Le système de sécurité sociale marocain ébranlé par une attaque informatique d'ampleur le 8 avril. Les données personnelles et financières de 2 millions de salariés compromises. Entre failles techniques et revendication contestée, retour sur un désastre numérique annoncé. Le 8 avril 2025 restera une date sombre dans la sécurité des données au Maroc. La Caisse nationale de sécurité sociale (CNSS), organisme central gérant les informations de millions de travailleurs, a été la cible d'une cyberattaque d'envergure. Près de deux millions d'employés ont vu leurs données personnelles et sensibles exposées. Les informations compromises incluent des éléments aussi critiques que les numéros d'identité nationale, les coordonnées bancaires complètes (RIB) et les détails des salaires. L'attaque a été rapidement revendiquée par un groupe se faisant appeler «Jabaroot DZ», se présentant comme des hackers algériens, ajoutant une dimension potentiellement géopolitique à cet incident technique et sécuritaire. L'ampleur de la fuite et la nature des données exposées soulèvent des inquiétudes immédiates quant aux risques d'usurpation d'identité, de fraudes financières et d'autres utilisations malveillantes visant les affiliés de la CNSS. Défaillances techniques et questions sur la sécurité L'analyse post-incident soulève de sérieuses questions sur les mesures de sécurité en place à la CNSS. Un élément particulièrement préoccupant est l'apparent manque de cryptage des données sensibles. Selon les informations disponibles, des données sensibles, y compris les attestations de salaire et potentiellement les coordonnées bancaires, n'étaient pas chiffrées dans les bases de données compromises. Bien qu'il existe une possibilité que les données aient été cryptées et que les attaquants aient réussi à les déchiffrer, l'absence de cryptage de base constitue une négligence préoccupante. Sans ce cadre, les experts juridiques et leurs homologues spécialisés en cyber sécurité ont mis l'accent sur les lacunes du système de la CNSS en matière de respect de l'ordre de plusieurs lois en vigueur, notamment la loi 09-08 sur la protection des données personnelles et la loi 05-20 sur la cybersécurité, qui imposent des obligations strictes en matière de protection des informations, surtout lorsqu'elles sont sensibles. Zahraoui Yassine, ingénieur en sécurité informatique, souligne que l'analyse des données exfiltrées, couvrant la période de novembre-décembre 2024, suggère une intrusion prolongée. Le fait que l'attaque ait pu durer «des heures, si ce n'est des jours» remet en cause l'efficacité des systèmes de veille et de détection des intrusions de l'organisme. Comme le rappelle l'expert, si aucune entité n'est totalement à l'abri, le niveau de défense et la capacité de détection rapide sont cruciaux. Seule une enquête technique approfondie, menée par la CNSS ou des experts mandatés, pourra déterminer les failles exactes exploitées et évaluer une éventuelle responsabilité de l'organisme. La piste de l'attribution : une revendication potentiellement trompeuse Si le groupe «Jabaroot DZ» a revendiqué l'attaque, des éléments d'enquête jettent le doute sur l'origine algérienne proclamée. Une communauté marocaine spécialisée en cybersécurité a mené une investigation minutieuse qui mène vers une piste différente. Leur enquête a débuté par l'analyse d'un message annonçant l'attaque sur le groupe Telegram de Jabaroot DZ. Ce message a été initialement «transféré» par un utilisateur pseudonyme, «3N16M4», avant d'être rapidement supprimé puis republié sans cette mention, suggérant une erreur de manipulation de la part du véritable auteur. En suivant la trace numérique de «3N16M4», les enquêteurs marocains ont découvert un compte GitHub actif (plateforme largement utilisée pour le développement de logiciels et le contrôle de version, basée sur la technologie Git), lié à des adresses e-mail académiques et personnelles. Ces informations ont permis d'identifier un profil potentiel (Rachid M.), un ingénieur en sécurité informatique d'origine tunisienne, résidant à Bochum en Allemagne, et ayant étudié à l'Université d'Ostfalia. Ce même pseudonyme apparaît dans des compétitions de hacking (CTF) où le participant est identifié comme Tunisien. Bien que ces découvertes soient significatives, les cyber-enquêteurs marocains restent prudents, soulignant que l'identité du responsable n'est pas encore confirmée et que leurs investigations se poursuivent pour établir les faits avec certitude. Contexte géopolitique, responsabilités et perspectives Cette cyberattaque s'inscrit dans un contexte régional marqué par des tensions, notamment entre le Maroc et l'Algérie. Comme le note Taha Ait Tchakoucht, expert en IA appliquée à la cybersécurité, la revendication par Jabaroot DZ survient dans un climat où la «cyber-guerre» et les motivations politiques prennent de l'ampleur. S'il est difficile de qualifier cet acte de «cyberguerre par proxy» sans preuves formelles, l'hypothèse d'une exploitation des tensions géopolitiques par les attaquants (qu'ils soient liés à un Etat ou indépendants) pour amplifier l'impact de leur action ne peut être écartée. Au-delà de l'attribution, cet incident met en lumière la vulnérabilité critique des infrastructures numériques gérant des données sensibles et l'impératif pour les organisations comme la CNSS de renforcer drastiquement leurs mesures de sécurité, de surveillance et de conformité réglementaire (lois 09-08 et 05-20). Une enquête officielle rigoureuse est désormais indispensable pour déterminer les responsabilités exactes, comprendre les failles exploitées, évaluer l'étendue réelle des dégâts et, surtout, mettre en œuvre les correctifs nécessaires pour prévenir de futures violations et restaurer la confiance des citoyens dans la protection de leurs données les plus personnelles. La réponse officielle de la CNSS Face à la cyberattaque, la CNSS a communiqué officiellement le 12 avril 2025 sur cette affaire. L'organisme a confirmé avoir subi des attaques ayant causé une fuite de données le 8 avril, dont l'ampleur est en cours d'évaluation. Tout en regrettant la diffusion de données personnelles, la CNSS a nuancé leur véracité, les qualifiant de «souvent faux, inexact ou tronqué». En collaboration avec les autorités, des mesures ont été prises pour limiter l'attaque et renforcer l'infrastructure. L'accès à certaines fonctionnalités des portails a été temporairement restreint. La CNSS appelle ses assurés et affiliés à la plus grande vigilance, recommandant de changer les mots de passe, de ne jamais communiquer les identifiants et de se méfier des messages suspects, invitant à consulter uniquement le site officiel. Mehdi Idrissi / Les Inspirations ECO
