Le 5 février 2026, la Direction de l’Automatisation des Fichiers (DAF), bras numérique du ministère de l’Intérieur, a suspendu la production des cartes nationales d’identité après la détection d’un incident dans ses systèmes. Le groupe Green Blood Group a revendiqué le vol de 139 gigaoctets de données sensibles.

Une institution au cœur de l’identité nationale

La DAF centralise les données biométriques, les fichiers électoraux et les registres d’état civil de millions de citoyens sénégalais. Elle gère la production des cartes nationales d’identité CEDEAO, document indispensable pour toute démarche administrative, y compris l’obtention d’un passeport. L’attaque a été revendiquée par le groupe « The Green Blood Group », qui affirme détenir 139 gigaoctets (certaines sources évoquent 139 téraoctets, chiffre non confirmé officiellement) de données issues des systèmes de la DAF. La DAF a officiellement évoqué un « incident dans son système informatique » sans confirmer le piratage.

Conséquences concrètes pour les citoyens

La suspension de la production des cartes d’identité a duré de début février jusqu’au 1er avril 2026, date à laquelle la DAF a annoncé une reprise progressive sur l’ensemble du territoire. Pendant deux mois, des milliers de Sénégalais se sont retrouvés dans l’impossibilité d’obtenir leurs pièces d’identité. Des situations critiques ont été rapportées sur les réseaux sociaux : des enfants nécessitant une évacuation sanitaire à l’étranger se retrouvaient bloqués faute de numéro d’identification nécessaire à l’établissement d’un passeport. La DAF a ouvert une enquête interne appuyée par des experts en cybersécurité.

Minimisation officielle et polémique

La communication officielle, qualifiant l’incident de simple « problème technique », a suscité une vive polémique nationale. Les médias sénégalais (SenePlus, Senenews, SENTV) ont parlé d’une cyberattaque d’ampleur potentiellement majeure pour la sécurité des données identitaires. Cette affaire illustre la tension entre la nécessité de transparence envers les citoyens et la gestion de la communication de crise par les institutions publiques lors d’incidents cybernétiques graves.

Recommandations clés

  • Chiffrer intégralement les bases de données biométriques et d’état civi.
  • Appliquer le principe du moindre privilège (Zero Trust) pour tous les accès aux données d’identité.
  • Imposer le MFA obligatoire sur tous les accès administratifs aux systèmes de la DAF.
  • Surveiller et journaliser toutes les requêtes d’accès aux données sensibles (SIEM).
  • Mettre en place des alertes automatiques en cas de transfert de volumes anormaux de donnée.
  • Préparer un plan de communication de crise à destination du public en cas d’incident cyber.

Articles Similaires