La CNSS a été visée par une cyberattaque qui a entraîné la fuite massive de données sensibles. Près de deux millions d'employés sont concernés. Cet incident met en lumière des failles dans la sécurité informatique de nos institutions publiques, et l'urgence de les mettre à niveau. Le 8 avril, le site du ministère de l'Inclusion économique, de la Petite Entreprise, de l'Emploi et des Compétences (MIEPEEC), ainsi que les bases de données de la Caisse nationale de sécurité sociale (CNSS), ont été la cible d'une vaste opération de piratage. L'attaque, qui a entraîné la fuite sur internet d'un grand nombre de données confidentielles concernant les affiliés de la CNSS, a été revendiquée par le groupe de hackers algériens Jabaroot DZ.
Les hackers à l'origine de l'opération ont, par la suite, diffusé massivement les données exfiltrées sur des canaux spécialisés de Telegram. Il s'agit de fichiers au format CSV (un type de fichier tableur utilisé pour stocker de grandes quantités de données sous forme de lignes, avec des champs séparés par des virgules), contenant les détails de 499.881 entreprises, les informations personnelles de 1,99 million d'employés, ainsi que plus de 53.574 fichiers PDF révélant les salaires.
Les données exposées comprennent notamment les noms complets, les adresses e-mail, les numéros de carte d'identité nationale (CIN), les coordonnées bancaires et d'autres informations sensibles. À l'heure où nous écrivons ces lignes, ni le ministère dirigé par Younes Sekkouri, ni la CNSS, ni les institutions spécialisées dans la sécurité informatique (CNDP, DGSSI, DGSN...) ne se sont encore exprimé sur cet incident.
Première analyse
S'il est encore trop tôt pour identifier avec précision les failles ayant conduit à une telle compromission des systèmes, ou pour pointer les responsabilités, une première lecture du déroulement de l'opération de piratage permet toutefois de dégager certains angles morts en matière de cyber-sécurité et de gouvernance des données sensibles.
"Pour l'instant, deux pistes se présentent. Il se peut qu'il y ait eu une attaque directe sur la plateforme de la CNSS, à travers des failles ou des mécanismes donnant accès aux bases de données. Pour ce qui est de la deuxième hypothèse, il est aussi possible que les hackers soient passés par une faille chez une partie tierce", analyse Badr Bellaj, expert informatique, spécialisé en blockchain et cryptomonnaie. Un responsable au sein d'une grande entreprise de cyber-sécurité au Maroc estime que cette attaque a mis en lumière de nombreuses lacunes dans la manière dont la CNSS gère ses données. "Les données auraient dû être sécurisées : elles n'auraient jamais dû être stockées en clair, mais chiffrées. De plus, au moment de l'attaque, aucune alerte n'a été déclenchée, ni sur l'intrusion elle-même, ni sur la fuite massive de données au moment où elles se produisaient". Si ce type d'attaques peut causer des dégâts importants pour les institutions concernées comme pour les citoyens dont les données sont exposées, il n'a pourtant rien de surprenant, tant ce genre d'intrusions devient monnaie courante, qu'il s'agisse d'organismes publics ou d'entreprises privées. Qu'il s'agisse du piratage du Pentagone en 2015 ou des attaques visant les systèmes hospitaliers en France, aucune institution n'est véritablement à l'abri de telles intrusions. Un long chemin
Alors que la majorité de ces attaques poursuivent des objectifs pécuniaires, en s'appuyant sur le chantage aux données pour extorquer de l'argent aux entreprises ciblées, le cas de la CNSS semble relever d'une tout autre logique : celle d'une opération menée par un pays hostile, dans le cadre d'une guerre de cinquième génération (un type de conflit hybride mêlant désinformation, cyberguerre et atteinte aux infrastructures stratégiques), d'où l'urgence de renforcer la résilience numérique des institutions publiques.
Au Maroc, la cyber-sécurité reste un chantier ouvert, comme en témoigne l'adoption, en 2020, de la loi n° 05-20 relative à la cyber-sécurité, et, plus récemment, celle du décret n° 2-24-921 encadrant le recours aux prestataires de services Cloud, approuvé en Conseil des ministres sous la présidence de Sa Majesté le Roi Mohammed VI.
"Une grande partie des marchés publics ouverts récemment concerne l'urbanisation des systèmes d'information des institutions publiques", nous confie une source du secteur. L'urbanisation, qui vise à structurer et rationaliser les architectures informatiques, constitue aujourd'hui un levier essentiel pour améliorer la sécurité des systèmes, garantir la cohérence des flux de données et renforcer la résilience face aux cyber-menaces.
Cependant, le chemin reste long pour bâtir des systèmes informatiques véritablement résilients et capables de faire face à toute épreuve. "Plusieurs défis persistent. D'une part, le manque de ressources et d'investissements, avec des budgets encore limités dans certaines administrations, freine la mise en place de dispositifs de protection efficaces. D'autre part, la répartition inégale des compétences fait que certaines institutions bénéficient d'une expertise pointue en cyber-sécurité, tandis que d'autres peinent à recruter des professionnels qualifiés", regrette Meriem Yacoubi, fondatrice du cabinet de consulting Disrupt spécialisé en transformation digitale & cyber-sécurité.
Facteur humain
Dans cette équation entre aussi en jeu le "facteur humain", c'est-à-dire l'ensemble des pratiques imprudentes des utilisateurs qui laissent des brèches béantes aux attaques informatiques. "Les employés ne sont souvent pas sensibilisés aux questions de cyber-sécurité. Ils ouvrent des e-mails suspects, utilisent des mots de passe faibles, ou encore accèdent à des sauvegardes non sécurisées. À cela s'ajoute le fait que beaucoup de systèmes sont mal configurés, que les privilèges sont trop larges, et que les serveurs ne sont pas mis à jour régulièrement. C'est une porte ouverte aux attaques", donne comme exemple Taoufiq Rahmani, senior Data Scientist et Data Engineer à IBM.
Enfin, même si les institutions publiques ont l'obligation de mener des audits réguliers sur leur système informatique, la qualité de ces audits n'est pas toujours au rendez-vous. "En optant pour l'offre la moins-disante, ces institutions prennent le risque de sacrifier la qualité du service rendu. Le consultant retenu peut très bien soumettre un rapport concluant à l'absence de failles, mais qui est réellement en mesure de challenger ses résultats ?", nous confie un responsable dans une grande entreprise de cyber-sécurité au Maroc.
S. CHAHID et A. MACHLOUKH Trois questions à Mohammed Ramy : «La sécurisation d'un système de données nécessite un dispositif 360°» * Pourquoi est-ce si difficile de détecter les failles qui ont mené à cette attaque ? En toute franchise, en tant que consultants, on ne saura jamais la cause principale de cette cyberattaque, à moins qu'il y ait une investigation rigoureuse. Normalement, ce travail incombe aux équipes de la CNSS en collaboration avec la DGSSI. Plusieurs hypothèses s'imposent. Ce peut être une mauvaise gestion des accès aux bases de données, des maladresses des employés de la CNSS dont quelquesuns auraient pu cliquer sur des liens frauduleux ou des mises à jour mal abouties. Il est très important de savoir si ces mises à jour se font de manière correcte. Il y a plusieurs failles techniques et organisationnelles qui peuvent être derrière la fuite de données. Comme c'est une situation de crise, la CNSS devrait naturellement communiquer les résultats de l'enquête.
* Est-ce possible que les hackers aient passé par un tiers pour accéder à la base de données de la CNSS ? C'est une hypothèse parmi d'autres. L'origine même du hacker est difficilement identifiable parce qu'il ne peut s'agir d'un hacker étranger qui s'est mis dans la peau d'un Algérien en profitant du contexte géopolitique actuel. Les pirates préfèrent toujours garder leur anonymat. N'oublions pas que ce genre d'attaques n'est pas forcément contre une seule cible. Il peut viser plusieurs cibles à la fois de façon aléatoire. La victime peut tomber dans le piège par hasard.
* Comment se prémunir contre ce genre d'attaques dans le futur ? Je rappelle que le site de la CNSS a récemment été renouvelé. La mise à jour peut créer involontairement de nouvelles brèches qui seront inéluctablement exploitées par les agents malveillants. D'où la nécessité d'augmenter la vigilance, le risque étant permanent. La sécurisation cybernétique nécessite un dispositif 360° en tenant compte du côté purement technique et du management de la sécurité de l'information selon la norme ISO 27001. Il faut aussi adopter les bonnes pratiques, notamment celles adoptées aux Etats-Unis. Par ailleurs, les institutions sanitaires sont moins protégées que les établissements financiers qui sont généralement les mieux protégés en termes de cybersécurité.
Recueillis par A. M. Trois questions à Badr Bellaj : «Les hackers ont voulu démontrer la fragilité du système» * Comment les hackers algériens ont-ils pénétré aussi facilement les systèmes de données de la CNSS et du ministère de l'Emploi ? Il serait difficile d'identifier le mode d'emploi parce qu'il faut une étude circonstanciée pour y parvenir. Il existe plusieurs façons pour faire ce genre d'intrusions. Pour l'instant, deux pistes se présentent. Il se peut qu'il y ait eu une attaque directe sur la plateforme de la CNSS à travers des failles ou des mécanismes qui donnent accès aux bases de données. Pour ce qui est de la deuxième hypothèse, il est aussi possible que les hackers aient été passés par une faille chez une partie tierce, en l'occurrence un fournisseur de cloud ou un prestataire, qui peut être le vecteur de l'attaque, comme ce fut le cas de celle qui a ciblé le Pentagone aux Etats-Unis. Là, les pirates sont passés par le fournisseur de services Solar Winds. Jusqu'à présent, c'est la conclusion qu'on peut tirer.
* Le ministère de tutelle a tenté de rassurer le grand public, mais il y a eu, pourtant, une fuite énorme de données salariales. Faut-il craindre des conséquences graves ? Les conséquences sont sévères pour peu que des milliers de données salariales sensibles aient fuité. Les attestations de salaires sont facilement consultables après l'attaque. Ces données auraient pu être facilement manipulables et servir d'instrument de chantage ou de fraude. Mais en gros, les assaillants ont voulu à travers cette attaque démontrer que nos systèmes sont fragiles. S'ils n'avaient pas revendiqué ouvertement leur attaque, ils auraient pu crypter discrètement la base de données à des fins criminelles. En plus, les conséquences de la fuite des déclarations de salaires sont d'autant plus nuisibles aux entreprises concernées qu'elles peuvent être exploitées par les concurrents désireux de débaucher leur personnel. Evidemment, tout patron d'entreprise n'aimerait pas que les fiches de paie de ses employés soient divulguées.
* Faut-il revoir en profondeur les systèmes de cybersécurité dans les administrations publiques ? N'oublions pas que tout le monde est menacé par les cyberattaques, même les instances les plus protégées de par le monde. Dans notre cas, la réponse dépend des résultats de l'investigation. On peut être rassuré si l'attaquant a utilisé des moyens ultra sophistiqués. Or, s'il se trouve qu'il a profité d'une faille très simple, il faut s'inquiéter et revoir le système dans sa globalité. N'oublions pas que le système de sécurité de la CNSS a récemment été renouvelé pour répondre aux normes ISO et celles de la loi 05.020. Malgré cette mise à niveau, il faut plus d'efforts pour mieux sécuriser le système. Là, l'appui de la Direction générale de la sécurité des systèmes d'information (DGSSI) est indispensable. Il faut qu'elle renforce son travail sur les infrastructures publiques et, surtout, que les administrations collaborent avec des entités spécialisées dans la cyber-sécurité.
