Ciblage SCADA des réseaux électriques africains : les hacktivistes pro-russes changent de cible

Un pivot stratégique

Depuis fin 2025, plusieurs groupes hacktivistes pro-russes ont élargi leur cible géographique au-delà de l'Europe et de l'Amérique du Nord. L'Afrique subsaharienne est désormais dans leur périmètre — non par hasard, mais par calcul géopolitique : les pays africains qui ont maintenu des relations économiques avec la Russie malgré les pressions occidentales constituent une démonstration de force utile.

NoName057(16) et KillNet ont revendiqué des tentatives d'intrusion sur des systèmes de contrôle industriel (ICS/SCADA) d'utilitaires électriques dans trois pays africains entre le 12 et le 28 mai 2026.

Les incidents documentés

Afrique du Sud — Eskom (12 mai 2026) NoName057(16) a revendiqué un accès à un sous-réseau de contrôle d'Eskom via une interface HMI (Human-Machine Interface) exposée sur internet. Eskom a confirmé une "anomalie système" mais a qualifié l'incident d'"impact opérationnel nul". Des chercheurs en sécurité indépendants ont corroboré l'accès à une interface de monitoring, sans accès confirmé aux actionneurs physiques.

Ghana — Electricity Company of Ghana — ECG (19 mai 2026) KillNet a publié des captures d'écran de ce qui ressemble à un tableau de bord SCADA de l'ECG, incluant des vues cartographiques de nœuds du réseau de distribution. L'ECG n'a pas commenté l'incident. La CIRT nationale ghanéenne (GH-CERT) a ouvert une investigation.

Tanzanie — TANESCO (28 mai 2026) Revendication de NoName057(16) d'un accès à un système de télécontrôle de TANESCO. TANESCO a nié toute intrusion. L'investigation est en cours.

L'exposition structurelle des ICS africains

Les systèmes de contrôle industriel des utilitaires africains présentent plusieurs facteurs d'exposition :

Interfaces exposées sur internet. Des recherches Shodan montrent que plusieurs dizaines d'interfaces SCADA et HMI d'utilitaires africains sont directement accessibles depuis internet, sans VPN ni authentification forte. Ce chiffre a augmenté depuis la pandémie avec la nécessité de télémaintenance.

Équipements anciens sans patch. Les PLCs (Programmable Logic Controllers) et RTUs (Remote Terminal Units) en service dans les réseaux africains sont souvent des modèles de 10 à 20 ans, pour lesquels les mises à jour de sécurité ne sont plus disponibles ou pas appliquées.

Absence de segmentation IT/OT. Dans de nombreux utilitaires africains, les réseaux IT (bureautique) et OT (opérationnel) ne sont pas correctement segmentés. Une compromission du réseau bureautique peut atteindre le réseau OT.

Ce que ces incidents révèlent

Ces intrusions hacktivistes — même avec un impact physique limité — ont une valeur de renseignement importante pour les attaquants. Elles leur permettent de :

— Cartographier la topologie des réseaux électriques — Identifier les équipements exposés et leurs versions de firmware — Tester les délais de détection et de réponse des équipes SOC locales

Une intrusion "démonstrative" aujourd'hui peut précéder une attaque destructrice demain.

Recommandations prioritaires

— Audit d'exposition immédiat. Identifier et retirer d'internet toutes les interfaces ICS/SCADA accessibles directement. — Segmentation IT/OT stricte. Déployer des passerelles unidirectionnelles (data diodes) entre les réseaux bureautiques et opérationnels. — Authentification multi-facteur. Imposer MFA pour tout accès distant aux systèmes de contrôle. — Partage d'indicateurs. Rejoindre des réseaux de partage d'IOCs sectoriels (E-ISAC, Africa-CERT) pour bénéficier d'alertes précoces sur les campagnes en cours.

La dimension géopolitique

Ces attaques s'inscrivent dans une stratégie de déstabilisation par démonstration de vulnérabilité. L'objectif n'est pas l'obscurcissement — les revendications publiques sont une signature volontaire. Il s'agit d'envoyer un message aux gouvernements africains sur le coût potentiel d'un alignement avec les positions occidentales sur la guerre en Ukraine.

— ◆ —