Gallo Fall vit et travaille au Etats Unis, pense que la protection de l’écosystème numérique de l’Afrique et son avenir est un imperative. Avec une 15 annees d’ experience, Il a occupé plusieurs postes de leadership et conseillé en cybersécurité au cours des 10 dernières années à protéger les actifs informationnels pour l’une des plus grandes banques des États-Unis, un secteur hautement réglementé.
Il est licencié en Informatique et Sécurité des Réseaux avec une mineure en Informatique Forensique à Dakota State University, un centre d’excellence académique en cybersécurité reconnu à l’échelle nationale et désigné par l’ Agence de Sécurité Nationale (NSA), proposant des programmes complets et pratiques sur la sécurité des réseaux, les cyber-opérations et la défense. Suivi d’un Masters M.S. en Technologies de la Sécurité à l’Université du Minnesota au sein de l’ Institut de Leadership Technologique spécialisé en cybersécurité, infrastructures critiques et gestion des risques. Un programme concue pour proteger les 16 secteurs d’infrastructures critiques aux Etats Unis dont les actifs et les systèmes sont considérés comme si vitaux que leur destruction ou leur neutralisation affaiblirait la sécurité nationale, la stabilité économique ou la santé et la sécurité publiques. Ces annees de maitrise lui a permis de comprendre et de concevoir des systèmes résilients, d’identifier et d’atténuer les problèmes dans les infrastructures critiques et d’améliorer la planification de la réponse aux incidents tels que les cyberattaques.
Cet article met en avant le poids symbolique des systèmes biométriques et d’identité tout en soulignant les risques à long terme liés à la compromission des données biométriques nationales. Cet éditorial souligne l’importance de la souveraineté numérique et exhorte le Sénégal et les nations africaines à prendre le contrôle de leur avenir numérique en construisant des systèmes sécurisés et résilients pour héberger et protéger ce qui compte le plus en matière de cybersécurité contre les cyber criminels.
La grande majorité de la population adulte du Sénégal semble avoir perdu ses données biométriques à cause des cyber-attaques répétées. La récente cyber-attaque contre la Direction de l’automatisation des fichiers (DAF) a révélé une vulnérabilité critique au cœur de notre République. Selon les informations publiques disponibles, un groupe se faisant appeler « The Green Blood Group » affirme avoir exfiltré 139 téraoctets de données hautement sensibles, perturbant ainsi la délivrance des cartes d’identité nationales et des passeports et compromettant potentiellement les informations biométriques et administratives de millions de citoyens sénégalais.
Je vous écris en tant qu’expert en cybersécurité et en gouvernance des risques pour vous exhorter à une réponse décisive qui aille au-delà des solutions techniques et s’attaque au problème fondamental : la souveraineté numérique du Sénégal.
Pour expliquer la quantité de données volées aux personnes non spécialistes, il est important de préciser que la capacité de stockage est généralement mesurée selon deux normes différentes : décimale (SI), utilisée par les fabricants de matériel, et binaire (IEC), souvent utilisée par les systèmes d’exploitation. Mo désigne les mégaoctets.
1 gigaoctet (Go) = 1000 mégaoctets, selon la norme décimale, ou 1024 mégaoctets selon la norme binaire (IEC). 1 téraoctet de stockage peut contenir environ 250 000 à 300 000 photos (en supposant des photos de 12 mégaoctets).
Une capacité de stockage de 139 téraoctets permet de stocker environ 11 583 333 photos de 12 mégaoctets chacune en utilisant la conversion décimale standard, ou 12 146 005 photos en utilisant la conversion binaire.
Je rassure que quiconque peut etre douteux qu’ une telle quantité soit exfiltré, mais cet scepticisme est compréhensible, surtout en l’absence d’éléments techniques publiés par les autorités ou par un rapport forensic holistique et indépendant. Mais il est vrai que sans preuves publiques, le public ne peut qu’évaluer la plausibilité.
Concernant le volume annoncé (139 To), il est important de rappeler que des exfiltrations massives de données ont déjà été observées dans plusieurs incidents internationaux, parfois sur des infrastructures supposées bien protégées.
L’objectif de mon analyse n’est pas d’affirmer avec certitude le volume exact des donnes exfiltrées, mais de souligner les enjeux structurels : manque de transparence, absence de communication technique, dépendance technologique, et vulnérabilités systémiques qui rendent ce type d’incident plausible. Ce qu’ on ne peux pas nier, l’intrusion a été confirmée par le fournisseur étranger (IRIS Corporation Berhad) et j’ ai vue de mes propres yeux des dcouments sensibles dans le Dark Web ou marche noir des cybercriminels que je ne vais pas partager. C’est précisément pour cela que la question de la souveraineté numérique et de la maturité cyber reste centrale.
Qui est Green Blood Group ?
Green Blood Group est un groupe de cybercriminels motivé par l’appât du gain, observé pour la première fois en février 2026. Selon les informations disponibles, il appartient à l’écosystème des acteurs de la cybercriminalité utilisant des rançongiciels, qui combinent le vol de données et l’extorsion. Leurs activités s’inscrivent dans la tendance générale des petits groupes agiles qui utilisent des outils courants, des canaux de communication anonymes et des sites de fuite publics pour contraindre leurs victimes à payer. Le groupe exploite un site de fuite dédié sur le réseau Tor et applique un modèle de double extorsion, menaçant de divulguer publiquement les données des victimes en cas d’échec des négociations.
Le groupe Green Blood semble être une nouvelle organisation de rançongiciels, et non une simple réorganisation d’un groupe déjà connu. Ce groupe dispose d’un site de fuite de données indépendant sur le réseau Tor et utilise des canaux de communication chiffrés pour interagir avec ses victimes.
Types d’extorsion :
• Extorsion directe
• Double extorsion
• Fuites de données gratuites
Pays cibles observés
Le mode de ciblage suggère une concentration sur des régions où la maturité en matière de réponse aux incidents et les exigences de divulgation des attaques par rançongiciel varient, ce qui pourrait accroître la probabilité de réussite des tentatives d’extorsion.
• Sénégal
• Inde
• Colombie
• Égypte
• Belgique
Le danger de l’externalisation de l’identité
La cyberattaque est survenue précisément au moment où l’État sénégalais était engagé dans un conflit commercial avec IRIS Corporation Berhad, l’entreprise malaisienne responsable des cartes d’identité nationales numériques du Sénégal. Dès la détection de l’intrusion, IRIS aurait demandé à la DAF (Direction de l’Automatisation des Fichiers) de désactiver tous les systèmes, tandis que son équipe technique se préparait à se rendre sur place depuis la Malaisie. A
utrement dit, en pleine situation d’urgence nationale, le fonctionnement et la restauration de l’infrastructure d’identification essentielle du Sénégal dépendaient entièrement d’un fournisseur étranger situé à des milliers de kilomètres. Il ne s’agit pas d’une simple complication liée aux marchés publics, mais d’une vulnérabilité stratégique profonde : lorsque la continuité de notre système d’identification national repose sur un prestataire externe impliqué dans un différend financier avec l’État, une partie de notre souveraineté est déjà compromise. La convergence d’une cyberattaque majeure, d’un conflit commercial et d’une demande de mise hors service des systèmes nationaux révèle une faiblesse structurelle que les enquêteurs doivent examiner de près, notamment la possibilité que la relation avec le fournisseur ait elle-même créé ou amplifié les failles de sécurité actuellement exploitées.
Cet arrangement soulève trois graves préoccupations :
Premièrement, qu’une entité privée étrangère semble exercer un contrôle opérationnel de facto sur des infrastructures nationales critiques.
Deuxièmement, qu’un litige contractuel et financier puisse coïncider avec ou affecter indirectement la gestion d’un incident majeur de cybersécurité.
Troisièmement, que nos actifs informationnels les plus sensibles — les données biométriques et d’identité des citoyens — soient intégrés dans un système dont la responsabilité technique centrale se situe en dehors du Sénégal.
De plus, des informations disponibles dans le domaine public suggèrent que d’autres entités stratégiques, y compris Sénégal Numérique S. A. (SENUM SA), la société d’État responsable des infrastructures numériques gouvernementales, ont également été ciblées, indiquant une campagne plus large contre nos « coffres-forts numériques » institutionnels. Associées aux attaques antérieures contre la Direction générale des Impôts et des Domaines, ces actions révèlent un schéma de vulnérabilité systémique au plus haut niveau des systèmes d’information de l’État.
Je dois confirmer avec objectivité que cette intrusion met en évidence le danger d’une transformation numérique mal conçue a deux niveaux :
Y a t – il un risque réel pour le pays ?
Quand une structure comme la DAF, qui gère les cartes d’identité, les passeports, les données biométriques et parfois les listes électorales, est touchée, ce n’est pas juste un problème technique. C’est un enjeu de souveraineté, de sécurité nationale et de confiance dans l’État. Selon l’ampleur réelle de la fuite (qui reste encore à clarifier publiquement), cela peut ouvrir la porte à l’usurpation d’identité, à la fraude, à des manipulations électorales ou à des opérations de chantage et d’ingérence.
À qui cela profite-t-il ?
Ces données sensibles peuvent intéresser plusieurs acteurs :
des cybercriminels “classiques”, qui les utilisent pour de la fraude financière ou la vente sur des marchés noirs ;
des entreprises privées, qui peuvent exploiter ces informations à des fins commerciales s’ils y ont accès, légalement ou illégalement ;
des acteurs politiques ou étatiques (nationaux ou étrangers), pour surveiller, influencer ou déstabiliser.
les terroristes peuvent acheter les donnees pour usage de faux pour cacher leur identites reels.
C’est pour ça que le silence ou la minimisation officielle posent problème : sans transparence, les citoyens ne savent ni ce qui a été compromis, ni quelles mesures de protection sont mises en place, ni quels sont leurs droits en cas d’abus.
À mon avis, le plus urgent aujourd’hui pour le Sénégal serait :
une communication claire et régulière de l’État sur ce qui s’est passé et sur l’état réel des données ;
un audit indépendant de sécurité et une réforme profonde de la gouvernance des systèmes d’information publics ;
une loi et une autorité de protection des données réellement fortes, dotées de moyens et de pouvoirs de sanction ;
une sensibilisation des citoyens pour qu’ils comprennent la valeur et la fragilité de leurs données personnelles.
Donc oui, on peut dire que le Sénégal est exposé, non seulement par cette attaque, mais par l’absence de culture de cybersécurité à tous les niveaux. Mais cette crise peut aussi être un électrochoc pour exiger mieux : plus de transparence, plus de protection, et une vraie stratégie de souveraineté numérique.
La souveraineté des données comme impératif constitutionnel
La souveraineté des données est la forme contemporaine de la souveraineté étatique à l’ère numérique. Ce n’est pas un slogan technique ; c’est un impératif constitutionnel qui doit orienter l’acquisition, l’architecture et la gouvernance de tous les systèmes d’information critiques.
La Constitution affirme la souveraineté du peuple sénégalais sur son territoire et ses institutions. Or, à l’ère numérique, cette souveraineté doit également s’étendre aux données et aux infrastructures numériques. Les bases biométriques, registres civils, fichiers fiscaux, dossiers d’immigration et listes électorales constituent l’ossature informationnelle de la République, déterminant l’identité légale, l’accès aux droits, les obligations fiscales et la participation démocratique.
Si ces coffres-forts numériques peuvent être ouverts, chiffrés ou pris en otage par des groupes criminels – ou indirectement influencés par des entités étrangères qui gèrent les systèmes – alors notre souveraineté n’existe que sur le papier.
L’incident de la DAF, combiné aux attaques précédentes contre des institutions telles que la Direction générale des impôts et des domaines et aux informations selon lesquelles SENUM SA, l’entreprise publique chargée de la protection des données gouvernementales, aurait également été compromise, révèle un schéma d’exploitation systématique des vulnérabilités de haut niveau. Ces violations ne sont pas des incidents isolés ; elles sont les symptômes d’une architecture qui a privilégié la rapidité et l’externalisation au détriment du contrôle national et de la résilience.
Un programme politique pour l’indépendance numérique
Compte tenu de ce qui précède, je propose respectueusement au gouvernement d’envisager les mesures suivantes, en s’appuyant sur les stratégies existantes mais en les renforçant en termes de portée et d’urgence :
- Consacrer la souveraineté et la localisation des données pour les systèmes critiques Définir, par loi ou décret, des catégories de « données nationales critiques » (y compris les données biométriques, fiscales, de santé, électorales et de sécurité) qui doivent être stockées et traitées sur des infrastructures physiquement situées au Sénégal et exploitées sous contrôle national direct. Exiger que tout partenariat étranger impliquant de telles données inclue des dispositions claires pour l’accès de l’État au code source, aux clés cryptographiques et à la documentation opérationnelle, sans pouvoir unilatéral pour les fournisseurs externes de désactiver ou suspendre les systèmes.
- Rééquilibrer les contrats en faveur de la capacité nationale : Examiner le contrat avec IRIS Corporation et des arrangements similaires afin de s’assurer qu’ils ne créent pas de dépendance stratégique ni ne limitent la capacité de l’État à exploiter et sécuriser ses propres systèmes. Pour les futurs appels d’offres, imposez un transfert obligatoire de technologie, des coentreprises avec des entreprises sénégalaises et des clauses de renforcement des capacités qui exigent que les partenaires étrangers forment et intègrent les équipes nationales dans la conception, l’exploitation et la défense de ces systèmes.
- Renforcer la gouvernance et l’application de la cybersécurité nationale Donner le pouvoir à une autorité centrale nationale de cybersécurité dotée d’un mandat clair pour auditer, certifier et surveiller tous les systèmes critiques, qu’ils soient exploités par des agences publiques ou des contractants privés. Exiger des évaluations de sécurité régulières et indépendantes, des tests d’intrusion et des exercices de réponse aux incidents, avec un rapport complet au comité parlementaire compétent afin d’assurer une surveillance démocratique.
- Investir dans les talents et l’industrie sénégalaises en cybersécurité Créer des mécanismes de financement dédiés pour la formation des ingénieurs en cybersécurité, des spécialistes en criminalistique numérique et des architectes de la sécurité via des partenariats entre gouvernement, universités et secteur privé. Encourager la croissance d’entreprises locales de cybersécurité capables de rivaliser pour des contrats d’État, préservant ainsi l’expertise et la valeur économique au Sénégal et dans la région plus large de la CEDEAO.
- Promouvoir la transparence et la confiance du public après la faille Publier, dès que possible sans compromettre la sécurité, un rapport officiel et techniquement solide sur l’incident du DAF, détaillant l’étendue des données affectées, les mesures prises et les réformes prévues. Établir des canaux de communication clairs avec les citoyens dont les données ont pu être exposées, et développer des programmes de remédiation (tels que la surveillance renforcée, le renouvellement des documents et les services de soutien) pour atténuer les risques potentiels.
Un avertissement africain plus large
L’expérience du Sénégal résonne avec une réalité africaine plus large. Des contrats nationaux d’identification aux systèmes d’immigration en passant par les plateformes de villes intelligentes, de nombreux États africains se sont tournés vers des fournisseurs externes pour des infrastructures numériques clés en main. Bien que ces dispositifs puissent accélérer la modernisation, ils créent souvent des dépendances opaques et exposent les systèmes publics fondamentaux à des risques à la fois cybercriminels et géopolitiques. Les pays qui ont commencé à internaliser les capacités de cybersécurité et à exercer un contrôle renforcé sur leurs données — comme ceux qui créent des agences nationales de cybersécurité et investissent massivement dans les industries numériques nationales — démontrent qu’une autre voie est possible.
L’Afrique ne peut pas se permettre un avenir où l’identité de nos citoyens, les registres électoraux et les archives d’État résident effectivement à la merci d’acteurs extérieurs, qu’il s’agisse de hackers du dark web ou de vendeurs dans des capitales lointaines. La violation du DAF devrait donc être étudiée non seulement à Dakar, mais dans chaque capitale où des systèmes biométriques et d’identité sont acquis ou renouvelés.
De l’appel d’alarme au plan
La priorité immédiate du gouvernement est à juste titre de contenir l’incident du DAF : rétablir les services, évaluer l’ampleur complète de la compromission des données et coopérer avec les enquêteurs pour identifier et poursuivre les responsables. Mais une fois le feu immédiat maîtrisé, le Sénégal doit résister à la tentation de « revenir à la normale », car c’est précisément la normalité qui a rendu cette crise possible.
Au contraire, cette faille devrait servir de modèle pour un programme national de souveraineté numérique — un programme qui remet les citoyens, institutions et experts sénégalais au centre de notre infrastructure identitaire. Si nous considérons ce moment comme un point d’inflexion plutôt qu’une gêne à enterrer, le Sénégal peut émerger comme un leader continental dans une gouvernance numérique responsable et souveraine.
Le groupe Green Blood ou Sang Vert a peut-être révélé nos faiblesses, mais il a aussi clarifié notre chemin. La question maintenant est de savoir si nous allons la suivre.
Transformer la crise en opportunité
Le Sénégal a l’opportunité de transformer cet incident grave en catalyseur d’un changement structurel positif. En affirmant la souveraineté numérique, en développant des capacités nationales solides et en rééquilibrant ses partenariats, le pays peut émerger comme un leader régional en matière de gouvernance numérique sécurisée et responsable. Dans un contexte où de nombreux États africains se posent des questions similaires concernant les systèmes d’identité gérés par l’étranger et les violations de données à grande échelle, la réponse du Sénégal enverra un signal puissant à travers le continent.
Je suis convaincu que le Sénégal possède le capital humain, la maturité institutionnelle et le statut diplomatique nécessaires pour tracer cette voie. Ce qu’il faut maintenant, c’est une décision politique claire : traiter l’infrastructure numérique et la cybersécurité non pas comme des questions techniques secondaires, mais comme des éléments fondamentaux de la sécurité nationale et de la souveraineté.
Je suis disponible pour aider et conseiller le Sénégal à sécuriser ce qui compte le plus et à améliorer sa posture de gestion des risques en cybersécurité.
Si vous avez des questions ou souhaitez un suivi, merci de m’envoyer un e-mail à fallgallo@gmail.com.
Respectueusement,
Gallo Fall
