Le 24 avril 2025, MTN Group, l’opérateur télécom africain le plus important avec 288 millions d’abonnés dans 18 pays, a confirmé une violation de données ayant exposé les informations personnelles de clients dans plusieurs marchés.

L’incident confirmé par MTN

MTN a déclaré qu’un tiers non autorisé avait accédé à des données personnelles de clients dans « certains marchés », sans préciser lesquels dans un premier temps. L’entreprise a confirmé que ses systèmes principaux — réseau cœur, facturation, et services financiers MoMo — n’avaient pas été compromis. Le 28 avril, MTN Ghana a publié sa propre déclaration confirmant que l’attaque avait potentiellement touché environ 5 700 clients dans ce pays. MTN a signalé l’incident aux autorités sud-africaines (SAPS, Hawks) et aux régulateurs des pays affectés.

Demande de rançon et données exposées

MTN a ensuite confirmé que les pirates avaient formulé une demande de rançon. Selon les investigations, les données principalement exposées concernaient des informations basiques : noms, prénoms et numéros de téléphone. Cependant, l’enquête était toujours en cours et MTN a commencé à notifier les clients affectés. Cet incident survient dans un contexte de pression accrue sur les opérateurs télécom africains : Cell C (Afrique du Sud) avait subi une attaque par RansomHouse en 2024 (2 To de données volées), et Telecom Namibia avait été frappée par Hunters International en décembre 2024.

Enjeux pour la confiance numérique en Afrique

MTN ne gérant pas uniquement des communications mais aussi des transactions financières via Mobile Money (MoMo), utilisé par des millions d’Africains comme principal outil de paiement, la compromission potentielle de ces données soulève des inquiétudes majeures sur la confiance dans les services numériques. La Ghana Data Protection Commission a lancé une enquête. L’incident met en lumière l’urgence de renforcer les cadres réglementaires de protection des données personnelles dans les pays africains.

Recommandations clés

  • Adopter une architecture Zero Trust pour tous les accès aux systèmes de données clients.
  • Chiffrer toutes les données personnelles au repos et en transit Activer obligatoirement le MFA sur tous les comptes d’accès aux plateformes de données.
  • Segmenter les données par marché/pays pour limiter l’impact d’une compromission.
  • Établir des procédures de notification rapide des incidents conformes aux réglementations locales.
  • Auditer régulièrement les accès de tiers ayant accès aux systèmes de données clients.

Articles Similaires