Rapport spécial: la liste d'e-mails divulguée par Smart Africa a été obtenue sans consentement

Le rapport spécial: la liste d'e-mails divulguée par Smart Africa a été obtenue sans consentement est profilé par BTW Media car des preuves publiées le lient aux infrastructures Internet, à la gouvernance, aux dépendances opérationnelles ou à la visibilité du marché.

• Nos entretiens révèlent que l'écrasante majorité des répondants nient avoir partagé leurs coordonnées avec Smart Africa ou même connaître l'organisation.
• La possession par Smart Africa d'une liste de diffusion massive est très discutable.

Que s'est-il passé: une erreur d'e-mail de masse révèle une liste de contacts sensible

Une enquête spéciale de BTW Media a révélé que la majorité dese-mails divulgués par Smart Africalors de son envoi maladroit du mois dernier ont été obtenus sans le consentement de leurs propriétaires.

Smart Africa a diffusé une invitation intitulée « Online Consultation Session on AFRINIC Elections & CAIGA Framework » avec les destinataires placés dans le champ À (To) plutôt qu'en Cci (Bcc),exposant ainsi un grand nombre d'adresses e-mail liées à AFRINIC à tous les autres destinataires. Des articles indépendants rapportent que le message provient d'un chef de projet de Smart Africa et décrivent l'échelle comme des milliers d'adresses, faisant passer l'incident d'une simple erreur de courtoisie à un événement de fuite de données significatif.

Ce que montrent nos entretiens: la plupart des destinataires rejettent toute notion de consentement

BTW Media a contacté de nombreux membres de ressources AFRINIC et opérateurs de réseau dont les e-mails ont été exposés. La grande majorité nous a dit n'avoir jamais partagé d'adresses e-mail avec Smart Africa et, dans de nombreux cas, n'avoir « aucune idée de qui il s'agit ». Les réponses typiques incluent: « Absolument pas »; « Non, nous ne l'avons pas fait »; « Je n'ai jamais partagé mes coordonnées et n'ai pas consenti »; et « Non, je n'ai pas partagé mon e-mail et je ne les connais pas ». Plusieurs personnes interrogées demandent explicitement qu'aucun autre contact ne soit établi.

Une minorité reconnaît que leurs adresses pourraient être trouvables ailleurs – par exemple, lorsqu'un ingénieur accepte d'être répertorié comme contact technique sur un ASN ou une ressource IP – mais soulignent que les entrées WHOIS techniques ne constituent pas un consentement général pour des envois massifs sans rapport avec une réponse à incident.

Lire aussi:Smart Africa divulgue des milliers d'adresses e-mail de membres d'AFRINIC

Pourquoi l'explication de Smart Africa est insuffisante: données publiques vs non publiques

Il existe deux sources de données de contact liées à AFRINIC dans le domaine public, et aucune ne justifie clairement que Smart Africa possède une liste de diffusion consolidée:

• Les pages de membres d'AFRINIC répertorient les organisations et les adresses physiques à des fins de transparence, mais elles ne présentent pas de recueil téléchargeable ou consultable d'e-mails de membres.
• Le WHOIS d'AFRINIC est un registre public officiel destiné aux opérations Internet (abus, routage, coordination d'incidents) et est explicitement accessible à tous; ce n'est pas une base de données marketing. AFRINIC précise en outre que les données WHOIS en masse sont destinées à des fins opérationnelles ou de recherche.

En revanche, le message de Smart Africa avec destinataires visibles semble cibler un large groupe de membres, et non des contacts de ressources spécifiques concernant un incident opérationnel. Ce décalage entre l'objectif et l'utilisation est au cœur des critiques exprimées par les personnes interrogées.

Lire aussi:Pourquoi le différend AFRINIC va au-delà des adresses IP – c'est une question de liberté

Profil de risque: déclenchement des obligations de sécurité et légales

Les adresses exposées liées au registre attirent les hameçonneurs qui peuvent usurper l'identité d'AFRINIC ou de fournisseurs pour récolter des identifiants, initier des modifications frauduleuses de ressources ou solliciter des paiements. L'exposition juridique n'est pas négligeable: la loi mauricienne sur la protection des données de 2017 (Data Protection Act 2017) exige une notification de violation au Commissaire dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles par le responsable du traitement, avec des obligations potentielles d'informer les personnes concernées si le risque est élevé.

Si la liste provient d'AFRINIC ou d'un contractant d'AFRINIC, des questions se posent quant aux rôles de responsable/sous-traitant et à la base légale de la divulgation; si Smart Africa a compilé la liste à partir de sources disparates, elle doit néanmoins démontrer une base légale valable pour le traitement.

Le rôle croissant de Smart Africa – et pourquoi des normes plus élevées s'appliquent

Smart Africa se positionne comme une plateforme de concertation pour la transformation numérique de l'Afrique et a récemment publié une réponse continentale coordonnée à la crise de gouvernance d'AFRINIC. Cette revendication de gouvernance renforce les attentes en matière de gestion des données: une entité cherchant à influencer les résultats de la gouvernance de l'internet doit respecter les normes minimales d'hygiène de confidentialité et de sécurité, y compris le contrôle d'accès strict aux listes, les registres de consentement explicite (opt-in) et l'utilisation par défaut du Cci (Bcc) pour tout envoi externe.

Lire aussi:Le ‘Comité des réformes’ secret d'AFRINIC suscite de nouvelles inquiétudes sur la gouvernance de l'internet en Afrique

Ce à quoi Smart Africa doit répondre maintenant

• Provenance: Comment Smart Africa obtient-elle une liste de diffusion semblable à celle des membres qui n'est pas publique sur le site d'AFRINIC? Si elle a été reçue d'une source d'AFRINIC, quelle est la base légale et quels accords régissent le transfert? Si elle a été compilée en externe, quelle est la base de traitement et la limitation de finalité?
• Réponse à la violation: Qui est le responsable du traitement de cet ensemble de données et les notifications requises dans les 72 heures ont-elles été déclenchées? Les personnes affectées sont-elles averties contre l'hameçonnage (avec des conseils DMARC/DKIM/SPF) et un point de contact pour la remédiation leur est-il fourni?

Contexte pour les lecteurs: ce que fait WHOIS – et ce qu'il ne fait pas

Pour comprendre la nuance soulevée par nos sources, il est utile de rappeler que l'IANA attribue des plages de numéros AS aux registres régionaux, et chaque RIR publie un WHOIS afin que les ingénieurs puissent contacter rapidement les bonnes personnes. Dans la région d'AFRINIC, cette transparence est fondamentale pour la stabilité du routage, mais elle ne constitue pas un blanc-seing pour une mobilisation politique ou stratégique à grande échelle sans consentement.

Conclusion des entretiens

Le message majoritaire de ceux que nous avons contactés est simple: ils ne consentent pas à Smart Africa, ils ne savent pas comment leurs e-mails se retrouvent sur la liste. Smart Africa doit fournir une explication vérifiable de la provenance de la liste et démontrer sa conformité aux obligations de protection des données; les critiques de la communauté d'AFRINIC sont à la fois raisonnables et bien fondées.