes à grande échelle : usurpations d’identité, escroqueries fiscales, falsification de documents, phishing ciblé. La présence de signatures, tampons et matricules authentiques renforce la valeur de ces données pour les marchés noirs. Ces éléments constituent autant d’outils de contournement des contrôles, au bénéfice de réseaux criminels organisés.
Le recours à la double extorsion accroît la menace. Même en cas de paiement par l’institution, rien ne garantit que les données ne soient pas revendues. La logique de profit des cybercriminels place les victimes dans une situation asymétrique où chaque issue reste défavorable.
