Smart Africa leaks thousands of AFRINIC member email addresses

• Liste de contacts sensible et non publique des membres d'AFRINIC révélée par une erreur d'envoi en masse de Smart Africa.
• La fuite soulève des questions sur la manière dont Smart Africa a obtenu ces données et sur un possible partage non autorisé en interne à l'AFRINIC.

Portant un nouveau coup à la confiance dans les institutions de gouvernance de l'internet en Afrique, Smart Africa a provoqué une fuite de données majeure qui pourrait avoir de graves conséquences pour l'AFRINIC et ses membres. Voir aussi: Registre des membres disparaissant de l'AfriNIC.

L'incident s'est produit lorsque Djibril Dème, chef de projet chez Smart Africa, a envoyé un e-mail intitulé « Invitation – Session de consultation en ligne sur les élections de l'AFRINIC et le cadre CAIGA ». Au lieu de placer les destinataires dans le champ « cci », Dème les a inscrits dans le champ « à », exposant chaque adresse e-mail à tous les autres destinataires — et potentiellement à quiconque obtiendrait l'e-mail par la suite.

Comment Smart Africa a-t-elle obtenu ces données ?

Les adresses e-mail des membres de l'AFRINIC ne sont pas publiques. On ne connaît à Smart Africa aucune raison légitime ou légale de les posséder. Si la liste a été obtenue directement ou indirectement auprès de l'AFRINIC, cela indiquerait une fuite interne ou un partage non autorisé de données privées des membres — une affaire grave qui exige une enquête urgente. Voir aussi: AfriNIC: disparition du registre des membres.

À lire aussi: Pourquoi le conflit à l'AFRINIC ne concerne pas seulement les adresses IP, mais aussi la liberté

Pourquoi c'est grave

Les adresses exposées sont, pour de nombreux membres de l'AFRINIC, le point de contact non public principal, et souvent unique, pour les opérations sécurisées du registre. Perdre le contrôle de ces informations, c'est aussi perdre une protection clé qui empêche l'utilisation abusive des fonctions du registre.

La fuite révèle les coordonnées non publiques des membres de l'AFRINIC, essentielles à la sécurité du registre. Voir aussi: Alejandro Fernandez.

L'exposition ouvre la porte au spam, aux tentatives de phishing et aux cyberattaques ciblées. Voir aussi: Aldo Garcia.

La possession de la liste par Smart Africa soulève des questions sur d'éventuelles fuites de données internes à l'AFRINIC. Voir aussi: Alcymer Vieira.

Les risques juridiques s'étendent à de nombreuses juridictions dotées de lois strictes sur la protection des données. Voir aussi: Alcides Cremonezi.

À lire aussi: Maurice à la croisée des chemins: comment la lutte pour la gouvernance de l'internet reflète une bataille pour la démocratie

Risques liés à la vie privée, à la sécurité et au droit

Maintenant que la liste est exposée, les membres sont susceptibles de faire face au spam et à des tentatives de phishing ciblées. Les attaquants pourraient se faire passer pour l'AFRINIC ou des organismes apparentés pour inciter les destinataires à révéler leurs mots de passe, à transférer des fonds ou à accorder un accès à leur réseau. Voir aussi: Alberto Anaya.

Les conséquences juridiques pourraient être graves. Les membres de l'AFRINIC sont répartis dans des pays dotés de régimes de protection des données stricts, de la loi sur la protection des données de Maurice au RGPD de l'UE dans les territoires liés à l'Europe. La divulgation de coordonnées personnelles ou professionnelles sans consentement peut entraîner des enquêtes, des amendes et des actions en justice civile. Voir aussi: Albert Kis.

La principale question sans réponse est de savoir si Smart Africa a obtenu la liste de manière légale en premier lieu. Sans base juridique claire, la détention ou l'utilisation des données pourrait elle-même constituer une infraction, indépendamment de l'exposition accidentelle.

À lire aussi: Le « Comité de réformes » secret de l'AFRINIC suscite de nouvelles inquiétudes sur la gouvernance de l'internet en Afrique

Une nouvelle crise pour l'AFRINIC

Pour l'AFRINIC, cette fuite s'ajoute à une année turbulente. L'élection de son conseil d'administration de juin 2025 a été annulée à la suite d'un litige sur une seule voix et d'allégations de manipulation de procurations. L'organisation est sous surveillance judiciaire, et le président-directeur général de l'ICANN, Kurtis Lindqvist, a publiquement critiqué sa gouvernance, suscitant des accusations selon lesquelles il tenterait d'exercer une influence indue sur le registre.

Aujourd'hui, alors que les données privées de ses membres sont entre les mains d'un organisme externe — et apparemment mal gérées — l'AFRINIC se trouve confrontée à des questions plus profondes sur sa capacité à protéger ses informations opérationnelles les plus sensibles. Si les données provenaient de l'intérieur de l'AFRINIC, cette fuite n'est pas seulement une bévue de communication de Smart Africa, mais aussi un signe de faiblesse des contrôles internes.

À lire aussi: ICANN ou ICan't ? Le PDG Lindqvist choisit la dictature plutôt que la démocratie à l'AFRINIC

La responsabilité de Smart Africa

Pour Smart Africa, l'erreur est élémentaire mais lourde de conséquences. Les systèmes d'envoi d'e-mails en masse devraient être configurés par défaut pour des pratiques d'envoi sécurisées, et les listes sensibles devraient être gérées avec des contrôles d'accès stricts. Ce faux pas sape la crédibilité de Smart Africa en tant que champion de la transformation numérique de l'Afrique et soulève des questions sur ses normes de gouvernance des données.

L'organisation est désormais confrontée à deux tâches urgentes:

1. Expliquer comment elle a obtenu la liste de contacts des membres de l'AFRINIC.
2. Reconnaître publiquement la fuite et informer toutes les parties concernées.

Sans transparence sur ces deux points, la confiance continuera de s'éroder.

À lire aussi: Un juge mauricien empêché d'enquêter sur l'AFRINIC dans le contexte de troubles préélectoraux

Risque de retombées plus larges

La fuite représente également une menace stratégique pour l'écosystème internet africain. Avec une liste vérifiée des membres de l'AFRINIC en circulation, des groupes rivaux pourraient tenter de créer des registres alternatifs ou de solliciter directement les clients de l'AFRINIC. Cela pourrait fragmenter le système de registre, créer des enregistrements d'adresses IP conflictuels et nuire à la stabilité des opérations internet dans la région.

Le rôle de Smart Africa dans la gouvernance de l'internet

Smart Africa est une initiative soutenue par l'Union africaine qui rassemble plus de 30 États membres pour accélérer la transformation numérique. Ses domaines d'intervention comprennent l'expansion du haut débit, l'harmonisation des politiques et l'investissement dans les TIC.

Bien qu'elle n'ait aucune autorité formelle sur l'AFRINIC, Smart Africa est devenue de plus en plus active dans les débats sur la gouvernance de l'internet, y compris les élections et les processus politiques de l'AFRINIC. Le groupe a également été lié à des propositions de déménagement du siège de l'AFRINIC de Maurice au Rwanda — une décision qui a divisé la communauté AFRINIC.

Dans ce contexte, la possession et la mauvaise gestion des données privées des membres de l'AFRINIC ne sont pas une simple erreur technique. Cela touche au cœur de la confiance entre deux acteurs influents de l'avenir numérique de l'Afrique. La communauté attend désormais des actions rapides et transparentes de la part des deux organisations pour expliquer ce qui s'est passé, protéger les membres de tout préjudice et garantir qu'une telle fuite ne puisse plus se reproduire.