
L'association ISPA-ZA (Internet Service Providers Association -- Afrique du Sud) a publié (en date du 10 mars 2025) une notification d'alerte (ISPA Urges AFRINIC Members to Protect their Credentials | ISPA), destinée principalement à ses membres ; mais pas que... En effet, l'affaire concerne tous les détenteurs de ressources de numéros IP déléguées par le registre Internet régional AfriNIC (AFRINIC the Region Internet Registry (RIR) for Africa - AFRINIC - Regional Internet Registry for Africa) ; qui dessert la region couvrant l'ensemble du continent d'Afrique et des Îles de l'Océan Indien. Par ailleurs, le personnel d'AfriNIC avait déjà organisé un wébinaire en date du 17 octobre 2024 (Credentials Management Lifecycle and Best Practices), via sa Série de Wébinaires, au cours de laquelle de bonnes pratiques précieuses ont été abordées et fournies relativement à la gestion des identifiants MyAfriNIC ; afin d'assurer une protection optimale des comptes des membres ressource d'AfriNIC...
Généralement (comme c'est le cas pour la plupart des organisations), les responsables d'ISPA-ZA sont très prudents ; ils ne souhaitent contrarier personne. Ne soyez donc pas étonnés que, parfois, leur langage ne paraisse pas suffisamment clair. Ceux d'AfriNIC n'échapperont pas à cette habitude de communication...
...si vous souhaitez, vraiment comprendre ce qui se passe (en ce moment du côté d'AfriNIC) et ce dont parle, sur le fond, la notification d'alerte publiée par ISPA-ZA ; alors, prenez la peine de lire ces quelques notes (inspirées, en grande partie d'un riche commentaire d'un ami cher ; que la situation ne laisse pas du tout indifférent). Par ailleurs, si vous envisagez de vous engager ; alors, ne manquez pas de prendre connaissance du contenu de cette page wiki (sujette à évolution), qui rassemble l'essentiel à savoir et contient une collection d'idées constitutives d'une démarche figurant une puiste de sortie pour AfriNIC et sa communauté ; au cours de cette année 2025. Pour qui veut aller un peu plus loin ; alors, il y a un site web (en anglais) qui traite du sujet de l'opération de sauvetage d'AfriNIC (c'est la même idée que le Redémarrage d'AfriNIC)...
Une grosse réalité, qui pose problème, relativement à la plateforme My.AfriNIC.net est que la personne qui dispose du droit d'utiliser un compte enregistré, pour le membre ressource d'AfriNIC, est souvent l'ingénieur / technicien / gestionnaire de projet qui était responsable de la demande initiale des ressources de numéros Internet (INRs -- Internet Number Resources). En fait, ce compte n'est pas vraiment sous le contrôle direct d'un responsable du sommet (C-level) de l'entreprise qui est le membre réel de l'association AfriNIC. Là, nous parlons de gens qui sont effectivement appelées des représentants des membres d'AfriNIC (d'une part) et, d'autre part, de ceux qui payent (oui payer!) vraiment de leur monnaie (argent) pour (i) obtenir l'accès à la plateforme My.AfriNIC.net ; (ii) et ainsi obtenir le droit de vote ; (iii) etc.
...en clair, dans la plupart des cas, ce n'est pas la seconde classe de personnes qui constitue les représentants effectifs des membres de l'association AfriNIC. La question principale qui se pose est la suivante : Es-tu conscient de cette situation surprenante (pour les non-intéressés) ? toi qui es l'un des administrateurs d'une entreprise détenant des ressources de numéros Internet déléguées par le RIR (Regional Internet Registry) AfriNIC... :-/
...et voici la question qui suit l'autre : As-tu pris des mesures appropriées pour garantir la sécurité des comptes d'utilisateurs (contacts) enregistrés (sur la plateforme My.AfriNIC.net) au bénéfice du membre ressource d'AfriNIC que tu manages ?
Nous le savons tous (n'est-ce pas ?) : le niveau des salaires/rémunérations ayant cours au sein de la plupart des pays Africains n'est pas très consistant/sécurisant (pas très élevés). Imaginez-vous le scénario suivant :
Quelqu'un passe un appel téléphonique (coup de fil) à un ingénieur réseau et lui dit : Voici un *billet* de $5,000 ! je vous l'offre ; si et seulement si vous me fournissez les identifiants de connexion (paramètres d'accès : nom d'utilisateur + clé d'authentification -- souvent un simple mot de passe ; mais il faut prévoir des paramètres supplémentaires d'authentification mFA/2FA) du compte MyAfriNIC, enregistré pour le membre AfriNIC qui vous emploie.
$5 000, ce n'est pas beaucoup à l'échelle d'une entreprise (surtout si elle sait qu'elle risque suffisamment gros dans l'affaire pour justifier, à ses yeux, son agressivité). D'ailleurs, tout cadre ou dirigeant compétent le remarquera immédiatement et ne s'y laissera pas prendre, de même qu'une personne intègre et honnête. Mais pour quelqu'un qui gagne moins, le risque de capitulation est suffisamment élevé pour ne pas s'étonner d'assister à des cascades de capitulation à travers le continent. Qui pourra s'étonner qu'un salarié faiblement rémunéré n'ait pas d'hésitation quant à rapidement prendre la décision ferme que : c'est là une bonne chose à faire…
Pour une sécurité et une protection accrues, avant d'agir (;-), veuillez toutefois agir le plus rapidement possible !), veuillez visionner les enregistrements (Gestion des identifiants Cycle de vie et bonnes pratiques, 17/10/2024) du webinaire de la Série de webinaires d'AfriNIC, qui a abordé et fourni des bonnes pratiques & recommandations précieuses sur la gestion des identifiants MyAfriNIC, afin d'assurer une protection optimale des comptes des membres ressources d'AfriNIC. Identifiez vos collaborateurs responsables, car ils sont en mesure de contrôler les comptes des membres ressources et pourraient, éventuellement, sans préavis monétiser (s'ils estiment que vous êtes dans l'ignorance et/ou que vous refusez d'en prendre connaissance) les avantages qui y sont associés. Encore une fois, veuillez agir au plus vite ! car vous ne voulez pas perdre définitivement le contrôle des INR que vous détenez, par une délégation du RIR AfriNIC.
Pour celui qui a pris conscience du niveau élevé de risque, une façon de lutter contre ce problème (ceci est un conseil proposé aux acteurs d'AfriNIC, il y a des années déjà :-)) était et reste de : (i) sensibiliser les dirigeants de chaque organisation membre ressource d'AfriNIC et de (ii) les informer de la valeur des identifiants de connexion à MyAfrinic et de leurs implications pour l'entreprise, ainsi que dans le contexte de questions de gouvernance plus larges.
Si vous souhaitez apporter votre aide/contribution, voici une action concrète que vous pouvez entreprendre au sein de votre communauté nationale. C'est ce que nous sommes en train d'essayer de faire, à l'échelle du Cameroun. N'hésitez pas à faire de même dans votre pays ; s'il vous plaît ! ne pas oublier que : "AfriNIC est pour nous tous !!!"
Sachant que le Cameroun (CM) compte un nombre (CM Country - Statistics Portal | AfriNIC : 31) relativement restreint de membres ressources au sein d'AFRINIC. Il est donc important, pour nous, de nous assurer que les dirigeants de chacune des organisations concernées sont conscients des menaces que représentent (entre autres) :
- les comptes « vendus » ou « loués » (par naïveté ou appât de gain facile) ;
- la création de nouveaux comptes de contacts enregistrés, sans en avoir informé les dirigeants de l'entreprise ;
- la transmission de procurations de vote, sans en avoir informé les dirigeants de l'entreprise ;
- l'endossement ou la présentation d'une candidature (d'un candidat à une élection), sans en avoir informé les dirigeants de l'entreprise ;
- les demandes de ressources de numéros Internet (INR) supplémentaires, sans en avoir informé les dirigeants de l'entreprise ;
- le transfert (intra-RIR) de ressources de numéros Internet (INR), sans en avoir informé les dirigeants de l'entreprise ;
- etc.
A court terme, à priori, cette démarche pourrait sembler coûteuse ; mais certainement, elle sera bénéfique à long terme et probablement même à moyen.
Une intéressante tactique à considérer serait d'utiliser le réseau relationnel de la communauté bâtie autour du NOG (Internet Network Operators' Group - Wikipedia) de votre pays (ccNOG), pour essayer de rencontrer, facilement, des dirigeants (du Top management) et les sensibiliser à ce niveau de menace (Reboot-AfriNIC-Project|Community-based-Ideas-for-Rebooting-AfriNIC-in-2025 [cmNOG wiki]).
Une idée plus simple serait de s'appuyer sur une association de type ISPA (Internet Service Providers Association - Wikipedia) dans votre pays. En avez-vous ? s'il n'y en a pas encore ; c'est qu'il est, probablement plus que jamais, temps de se réunir (entre FAI -- Fournisseurs d'Accès Internet) pour en créer une...
Au Cameroun, ce serait ISPA-CM ! un peu comme ISPA-DRC en République Démocratique du Congo (RDC) et ISPA-ZA pour l'Afrique du Sud (ZA)...
Qu'est-ce que ce serait dans le contexte de ton pays ? ISPA-CC
L'association CAMIX (http://www.camix.cm/) et deux autres organisations clés (cmNOG -- https://www.cmnog.cm/)(ISOC.CM -- https://isoc.cm) de l'écosystème Internet Domestique du Cameroun (cmDOit -- CaMeroon DOmestic InterneT), qui l'accompagnent, ce sont mobilisées pour organiser une série d'ateliers (ComBuildWS_Project_Cameroon-Peering-Community [cmNOG wiki]) ; destinées aux Managers de certaines des Organisations Camerounaises détentrices de ressources de numéros Internet délégués par le RIR AfriNIC. La cible est constituée essentiellement d'organisations détentrices de numéros de systèmes autonomes (ASN -- Autonomous System Number)...
...la couverture des membres ressources d'AfriNIC ne détenant pas de numéros ASN (mais seulements des adresses IPv4 et/ou IPv6), pourra s'appuyer sur d'autres approches tactiques. S'agissant de la cible du projet ComBuildWS (précisément définie ci-avant), les aspects discutés tout au long de cet article pourront être mieux élaborés dans ce cadre restreint d'ateliers.
Il n'est pas possible de sortir de cet article sans évoquer le défi de participation que pose les risques évoqués tout au long du développement. Il faut juste se souvenir que "la nature à horreur du vide" ; ainsi, si nous ne cherchons pas à comprendre (i) notre rôle au sein de l'association AfriNIC, (ii) l'importance de notre position, (iii) les intérêts, risques & enjeux, (iv) les marges de manœuvres & moyens disponibles ; alors nous ne seront pas à même d'apporter une contribution utile au redémarrage (Reboot-AfriNIC-Project|Community-based-Ideas-for-Rebooting-AfriNIC-in-2025 [cmNOG wiki]) et à la stabilisation d'AfriNIC, telle que relancée aujourd'hui ([AFRINIC-Announce] Status Update on AFRINIC Board Elections) par le Séquestre Officiel (Official Receiver -- OR).
Êtes-vous prêts à accepter le challenge de la participation active (Participate - AFRINIC - Regional Internet Registry for Africa) ?
Il n'y a plus de temps à perdre ! si vous connaissez des managers d'organisations détentrices (AFRINIC Member list) de numéros de ressources Internet, alors attirez leur attention ; en leur posant cette question...
Clause de non-Responsabilité
Tous les points de vue exprimés à travers cet article sont ceux de leurs auteurs, exclusivement les leurs, et de personne d'autre qu'eux. Cela ne devrait, en aucun cas, être considéré comme reflétant la position d'une quelconque organisation à laquelle ils seraient affliliés. Certainement pas celle du cmNOG; sauf si le contraire est officiellement clairement déclaré autre part. Cet article est rédigé avec ces aspects de communication à l'esprit. Au cas où vous auriez le sentiment que quelque chose aurait dû être fait différemment ou même *correctement* ; alors veuillez librement contacter les auteurs pour vous faire entendre et pour avoir l'opportunité de discuter d'un éventuel correctif/revirement.
- Log in to post comments