En République Démocratique du Congo, la transformation digitale est souvent présentée comme le fer de lance de la modernité. Mais entre les discours de salon et la réalité technique, il y a un fossé que le Ministère des Affaires Étrangères vient de transformer en gouffre.
Avec la mise en ligne du site www.passports.cd, nous ne sommes plus dans l’innovation, nous sommes dans l’irresponsabilité pure et simple.
Une porte ouverte sur votre identité
Le concept du site semble partir d’une intention de « simplification » : permettre au requérant de vérifier la disponibilité de son passeport. Mais la mise en œuvre est un désastre sécuritaire.
En saisissant simplement un nom, n’importe qui peut accéder au statut de production du document et, cerise sur le gâteau, s’il est disponible, le numéro de passeport (une donnée hautement sensible)!
On ne s’arrête pas là, le site collecte des numéros de téléphone pour les notifications futures.
Pourquoi est-ce gravissime ?
Dans un pays qui se respecte, le numéro de passeport est une donnée confidentielle. En le jetant en pâture sur un site sans aucune mesure d’authentification forte (comme un compte personnel sécurisé ou un code secret unique), le Ministère ouvre la porte à des risques majeurs :
- Usurpation d’identité : avec un nom et un numéro de passeport, faciliter des fraudes administratives ou bancaires devient un jeu d’enfant.
- Social engineering : en récupérant les numéros de téléphone liés à des noms réels, des acteurs malveillants peuvent orchestrer des campagnes de phishing chirurgicales.
- Surveillance et espionnage : savoir qui a renouvelé son passeport et quand, c’est offrir sur un plateau d’argent des données stratégiques à n’importe quelle officine étrangère ou groupe criminel.
Vu la grossièreté de cette faille, je n’ose imaginer le niveau de sécurité du site et autres infrastructures numériques gérées par cette équipe.
Le naufrage du « casting » : de l’idée à la mise en ligne
En tant que spécialiste de la transformation digitale, une question me hante : Comment ce projet a-t-il pu franchir toutes les étapes de validation sans qu’une seule personne ne tire la sonnette d’alarme ?
C’est ici que le problème du « casting » se pose avec acuité :
- L’initiateur : qui a pensé qu’exposer des données régaliennes sans protection était une « bonne idée » ?
- Le réalisateur : Quel développeur ou agence technique a pu coder une plateforme aussi poreuse sans conseiller son client sur les protocoles de protection des données ?
- Les décideurs : Comment les services de sécurité et les directeurs informatiques du Ministère ont-ils pu apposer leur signature sur un tel déploiement ?
L’absence totale de veto dans cette chaîne de décision démontre une méconnaissance profonde des enjeux du numérique. Le digital, ce n’est pas seulement « mettre des infos sur internet ». C’est avant tout sécuriser la confiance des citoyens.
Il est temps de devenir professionnels
L’amateurisme au sommet de l’État a un coût, et ce sont les citoyens qui le paient avec leur vie privée. On ne gère pas une base de données de passeports comme on gère un blog de cuisine.
Si la RDC veut réellement réussir sa mutation numérique, elle doit cesser de confier ses systèmes critiques à des amateurs et commencer à recruter des experts qui comprennent que la sécurité n’est pas une option, c’est le socle.
Ministère des Affaires Étrangères : Fermez ce site, et repensez votre copie. Maintenant.