eCitizen au Kenya : quand un DDoS bloque l'accès aux services publics numériques

La disponibilité est aussi une forme de sécurité

Lorsque les administrations numérisent leurs démarches, la cybersécurité ne se limite plus à empêcher la fuite de données personnelles. Elle doit également assurer que les citoyens puissent réellement accéder à un document, régler une formalité ou solliciter un service public. Le Kenya en a fait l'expérience en juillet 2023, lorsque sa plateforme eCitizen a subi une indisponibilité liée à une attaque par déni de service distribué (DDoS).

Selon une déclaration du ministère de l'Intérieur et de l'Administration nationale relayée le 28 juillet 2023, les services eCitizen avaient repris après une indisponibilité débutée le dimanche 23 juillet. Le ministère a attribué la perturbation à une tentative de cyberattaque par DDoS, c'est-à-dire l'envoi massif de trafic depuis plusieurs sources afin de saturer la plateforme et de la rendre indisponible.

Les faits confirmés et les affirmations à manier avec prudence

Le secrétaire de cabinet chargé de l'Information, des Communications et de l'Économie numérique, Eliud Owalo, a confirmé l'attaque et indiqué que les attaquants avaient tenté de bloquer le service en générant un volume de requêtes supérieur au niveau normal. Dans les communications gouvernementales rapportées par Kenya News Agency, il a assuré que la confidentialité des données n'avait pas été violée et que les données présentes sur les plateformes n'avaient pas été altérées.

Des acteurs se présentant comme Anonymous Sudan ont revendiqué l'attaque. La couverture disponible précise néanmoins que le gouvernement kényan n'a pas confirmé cette revendication. Il convient donc de distinguer le diagnostic technique officiel, le DDoS affectant eCitizen, de l'attribution à un groupe particulier, qui demeure non confirmée par l'autorité citée.

Le portail concentrait alors des milliers de services publics. Cette centralisation offre un avantage clair aux citoyens : une porte d'entrée unifiée pour des démarches nombreuses. Elle produit aussi un effet systémique : lorsque le portail devient inaccessible, de multiples démarches peuvent être affectées simultanément, même en l'absence d'une compromission de base de données.

Un épisode représentatif d'une pression plus large

Le rapport du National KE-CIRT/CC de la Communications Authority of Kenya pour la période juillet-septembre 2023 situe l'incident dans un environnement de menace soutenu. Le centre national y décrit les cybermenaces détectées et recommande notamment des architectures résilientes, de bonnes pratiques de protection et une coordination renforcée des réponses.

L'intérêt du cas eCitizen est précisément qu'un DDoS est parfois considéré comme moins grave qu'une fuite de données ou un rançongiciel. Pour un citoyen qui doit renouveler un document, enregistrer une entreprise ou accéder à une démarche urgente, l'indisponibilité constitue pourtant le dommage immédiat. Pour l'État, elle atteint la confiance dans la transformation numérique : plus le public dépend d'une plateforme, plus sa disponibilité devient une obligation de service.

Ce que la centralisation exige en retour

Une plateforme nationale doit être conçue comme une infrastructure critique, et non comme un simple site web d'administration. Cela impose une capacité d'absorption des pics de trafic malveillant, une distribution des services, des dispositifs anti-DDoS, des mécanismes d'observation en temps réel et des parcours alternatifs lorsque la plateforme principale n'est pas disponible.

La résilience ne consiste pas nécessairement à décentraliser toutes les démarches. Une interface commune reste utile. En revanche, les fonctions d'identité, de paiement, d'émission de documents et de communication avec les citoyens ne devraient pas dépendre d'un seul point de rupture non compensé. Une panne ou une attaque ne devrait pas rendre l'ensemble de l'État numérique muet.

La communication d'incident comme service public

Le Kenya a communiqué sur deux points utiles : la nature de l'attaque et l'absence officiellement déclarée de perte de données. Dans un incident de service public, une communication encore plus opérationnelle peut réduire le dommage : statut des démarches affectées, délais attendus, canaux alternatifs, validité des paiements en cours et moment de la prochaine mise à jour.

Cette clarté aide aussi à contenir les rumeurs de vol de données ou les tentatives de phishing profitant de la confusion. Lorsqu'un portail est indisponible, des fraudeurs peuvent envoyer de faux liens de réactivation ou de paiement. La communication officielle doit donc être disponible sur plusieurs canaux vérifiés et rappeler aux usagers où ils ne doivent jamais saisir leurs informations.

Priorités pour les États africains

• Classer les grands portails de services publics parmi les infrastructures numériques critiques et leur imposer des objectifs mesurables de disponibilité et de reprise.
• Tester régulièrement les protections DDoS, les capacités de montée en charge et les parcours alternatifs pour les démarches essentielles.
• Séparer, dans les rapports d'incident, l'indisponibilité, l'accès aux données, l'altération des données et l'attribution de l'attaque.
• Préparer des communications multicanales aux citoyens pour limiter l'interruption de service et les escroqueries opportunistes.
• Associer CERT, agences numériques, autorités de protection des données et opérateurs de paiement dans les exercices de crise.

Conclusion

L'attaque contre eCitizen n'a pas, selon les déclarations officielles disponibles, entraîné de perte de données. Elle a néanmoins révélé un enjeu majeur : le droit d'accéder aux services publics numériques dépend de défenses capables de préserver leur disponibilité. Pour les États africains qui accélèrent leur administration en ligne, cette leçon est structurelle : numériser un service, c'est aussi financer et tester sa résilience.

— ◆ —