Le Cameroun et les pirates du web: la nouvelle endémie ?
05/29/2008
Normalement, quand on vit ce genre de choses avec un service qu'on a créé, on n'en parle pas. Mais le fléau est vraiment terrible, et je pense qu'il vaut mieux que les autres le sachent..
En fait, je publiais ici il y'a quelques temps que je lançais sur Benoue.com le transfert de crédits téléphoniques vers le Cameroun. Eh bien, le service ensemble plutôt tranquillement (ne demandez pas les chiffres, vous ne les aurez pas pour le moment 
), mais avec les pirates qu'il y'a au Cameroun, il y'a réellement péril en la demeure. C'est mon coup de gueule.
Dès le second jour du lancement, nous avons enregistré plusieurs transactions de 20.000 CFA pour lesquelles nous n'avons pas eu de soupçons. Mais le même soir, je recevais des mails de litige de Paypal, les personnes dont les comptes Paypal ou les cartes ont été utilisés se sont en effet plaint.
Si vous utilisez Paypal, vous saurez que dans le doute, ils recréditent le compte du plaignant, et laissent au vendeur la charge de gérer les piratages et/ou de s'assurer contre ce genre de risques.
Et ça ne s'est pas arrêté là, il ne se passe plus un jour sans qu'on ait des transactions "bizarres". Des personnes dont les adresses sont à Tarbes ou en Italie qui envoient un max de crédits au Cameroun. C'est effroyable!
On ne sait plus quel transfert réalisé et quel transfert est un acte de piratage.
D'après ce que j'ai ouï dire, il s'agit de pirates camerounais associés à des pirates russes (la pire espèce). Ce réseau serait sous la surveillance d'Interpol et on comprend peut-être pourquoi Interpol a ouvert son bureau Afrique Centrale au Cameroun et recherche activement des informaticiens (peut-être est-ce aussi la raison de l'absence de Paypal au Cameroun..).
Ces pirates camerounais ont obtenu les codes de dizaines de cartes bleues (Visa ou Mastercard) et/ou de comptes Paypal et les utilisent pour faire des paiements frauduleux sur Internet. Ces pirates agissent à partir de cybercafés d'où il est presque impossible de les tracker.
C'est dommage que la pauvreté pousse certains à en arriver là, mais je souhaite que ce réseau soit démantelé au plus vite. Il fait peser trop de risques sur le e-commerce encore naissant au Cameroun, et sur le e-commerce en général (puisque celui-ci se base aussi sur la confiance en la confidentialité des données).
Le plus frustrant pour le moment, c'est ce que je sais même pas comment lutter contre ces pirates de manière simple.
23 Comments Add your own
1. Etum | 05/30,2008
Hey Nino, Assia. comment lutter facilement? tu ne pourras jamais c'est une course de fond il faut simplement avoir un coup d'avance par rapport à eux. Chez Mboasu ils font comment? Peut etre qu'il est temps de prendre un expert en sécurité ou alors ne plus utliser Paypal
2. Nino | 05/30,2008
En fait, il ne s'agit pas d'un problème de sécurité (en tout cas, pas côté Benoue.com), mais côté Paypal , et je vois mal ce qu'on peut faire. La solution radicale serait de ne plus utiliser Paypal; ce qui signifie concrètement la fin du business...Sniff
3. Septox | 05/30,2008
Assia Nino. Aaaaah les salauds. Je pense pour ma part qu'il ne s'agit pas d'un probleme de securite au niveau de Paypal, mais plutot de la temerite de ses crackers (black heats). Une technique tres facile a applique: le replay. Ils replay ( reutilisent des donnees) glanees ailleurs, surement qu'ils ont des bs-pages ou qu'ils proposent un service en ligne ds les dits pays et qu'avec cela ils obtiennent les donnees de leurs victimes. Je ne sais pas comment ton buisness-model est fait, mais je crois que tu dois y inclure certains points de securite.
4. Théo | 05/30,2008
Ces pirates du web sont un fléau. Ils empêchent tout réel développement du web-business dans nos pays. Je ne compte pas le nombre de fois où j'ai envoyé des courriers à des prestataires qui ne m'ont même pas répondu parce que ça vient de la Côte d'Ivoire. Ma proposition : que tous les utilisateurs de cybers s'inscrivent nominalement, que tous les cybers légaux utilisent le même logiciel, et que les Etats, avec des sociétés de sécurité, traquent pirates, spammers et tous les pirates du web grâce à leur numéro IP.
5. Ti Aya | 05/30,2008
Je me joins au concert de assia, hein Nino. Sinon, tu peux déjà demander à tes utilisateurs de s'enregistrer avant de profiter du service. Si tu communiques bien, je crois que les bons clients comprendront. Ou alors, tu récupères les numéros qui ont reçu les crédits au Camer, et tu descends en personne organiser une baston qui ne cache pas son nom ;-) @Théo, je comprends ton désarroi, mais tu n'es pas sérieux dans ta proposition?
6. Nino | 05/30,2008
@@Septox, si tu as des idées de points de sécurité, je suis tout ouï. Les pirates en question se procurent des codes de CB et des codes de comptes Paypal valides...A partir de là, je suis perdu en ce qui concerne la sécurité à mettre en place.. @@Théo, je ne pense pas qu'il faille être extrémiste à ce point. La situation que tu décris permettrait à l'Etat de bloquer un site web qui lui déplait (comme en Birmanie récemment). ça ferait des Etats les gendarmes du web. Pour les Etats libres, ça va, mais les nôtres d'Etat...
7. Nino | 05/30,2008
@@Ti Aya, On a pensé à pister les fraudeurs, mais à partir d'un numéro, comment tu sais où est la personne qui en est propriétaire (à supposer qu'il soit fixe dans une ville) ? On a appelé les opérateurs, mais il leur faut un je-ne-sais-plus-quoi de la Police Judiciaire pour te donner les infos qu'ils ont. Mais vu que les numéros sont des entrées libres, tu peux tomber sur n'importe qui...D'autant plus qu'il nous faut la preuve (même si on s'en doute) que la personne qui reçoit le crédit est bien le fraudeur (ça peut être le cousin, le copain, la petite amie, le grand frère, le chaud gars, le 3ème bureau, etc..). Bref, faut être spécialiste de la traque, car ça prend du temps, et ce temps là, je ne le passe plus à Benoue. On a mis l'enregistrement obligatoire presque le même jour. En tout cas, j'espère que ça sensibilise les autres qui veulent se lancer dans le e-commerce en Afrique.. Il y'a les pirates maritimes en Somalie, et les pirates du net au Cameroun.. Je comprends mieux la tenue d'un colloque sur la sécurité informatique récemment en CI..;
8. Théo | 05/30,2008
Aujourd'hui déjà, n'importe quel Etat au monde peut bloquer tous les sites qu'il veut sur son territoire. Ce n'est pas ça le problème. Le problème est qu'en Occident, le PC est personnel et on peut savoir qui fait qui dès lors que l'activité est frauduleuse. Les cybers sont minoritaires. Chez nous, on se connecte d'abord des cybers. C'est un vrai problème de sécurité. Bientôt, les gens d'Al Qaida ou les réseaux pédophiles vont venir s'installer chez nous pour poster leurs appels à la haine ou au crime de nos cybers. Déjà que je suis contre les numéros de téléphone non nominalisés... Chez nous, y a pas d'adressage urbain, tous les téléphones sont non nominalisés, les numéros d'IP ne veulent rien dire. On n'est pas en sécurité, et on n'évoluera pas dans ces conditions. Pourquoi le net serait-il moins sûr que la rue ?
9. Kans | 05/31,2008
Aie! Je veux pas faire mon sceptique ou mon négatif, mais dans tout pays, pour que de telles activités (e-business) naissent et se développent il faut un minimum de garantie et d'implication de l'Etat. L'Etat doit pouvoir faire la police, mettre les moyens, juridiques et policiers pour traquer les fraudeurs. Si on te ferme lap orte au nez à la PJ, bah je crois qu'il n'y a plus qu'à etre tête brulée ou à baisser les bras. J'ai pas envie de dire qu'on n'est pas prêts, mais c'est quelque chose comme ca...
10. Ti Aya | 05/31,2008
Est-ce qu'il n'y a pas une loi au pays qui dit qu'un abonné au téléphone mobile est responsable de ce qui est fait avec son téléphone? Le mec qui achète une marchandise volée est coupable de recel. Peu importe s'il savait ou pas l'origine de la marchandise.
11. ZWAN | 05/31,2008
Terrible, et s'ils sont associés à des Russes, tu as du pain sur la planche!
12. Edouard | 05/31,2008
Ti Aya, les puces de téléphonesportables se vendent dans les rues de Yaoundé et Doualaà 500 Fcfa. Donc je peux acheter une puce juste pour la transaction et après mon forfait accompli, je la balance çà la poubelle. Il me semble que la législation est vide là-dessus. Par contre ta proposition d'exiger aux usagers de s'enregistrer d'abord me semble être le meilleur compromis,vu que Paypal est incontournable
13. Nino | 06/02,2008
@@Zwan, comme tu dis, s'il y'a les russes dans l'affaire, on a du pain sur la planche. @@Ti Aya, les lois du pays? Même les juges ne les respectent pas. L'autre problème, comme dit justement Edouard, c'est que à partir d'un numéro, il est impossible de retrouver le propriétaire. Les personnes en question peuvent même être à Kousseri, je n'ai aucun moyen de le savoir (elles n'ont même pas besoin de jeter leurs puces après leurs forfaits).
14. MBOASU.COM | 06/02,2008
C'est malheureux que quelques pirates mettent en péril une initative qui rend vraiment service. Ne baisses pas les bras Nino car c'est à force de "On ne peux rien faire avec les africains..." que nous n'avançons pas dans des business honnêtes. Il y'a plein de personnes à l'étranger qui sont vraiment ravies de voir de tels services naître. Ce serait dommage de les en priver à cause de quelques malheureux qui usent d'intelligence lorsqu'il s'agit d'escroquer plutôt que de l'utiliser à construire quelque chose de bien. Le plus difficile est de trouver le bon compromis qui ne rend pas l'expérience d'achat du client honnête trop compliquée tout en dissuadant le pirate. Tu as mes coordonnées, n'hésites pas à revenir vers moi de façon à confronter nos expertises. ++
15. Eddy | 06/02,2008
J'ai tellement rigolé sur la proposition de Ti Aya qu'il y'a du thé dans mon clavier. Ti Aya prepare déjà la bibine de demande d'excuses. Ca me rapelle à l'époque, les expeditions punitives entre lycées. @Nino je ne sais pas si j'ai tout bien compris, mais la solution serait peut-être une transaction en deux etapes: le client paie des crédits avec paypal. Vous attendez d'abord que l'argent soit crédité sur votre compte par Paypal avant de faire passer le crédit au destinateur final. Comme cela si paypal se retracte et resilie la transaction, vous n'aurez rien perdu.
16. Etum | 06/02,2008
On peut aussi desactiver toutes les puces anonymes. Je pense que Benoue et Mboasu peuvent travailler main dans la main pour lutter contre ce fléau. Solution ultime utiliser autre chose que paypal
17. Nino | 06/03,2008
Etum, "désactiver les puces anonymes"...c'est à dire? Tu veux dire côté Benoue.com ou coté opérateurs de téléphonie? Quant à ne pas utiliser Paypal, c'est, comme tu dis, l'ultime solution. Mais, alors ensuite, c'est la traversée du désert; puisque Paypal, en terme de souplesse comme moyen de paiement, est ce qui se fait de mieux actuellement.
18. Etum | 06/03,2008
Nino, On vire les anonymes coté opérateurs. On peut meme aller jusqu'à imaginer une systeme ouvert de partage des DB des opérateurs pour controler les fraudeurs.
19. MBOASU.COM | 06/03,2008
@Etum, Paypal n'est pas le problème puisque les fraudeurs utilisent de vraies numéros de cartes bancaires. Donc passez sur un VAD ou Paybox par exemple ne ferrait que le déplacer. Il faut imaginer le système comme un magasin de fringues dans un centre commercial et se poser la question: "comment éviter qu'on me vole mes vêtements". Il y'a de quoi s'inspirer des modèles de protections usuels. Pour ce qui est du partage de DB, je doute fort que les opérateurs veuillent partager leurs données, les dérives et les tentations sont trop grandes d'une part et d'autre part, notre activité n'est pas une préoccupation pour eux puisque ne représentant même pas 0,5% de leur CA (mboasu, benoue et l'autre). Comme un physio devant un magasin, il y'a des signes qui trahissent les fraudeurs. Leur comportement peut être modéliser dans un système d'évaluation du risque de fraude.
20. Ti Aya | 06/03,2008
Ah mon frère Eddy, que de souvenirs (parfois douloureux)!! Pardon pour le clavier au thé, et vivement que je puisse payer ma dette. Ca va être la bonne saison bientôt. @Mboasu, ton idée me semble digne du plus grand intérêt. Ainsi on pourrait à partir d'indices bien choisis donner une proba qu'un utilisateur soit un fraudeur. Je suppose que ça pourrait aller avec la mise en place d'une base de connaissance sur l'historique des fraudes. Si la reflexion devait se poursuivre ça me plairait d'y participer. Mais n'en disons pas plus, ces satanés fraudeurs nous lisent certainement.
Leave a Reply