MINEFOP
Le site officiel du Ministère de l'Emploi et de la Formation Professionnelle (MINEFOP) a été défiguré courant juillet 2026. La page d'accueil affichait un fond noir portant la mention « Hacked by AntonKill », accompagnée d'une animation de crâne et de formes géométriques, en lieu et place du contenu institutionnel ; les services en ligne étaient inaccessibles. L'attaque a été revendiquée sur l'interface du site sous les pseudonymes « AntonKill » et « Trenggalek6etar ».
Le CIRT Cameroun a publié une alerte de sécurité de niveau critique (réf. CIRT-AL-2026-07-ANTONKILL) caractérisant une campagne de web defacement exploitant des vulnérabilités du CMS Joomla! et du framework Helix3. Le mode opératoire décrit combine l'exploitation de plugins ou thèmes obsolètes, l'injection SQL pour accéder à la base, et l'obtention d'accès administrateur par force brute ou hameçonnage, avant l'injection d'un script JavaScript d'affichage. Le CIRT souligne que le contenu original est masqué et non supprimé.
Analyse OBS-CC — une compromission opportuniste, pas un ciblage.
Deux écarts factuels méritent d'être relevés, et constituent la valeur ajoutée de cette fiche.
Premier écart — l'attribution. Le CIRT décrit AntonKill comme « un collectif de pirates informatiques actif, probablement basé en Afrique centrale/de l'Ouest ». Les travaux publiés par les éditeurs et CERT tiers dressent un tableau différent : il s'agirait d'une campagne automatisée et massive, déclenchée vers le 5 juillet 2026, exploitant une faille non authentifiée de Helix3 pour frapper indistinctement tout site Joomla! vulnérable. Les victimes recensées hors Cameroun — domaines gouvernementaux équatoriens, cibles en Colombie et en Turquie, autorité grecque de sécurité alimentaire (efet.gr), et selon le CIRT lui-même l'Université nationale des sciences et technologies du Zimbabwe et les services de police du Botswana — dessinent une répartition mondiale sans logique régionale. Le pseudonyme « Trenggalek6etar » renvoie par ailleurs à Trenggalek, une régence indonésienne, signature caractéristique des collectifs de defacers d'Asie du Sud-Est. L'hypothèse d'un acteur ouest/centre-africain paraît donc peu étayée. L'OBS-CC ne conclut pas sur l'origine réelle du groupe, mais signale que l'attribution géographique avancée n'est corroborée par aucune des sources externes consultées. La nuance n'est pas cosmétique : elle détermine si le Cameroun fait face à un adversaire régional ciblant ses institutions, ou à un balayage automatisé qui a simplement trouvé une porte ouverte.
Second écart — la gravité. La presse rapporte un contenu « effacé » là où le CIRT documente un contenu « masqué, mais généralement pas supprimé ». L'écart n'est pas anodin : il sépare une destruction de données d'un défaçage cosmétique, et conditionne la qualification d'impact.
Le fond du problème : la dette technique. Si l'hypothèse de la campagne automatisée se confirme, le MINEFOP n'a pas été choisi — il a été trouvé. Un site institutionnel tombe alors non parce qu'un adversaire s'y intéresse, mais parce qu'un correctif n'a pas été appliqué. C'est un problème de gouvernance du parc applicatif public, pas de sophistication adverse, et il touche une dimension absente de la base OBS-CC : le défaçage ne figure pas encore parmi les types d'attaque documentés du rapport annuel, alors qu'il constitue l'atteinte la plus visible pour le citoyen.
Une récurrence documentée. L'article de Cameroon Tribune rappelle deux précédents visant l'administration : l'alerte du MINFOPRA sur une tentative contre le progiciel de paie AIGLES (février 2025), et le blocage de l'application « Mesure » de la Direction générale des impôts en 2020, ayant interrompu la délivrance des attestations de non-redevance. Ce troisième cas confirme que les plateformes de l'administration constituent une surface d'attaque récurrente et insuffisamment maintenue.
Signal positif. Le CIRT a détecté, caractérisé et publié une alerte publique avec recommandations opérationnelles — exactement le type de production périodique dont le rapport annuel (§5.2) déplorait l'absence. À porter au crédit du dispositif national, et à intégrer à la veille hebdomadaire de l'OBS-CC.
CIRT Cameroun — « Alerte de sécurité — Campagne ANTONKILL : Web Defacement ciblant les institutions sous Joomla! et Helix3 », réf. CIRT-AL-2026-07-ANTONKILL, classification Publique, https://cirt.cm/alerte-de-securite-campagne-antonkill-web-defacement-ciblant-les-institutions-sous-joomla-et-helix3/ (source institutionnelle primaire)
CIRT Cameroun — Alerte au format PDF, https://cirt.cm/wp-content/uploads/2026/07/alerte-antonkill-cirt-cm.pdf (archiver — document de référence)
Cameroon Tribune — Sonia OMBOUDOU, « Piratage informatique : L'ombre et la proie », 15/07/2026, https://www.cameroon-tribune.cm/article.html/78729/fr.html/piratage-informatique-lombre-la-proie (presse nationale — accès partiel, article réservé aux abonnés ; mentionne les précédents AIGLES et DGI)
MINEFOP — site officiel, https://www.minefop.gov.cm/fr/ (entité ciblée — vérifier l'état de rétablissement)
ChronoEngine — « Fixing the "AntonKill" Joomla Helix3 Defacement (CVE-2026-49049) », https://www.chronoengine.com/blog/fixing-the-antonkill-joomla-helix3-defacement-cve-2026-49049 (analyse technique tierce — référence CVE)
mySites.guru — « Helix3 AntonKill Defacement: Where It Hides », https://mysites.guru/blog/helix3-antonkill-defacement-wave/ (analyse technique — persistance en base de données)
CERT Cyberoo — « Defacement "Hacked by Antonkill": what the attack on Joomla sites tells us », https://cert.cyberoo.com/en/defacement-hacked-by-antonkill-what-the-attack-on-joomla-sites-tells-us/ (caractérisation de campagne automatisée)
Athens News — attaque contre le portail de l'EFET (autorité grecque de sécurité alimentaire), 03/07/2026, https://en.rua.gr/2026/07/03/hacked-by-instead-of-government-services-the-attack-on--showed-the-vulnerability-of-old-sites/ (contexte international — portée mondiale de la campagne)
- Nettoyer au bon endroit — la charge n'est pas dans les fichiers. Point technique décisif, absent de l'alerte CIRT : les analyses tierces établissent que l'injection persiste dans la base de données Joomla!, colonne params de la table #__template_styles, au sein des champs Custom JavaScript, Custom CSS ou Before du gabarit Helix3 — et non dans un fichier. Une restauration de fichiers ou une vérification d'intégrité de index.php laissera donc le défaçage en place. Purger ces champs en base, puis corriger Helix3.
- Appliquer le correctif Helix3 / Joomla! sans délai. Mise à jour vers la dernière version stable du CMS, des extensions et du thème Helix3 (CVE-2026-49049). Sans cela, la remise en ligne sera suivie d'une recompromission par le même balayage automatisé, sous quelques jours.
- Recenser le parc Joomla! de l'administration — action collective urgente. Le MINEFOP est vraisemblablement une victime parmi d'autres d'un balayage indiscriminé. L'ANTIC devrait inventorier les sites gouvernementaux sous Joomla!/Helix3 et les corriger de manière préventive, plutôt que de traiter les défaçages au cas par cas. C'est la mesure au meilleur rapport coût/bénéfice de cette fiche.
- Suivre les mesures du CIRT. L'alerte préconise la mise hors ligne du site compromis, une investigation approfondie (scan de vulnérabilités, analyse des logs), la vérification d'intégrité des gabarits, la réinitialisation de l'ensemble des mots de passe, l'authentification multifacteur, la limitation des tentatives de connexion, l'activation d'un WAF, des sauvegardes régulières et un audit de sécurité complet.
- Publier un communiqué officiel. Le CIRT recommande explicitement une communication publique transparente sur les faits, les actions engagées et les conséquences. Pour un service public dont les usagers n'ont plus accès aux téléservices, le silence alimente l'hypothèse la plus grave — une fuite de données — alors que l'élément technique disponible indique l'inverse.
- Préciser l'attribution avant reprise. Avant toute publication s'appuyant sur l'alerte, l'OBS-CC recommande de solliciter le CIRT sur les éléments fondant l'hypothèse d'un acteur « probablement basé en Afrique centrale/de l'Ouest », que les sources externes ne corroborent pas. Une attribution erronée dans un document public engage la crédibilité du dispositif national.
- Étendre la taxonomie OBS-CC. Le défaçage figure au glossaire du rapport annuel (Annexe A) mais ne compte aucune entrée dans la répartition par type d'attaque (§3.3). Cet incident ouvre la catégorie. Vérifier si des défaçages antérieurs de sites publics ont été classés en « Sabotage » ou en « Autres », ce qui fausserait la répartition.

