Fuite de données du CNSS au Maroc
La recherche de deux mots — Maroc et cyberattaque — fournit 234 000 réponses en un sixième de seconde. Souvent lors d’une cyberattaque, bien moins de résultats sont produits. Pourtant ce n’est pas le premier pays à subir une attaque cybernétique, qui plus est en Afrique. La cyberattaque du site du ministère de l’Inclusion économique, de la Petite Entreprise, de l’Emploi et des Compétences (MIEPEEC) et de la caisse nationale de sécurité sociale (CNSS) affole la presse, et ravive les tensions entre l’Algérie et le Maroc, par réseaux sociaux interposés.
Les attaques cybernétiques sur le continent africain ne datent pas d’hier. « Depuis début 2025, j’ai au moins comptabilisé une 100 de cyberattaques, fuite de données et autres actes d’incidents de sécurité informatique en tout genre, qu’ils soient publics, semi-publics ou privés ! », explique SaxX sur X. Mais celle contre le Maroc, plus particulièrement concernant le CNSS affole la presse mondiale et marocaine. Cela confère un emballement médiatique, alors que l’enquête est en cours.
Que sait-on vraiment ?
Une personne ou un groupe de personnes, sous le pseudo jabaROOT DZ, poste sur un site bien connu, BreachForums pour ne pas le citer et sur Télégram des informations issues de la cyberattaque. Deux dossiers sont ainsi disponibles. Le premier intitulé fiches de paies, le second CNSS — Moroccan National Social Security fund. Ils résultent de la cyberattaque du MIEPEEC et de CNSS.
Le fichier, le plus important, affiche un poids compressé de 549 Mo. Il comporte 53 576 fichiers. Deux au format CSV, adhérents et salariés, les autres sont des documents au format PDF. Une fois décompressé, cela représente 6,9 Go.
L’autre à une taille de 75,5 Mo, puis décompressé de 84,4 Mo. Il contient 3101 fiches de paies. L’ensemble des composants sont datés de 2024 et 2023. Une possible fraude est envisageable. Les numéros P.P.R. (identification) et le numéro de la pièce d’identité (CIN) sont affichés. (Crédits : capture d’écran)
La problématique est que les entités potentiellement visées sont conséquentes. Le nombre de compagnies exposées est de 499 881. Parmi celles-ci existe le Fonds Mohammed VI pour l’Investissement, le Crédit du Maroc, la Banque centrale populaire, des entreprises de presse, le bureau de liaison d’Israël au Maroc, jusqu’à la holding du roi Mohammed VI, Siger.
Quels renseignements sont exhibés ?
Des fonctionnaires sont alors exposés, mais pas que. Dans les deux fichiers au format CSV, de très nombreuses lignes. Pour « Adhérents » 1 094 294 lignes de données et près de deux millions pour « Salariés » (1 996 026). Si en France, le sujet du salaire est encore tabou, le voile est ainsi levé sur les salaires déclarés de plusieurs personnalités au Maroc.
Pour le fichier salarié : l’identification de l’adhérent, la nouvelle immatriculation, prénom, nom, numéro d’immatriculation, pièce d’identité, numéro de passeport, numéro de résidence, date de création, mode de demande, nom de l’affilié, numéro de l’affilié, état de la demande.
Pour le fichier adhérents : nom de l’entreprise, la date d’adhésion, prénom et nom du mandataire, informations bancaires, numéro téléphone et e-mail du mandataire, attestations, identités et informations sur des salariés, numéro de passeport et adresse complète… (Crédits : capture d’écran)
La certitude est outre l’exploitation des données pour exercer du phishing, spearphishing, elles peuvent conduire à des attaques cybernétiques plus précises, plus ciblées en fonction des attaquants. Les experts marocains s’insurgent de l’ampleur de cette attaque. Celle-ci est connue, car rendue publique par le collectif jabaROOT, contrairement à l’ensemble de celles passées sous silence.
