Sénégal : une cyberattaque massive expose 139 téraoctets de données biométriques
La Direction de l'Automatisation des Fichiers (DAF) du Sénégal, pilier de l'architecture des données d'identité nationale, serait la cible d'une cyberattaque d'une ampleur sans précédent. Un groupe de cybercriminels revendique l'exfiltration de 139 téraoctets de données sensibles, incluant des informations biométriques de millions de citoyens sénégalais.
L'alerte a été lancée le 5 février 2026 via Ransomlook, une plateforme spécialisée dans la surveillance des rançongiciels. Un groupe se faisant appeler "The Green Blood Group" affirme avoir ajouté la DAF à son portail sur le Dark Web, aux côtés d'autres institutions victimes. Les données compromises incluraient des bases de données citoyennes, des éléments biométriques (empreintes digitales, photographies, numéros d'identification), des dossiers liés à l'immigration et des systèmes de sauvegarde internes.
Le volume évoqué donne la mesure du choc potentiel : 139 téraoctets représentent des dizaines de millions de dossiers numérisés. "Comment exfiltrer 139 téraoctets sans déclencher d'alerte majeure ?", s'interrogent plusieurs experts en cybersécurité. Une telle opération nécessiterait plusieurs semaines, voire plusieurs mois de transfert discret et un accès persistant au réseau interne de l'institution.
Un silence inquiétant des autorités
La DAF, rattachée au ministère de l'Intérieur, joue un rôle central dans la gestion et la sécurisation de l'identité numérique nationale. Elle supervise notamment la production des cartes biométriques CEDEAO et la consolidation des registres d'état civil numérisés. Autrement dit, cette attaque viserait l'ossature même de la souveraineté identitaire du Sénégal.
À ce jour, ni le ministère de l'Intérieur ni la Direction de l'Automatisation des Fichiers n'ont réagi officiellement à ces allégations. Cette absence de communication institutionnelle alimente les interrogations, d'autant plus que le site web officiel de la DAF demeure inaccessible. "Aucune communication officielle détaillée n'a publiquement confirmé l'ampleur de la compromission", soulignent les observateurs.
Cet incident survient dans un contexte déjà tendu pour la cybersécurité sénégalaise. À la mi-octobre 2025, la Direction générale des Impôts et des Domaines (DGID) avait reconnu avoir été victime d'une cyberattaque similaire. Le groupe Black Shrantac avait alors revendiqué l'exfiltration d'un téraoctet de données sensibles, exigeant une rançon de 6,5 milliards de francs CFA.
Une vulnérabilité structurelle révélée
Les experts pointent un déficit de gouvernance et de protocoles de sécurité opérationnels au sein des institutions publiques sénégalaises. "La cybersécurité n'est pas un luxe, mais une condition sine qua non de la souveraineté numérique et de la stabilité économique d'un pays", rappelle Diafara Fofana, analyste spécialisé. Cette nouvelle alerte met en lumière les défis auxquels font face les nations africaines engagées dans leur transformation numérique.
Si les faits sont avérés, il s'agirait de l'un des incidents de cybersécurité les plus graves jamais enregistrés dans l'histoire administrative du continent africain. Les données biométriques, une fois compromises, ne peuvent être modifiées comme un simple mot de passe. Les conséquences pour les millions de Sénégalais concernés pourraient s'étendre sur des années, avec des risques d'usurpation d'identité et de fraude documentaire.
Dans l'attente d'une communication officielle des autorités sénégalaises, les experts appellent à la mise en place urgente de protocoles de réponse aux incidents et à un renforcement des infrastructures de cybersécurité nationales.