Special report: Smart Africa leaked email list was obtained without consent

• Notre enquête révèle que la grande majorité des répondants nient avoir partagé leurs coordonnées avec Smart Africa ou même connaître l'organisation.
• La possession par Smart Africa d'une liste de diffusion massive est très contestable.

Ce qui s'est passé: une erreur d'e-mail de masse révèle une liste de contacts sensible

Une enquête spéciale de BTW Media a révélé que la majorité des e-mails exposés par Smart Africa lors de son envoi maladroit le mois dernier ont été obtenus sans le consentement des propriétaires.

Smart Africa a diffusé une invitation intitulée « Online Consultation Session on AFRINIC Elections & CAIGA Framework » en plaçant les destinataires dans le champ To plutôt qu'en Cci, exposant ainsi un grand nombre d'adresses e-mail liées à AFRINIC à tous les autres destinataires. Des reportages indépendants indiquent que le message provient d'un chef de projet de Smart Africa et décrivent l'échelle comme des milliers d'adresses, faisant passer l'incident d'une simple erreur de savoir-vivre à un événement important de divulgation de données.

Ce que montrent nos entretiens: la plupart des destinataires rejettent toute idée de consentement

BTW Media a contacté de nombreux membres des ressources AFRINIC et opérateurs réseau dont les e-mails ont été exposés. La grande majorité nous a déclaré n'avoir jamais partagé d'adresse e-mail avec Smart Africa et, dans de nombreux cas, n'avaient « aucune idée de qui ils sont ». Les réponses typiques incluent: « Absolument pas »; « Non, nous ne l'avons pas fait »; « Je n'ai jamais partagé mes coordonnées et n'ai pas consenti »; et « Non, je n'ai pas partagé mon e-mail et je ne les connais pas ». Plusieurs personnes interrogées demandent explicitement qu'aucun autre contact ne soit établi. Une minorité reconnaît que leurs adresses pourraient être trouvables ailleurs—par exemple, lorsqu'un ingénieur accepte d'être répertorié comme contact technique sur une ressource ASN ou IP—tout en soulignant que les entrées WHOIS techniques ne valent pas consentement général pour une démarchage de masse non lié à la réponse aux incidents. Voir aussi: La FCC soutient les constructeurs de fibre avec des limites de permis.

Lire aussi: Smart Africa divulgue des milliers d'adresses e-mail de membres AFRINIC

Pourquoi l'explication de Smart Africa est insuffisante: données publiques vs non publiques

Il existe deux sources de données de contact liées à AFRINIC dans le domaine public, et aucune ne justifie clairement la possession par Smart Africa d'une liste de diffusion centralisée: Voir aussi: Ofcom révèle les lacunes de couverture mobile sur les trains britanniques.

• Les pages des membres AFRINIC répertorient les organisations et les adresses physiques par souci de transparence, mais elles ne présentent pas de recueil téléchargeable ou consultable des e-mails des membres.
• Le WHOIS d'AFRINIC est un registre public officiel destiné aux opérations Internet (abus, routage, coordination des incidents) et est explicitement accessible à tous; il ne s'agit pas d'une base de données marketing. AFRINIC précise également que les données WHOIS en masse sont destinées à des fins opérationnelles ou de recherche.

En revanche, le message de Smart Africa avec destinataires visibles semble cibler un large ensemble de membres, et non des contacts de ressources spécifiques concernant un incident opérationnel. Ce décalage entre l'objectif et l'utilisation est au cœur des critiques exprimées par les personnes interrogées. Voir aussi: Robert Neuwirth.

Lire aussi: Pourquoi le conflit AFRINIC ne concerne pas seulement les adresses IP – c'est une question de liberté

Profil de risque: déclenchement des obligations de sécurité et juridiques

Les adresses exposées liées au registre sont attrayantes pour les hameçonneurs qui peuvent se faire passer pour AFRINIC ou des fournisseurs afin de récolter des identifiants, d'initier des modifications frauduleuses de ressources ou de solliciter des paiements. L'exposition juridique n'est pas négligeable: la loi mauricienne sur la protection des données de 2017 exige une notification de violation au Commissaire dans les 72 heures lorsqu'un responsable de traitement prend connaissance d'une violation de données personnelles, avec des obligations potentielles d'informer les personnes concernées si le risque est élevé. Si la liste provient de l'intérieur d'AFRINIC ou d'un sous-traitant d'AFRINIC, des questions se posent sur les rôles de responsable/sous-traitant et la base légale de la divulgation; si Smart Africa a compilé la liste à partir de sources disparates, elle doit quand même démontrer une base légale valable pour le traitement. Voir aussi: L'UE réécrit les règles de souveraineté de l'infrastructure IA.

Le rôle croissant de Smart Africa – et pourquoi des normes plus élevées s'appliquent

Smart Africa se positionne comme une plateforme de rassemblement pour la transformation numérique de l'Afrique et a récemment rendu publique une réponse continentale coordonnée à la crise de gouvernance d'AFRINIC. Cette revendication de gestion renforce les attentes en matière de gouvernance des données: un organisme cherchant à influencer les résultats de la gouvernance d'Internet doit respecter des normes de base en matière de confidentialité et de sécurité, notamment un contrôle d'accès strict aux listes, des enregistrements d'opt-in et l'utilisation par défaut de la Cci pour tout envoi externe. Voir aussi: L'UE évince les opérateurs satellites américains du spectre.

Lire aussi: Le « Comité des réformes » secret d'AFRINIC suscite de nouvelles inquiétudes sur la gouvernance d'Internet en Afrique

Ce à quoi Smart Africa doit répondre maintenant

• Provenance: Comment Smart Africa obtient-elle une liste de diffusion semblable à celle des membres qui n'est pas publique sur le site d'AFRINIC ? Si elle est reçue d'une source AFRINIC, quelle est la base légale et quels accords régissent le transfert ? Si elle est compilée en externe, quelle est la base du traitement et la limitation de la finalité ?
• Réponse à la violation: Qui est le responsable de traitement pour cet ensemble de données et les notifications requises dans les 72 heures ont-elles été déclenchées ? Les personnes concernées sont-elles averties contre l'hameçonnage (avec des conseils DMARC/DKIM/SPF) et reçoivent-elles un point de contact pour la remédiation ?

Contexte pour les lecteurs: ce que fait le WHOIS – et ne fait pas

Pour comprendre la nuance soulevée par nos sources, il est utile de rappeler que l'IANA alloue des plages de numéros AS aux registres régionaux, et chaque RIR publie un WHOIS pour que les ingénieurs puissent contacter rapidement les bonnes personnes. Dans la région d'AFRINIC, cette transparence est fondamentale pour la stabilité du routage, mais elle ne constitue pas un blanc-seing pour une mobilisation politique ou stratégique générale sans consentement. Voir aussi: La FCC impose des licences pour les points d'atterrissage des câbles sous-marins aux États-Unis.

Conclusion des entretiens

Le message écrasant des personnes que nous avons contactées est simple: elles ne consentent pas à Smart Africa, elles ne savent pas comment leurs e-mails se retrouvent sur la liste. Smart Africa doit fournir une explication vérifiable de la provenance de la liste et démontrer sa conformité aux obligations de protection des données, les critiques de la communauté AFRINIC sont à la fois raisonnables et fondées. Voir aussi: Les États-Unis ferment la faille des puces d'IA offshore.