La Direction générale des impôts et des domaines (DGID) du Sénégal fait face à une cyberattaque d’une ampleur inédite. Le groupe de pirates informatiques Black Shrantac affirme avoir dérobé un volume massif de données fiscales et administratives, estimé à 1 téraoctet. L’affaire, révélée par le site spécialisé ZATAZ le 2 octobre 2025, soulève de sérieuses inquiétudes sur la sécurité numérique des institutions publiques sénégalaises.
Selon les informations publiées, les pirates auraient exfiltré des rapports financiers, documents légaux, identités administratives, ainsi que des données relatives à la fiscalité des entreprises et des particuliers. L’attaque suivrait le modèle bien connu de la double extorsion : d’un côté, une demande de rançon pour effacer les données volées ; de l’autre, la mise en vente de ces informations sur des canaux clandestins du dark web.
La DGID, cœur du système fiscal sénégalais
Bras opérationnel du ministère des Finances et du Budget, la DGID gère la collecte des impôts, l’administration du patrimoine foncier et la mobilisation des recettes fiscales. L’institution constitue un pilier stratégique de la gouvernance économique du pays. Son exposition à une telle attaque représente donc un enjeu majeur pour la cybersécurité nationale.
D’après le Service de veille de ZATAZ, les pirates affirment avoir compromis deux serveurs identifiés comme « 1 » et « 2 » avant d’en extraire un large volume de fichiers. Pour étayer leur revendication, ils ont publié sur leur vitrine du dark web plusieurs échantillons : documents administratifs tamponnés, matricules, identités d’administrés et dossiers internes. Ces éléments sont utilisés pour prouver la véracité du piratage et attirer d’éventuels acheteurs. Le reste des données serait proposé à la vente.
Black Shrantac, un nouveau venu sur la scène cybercriminelle
Apparu récemment, le groupe Black Shrantac s’est déjà illustré par trois attaques menées en Inde et en Turquie. Leur méthode reprend les codes classiques du cybercrime organisé : vol de données sensibles, publication d’exemples pour prouver la fuite, puis menace de diffusion massive en cas de non-paiement. Leur message aux victimes est sans équivoque : « La société peut payer pour la suppression des données, et les particuliers peuvent acheter des informations ». Une logique cynique où la rançon ne garantit en rien la suppression effective des fichiers volés.
Les fichiers revendiqués incluraient des rapports fiscaux, déclarations de revenus, documents légaux, passeports, numéros de sécurité sociale et même un export de coffre KeePass contenant potentiellement des mots de passe et accès critiques. Si ces affirmations sont confirmées, les conséquences pourraient être considérables tant pour les institutions que pour les citoyens sénégalais concernés.
Un risque institutionnel et citoyen majeur
Pour l’État, cette cyberattaque met en lumière les défis liés à la protection des systèmes d’information publics. Une compromission de cette ampleur pourrait affecter la crédibilité de la DGID et fragiliser la confiance dans la gouvernance numérique du pays. L’exposition d’éléments techniques internes, de structures réseau ou de bases de données confidentielles pose un risque systémique.
Pour les citoyens, les menaces sont concrètes : usurpation d’identité, fraudes fiscales, escroqueries, falsification de documents ou hameçonnage ciblé. Les fichiers diffusés contiendraient des signatures, tampons et matricules authentiques, éléments très recherchés sur les marchés noirs du dark web. Même en cas de paiement d’une rançon, rien ne garantit que les données ne soient pas revendues à des tiers.
Une affaire à suivre de près
À ce stade, seule une partie des fichiers a été publiée pour illustrer la revendication. Aucune preuve technique indépendante ne permet encore de confirmer ou d’infirmer le vol d’un téraoctet complet de données. Toutefois, l’affaire soulève déjà des inquiétudes majeures sur la sécurité numérique de l’administration fiscale sénégalaise et la protection des données personnelles des contribuables.