Le ministère de la Justice dément toute cyberattaque et rassure

Le ministère de la Justice réagit enfin aux revendications du groupe de hackers “Jabaroot” selon lequel ledit département a été victime d’une cyberattaque. Dans un communiqué publié ce mercredi 11 juin, le ministère de la Justice dément toute fuite de données relevant de ses systèmes informatiques.

“Les données évoquées n’ont aucun lien avec les bases de données ou les services numériques sécurisés” du ministère de la Justice, indique-t-on de même source.

Le ministère indique également que ses systèmes informatiques, y compris les plateformes numériques de services judiciaires et administratifs, “fonctionnent normalement et en toute sécurité”.

De plus, le département dirigé par Abdellatif Ouahbi assure que “ses systèmes font régulièrement l’objet de tests techniques et d’évaluations de sécurité menés par des services spécialisés afin de garantir leur fiabilité”.

Pour rappel, une enquête judiciaire a été ouverte le mardi 10 juin, après la diffusion d’allégations au sujet du présumé piratage de données de la justice, par ledit groupe de hackers.

Le communiqué intégral

Voici l’intégralité du communiqué explicatif “à l’attention de l’opinion publique” :

“Suite à la diffusion de certaines informations et rumeurs sur des plateformes médiatiques et des réseaux sociaux au sujet de prétendues fuites de données électroniques, et afin d’éviter toute confusion ou interprétation erronée susceptible d’inquiéter les citoyens, le ministère de la Justice tient à apporter les précisions suivantes :

1. Les données évoquées ne concernent en aucun cas les systèmes informatiques du ministère de la Justice et n’ont aucun lien avec ses bases de données ou ses services numériques sécurisés.

2. Les systèmes informatiques du ministère, y compris les plateformes numériques de services judiciaires et administratifs, fonctionnent normalement et en toute sécurité, et n’ont fait l’objet d’aucun piratage ni d’aucune fuite de données.

3. Le ministère de la Justice, dans le cadre de sa vigilance permanente, met en œuvre des protocoles de protection avancés et multicouches, conformément aux normes internationales les plus récentes en matière de cybersécurité. Ses systèmes font régulièrement l’objet de tests techniques et d’évaluations de sécurité menés par des services spécialisés afin de garantir leur fiabilité.

4. Le ministère invite les citoyens à s’informer exclusivement auprès de ses sources officielles et à ne pas accorder foi aux rumeurs ou aux informations approximatives susceptibles de créer la confusion sans fondement objectif.

En réaffirmant son attachement constant à la sécurité et à la protection des données relatives aux services de la justice et à ses plateformes numériques, le ministère de la Justice souligne qu’il poursuivra ses efforts pour renforcer ses dispositifs de protection et de veille face aux différentes menaces potentielles dans ce domaine”.

Cyberattaque contre Tawtik : l’activité notariale en suspens, les autorités en concertation

Les autorités marocaines planchent sur des solutions pour remédier aux conséquences de la cyberattaque ayant visé la plateforme Tawtik+, utilisée par les notaires.

Une commission composée de représentants de plusieurs administrations concernées – dont la conservation foncière et des départements ministériels – multiplie les réunions pour permettre un retour progressif à la normale, notamment sur le volet des transactions immobilières.

La plateforme Tawtik+, dédiée à la gestion et à la dématérialisation des actes notariés, est suspendue. Elle le restera le temps de corriger les vulnérabilités identifiées ayant permis l’exfiltration des données par les hackers.

Le 3 juin, les notaires ont reçu une lettre annonçant cette suspension, décidée en coordination avec les autorités, dont la Direction générale de la sécurité des systèmes d’information relevant de la Défense nationale — selon une correspondance consultée par Médias24.

Des mesures ont également été prises du côté de l’Agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC).

L’établissement public, qui avait suspendu les dépôts électroniques à la suite du premier incident survenu à la CNSS en avril, a élargi cette décision aux dépôts physiques. Cette décision reste en vigueur depuis la seconde attaque, selon des sources notariales.

« Les dépôts électroniques avaient été suspendus une dizaine de jours après la fuite des données de la CNSS, puis il y a eu une reprise temporaire. Mais après la seconde attaque, tous les dépôts — physiques comme électroniques — ont été suspendus, le temps de parvenir à une solution », explique une source anonyme.

Cette suspension a engendré un ralentissement significatif de l’activité notariale. « Les transactions sont à l’arrêt, les délais continuent de courir sur les clients, qui ne peuvent pas récupérer les fonds en l’absence d’enregistrement foncier », explique un professionnel.

« Les décaissements de crédits sont également en attente », poursuit notre source.

Les professionnels du secteur évoquent une situation d’incertitude, dans l’attente d’un retour à la normale.

Une réunion est prévue cette semaine entre les différentes parties concernées. Objectif : clarifier les délais et modalités de reprise ainsi que les mesures de sécurisation à venir.

Fuite de données foncières : un audit en cours chez les notaires

Ce mardi 3 juin, il n’y a toujours pas de communication officielle ou de confirmation des allégations de piratage revendiqué par Jabaroot.

Il y a bien eu piratage ? Si oui, quand ? Où réside la faille ?

En attendant des réponses officielles, selon une source notariale sûre, « un audit est en cours au niveau du système Tawtik, utilisé par les notaires ». « Les premières analyses n’ont rien montré pour l’instant », précise notre source.

Selon la même source, cet audit sera clôturé dans les prochaines heures. Les conclusions seront alors livrées via une communication officielle.

Le groupe de hackers, se faisant appeler Jabaroot, revendique un piratage massif de données foncières.

Il s’agit du même nom que celui du groupe de hackers qui avait revendiqué la cyberattaque contre la CNSS.

LIRE AUSSI :

https://medias24.com/2025/06/02/hackers-jabaroot-cyberattaque-ancfcc/

La conservation foncière piratée ? Ce que l’on sait

Plus de 4 téraoctets de données foncières marocaines fuitées dans le Web ? C’est ce que revendique un groupe de hackers qui opère sous le nom de Jabaroot, ce lundi 2 juin, sur le forum darkforums, puis sur Telegram.

À l’heure de la mise en ligne de cet article, ni l’Agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC) ni les représentants des notaires n’ont donné suite à nos sollicitations.

À ce stade, nous ignorons qui se cache exactement derrière cette appellation ou ce groupe. Est-ce une personne ou un groupe de hackers ? Ce même nom a été utilisé par les hackers ayant revendiqué la cyberattaque massive contre la CNSS intervenue en avril dernier.

Les pirates derrière Jabaroot se disent algériens et agissent, affirment-ils, pour « contrecarrer la propagande marocaine » ou « l’ingérence dans les affaires algériennes ».

Ce qu’il est important de noter, c’est le timing des annonces faites par ce groupe de pirates, qui intervient pour la deuxième fois juste après une annonce marocaine majeure sur le dossier du Sahara. Lors de l’annonce de l’attaque sur la CNSS, le 9 avril, les États-Unis venaient de renouveler, la veille, leur position en faveur de la marocanité du Sahara, après l’élection de Trump.

Ce 1er juin, le Royaume-Uni annonce une nouvelle position en faveur de la marocanité du Sahara et que le plan d’autonomie marocain est la base la plus crédible, viable et pragmatique. Le 2 juin, Jabaroot émet donc sa revendication.

Pas d’indication que le piratage est récent

Quand est-ce que le prétendu piratage a eu lieu ? Il n’y a aucune indication précise qui étaye l’hypothèse que la cyberattaque revendiquée soit récente, ni que l’infiltration des données de la conservation foncière ait été effectuée ce lundi.

Selon nos observations, après examen d’un échantillon restreint de documents, toutes les métadonnées ont été supprimées des fichiers PDF.

L’une des hypothèses est que ces données ont été piratées simultanément avec celles de la CNSS. Car, depuis cette attaque, toutes les administrations ont redoublé de vigilance.

D’ailleurs, le 14 avril, l’Agence a annoncé la suspension de ses services électroniques. Contactée par Médias24, une source autorisée nous expliquait alors que la suspension visait à « réaliser des tests additionnels de cybersécurité et à déployer des dispositifs supplémentaires de sécurité ».

Que contiennent les données prétendument fuitées par Jabaroot ?

Les hackers affirment détenir plus de 4 To de données, incluant des certificats fonciers, des actes de vente et d’achat, des documents d’information, des relevés bancaires, ainsi que diverses pièces juridiques et administratives.

D’après la description qu’ils ont donnée, ils ont fait fuiter un dossier contenant :

10.000 certificats fonciers au format PDF (sur la base de 10 millions de titres fonciers piratés)
20.000 documents variés (actes de vente/achat, documents d’état civil, pièces d’identité/passeports, documents bancaires, etc.) (sur la base de 4 millions de documents piratés)
Un dossier contenant des documents qu’ils attribuent à certains hauts responsables marocains.

Le même procédé qu’avec les données de la CNSS est observé. Des documents attribués à des personnalités publiques marocaines, non authentifiés, ont fait l’objet d’une divulgation sur le Net.

Dans l’attente d’un communiqué officiel de l’autorité gouvernementale et de l’ANCFCC, rien ne prouve que ces données proviennent de la base de données directe de l’Agence.

Le Maroc se dote d’un « centre d’excellence en cybersécurité »

Cette initiative stratégique a été formalisée par un arrêté conjoint du ministre de l’Enseignement supérieur, de la recherche scientifique et de l’innovation, Azzeddine El Midaoui, et de la ministre de l’Économie et des finances, Nadia Fettah, publié au Bulletin officiel daté du 26 mai 2025.

Le Centre d’innovation en cybersécurité (CIC) est, selon l’arrêté, le fruit d’un partenariat entre plusieurs entités étatiques clés et le monde académique. Les membres fondateurs incluent le ministre de l’Enseignement supérieur, de la recherche scientifique et de l’innovation, le ministre délégué auprès du chef du gouvernement chargé de l’Administration de la défense nationale, le ministre délégué auprès du chef du gouvernement chargé de la Transition numérique et de la réforme de l’administration, le ministre en charge du Budget ainsi que l’Université Mohammed V de Rabat.

Les missions du nouveau centre

Le CIC, constitué en tant que groupement d’intérêt public (GIP), aura pour missions principales de :

– renforcer la recherche, la formation et l’innovation dans le domaine de la cybersécurité, en mutualisant les ressources nécessaires ;

– promouvoir la recherche et l’innovation en cybersécurité en collaboration étroite avec les acteurs académiques et socio-économiques, tant publics que privés ;

– contribuer activement au développement des connaissances et des technologies avancées en matière de sécurité cybernétique ;

– établir des partenariats nationaux et internationaux dans le domaine de la recherche en cybersécurité ;

– encourager l’esprit d’entreprise et soutenir les start-up innovantes spécialisées dans la cybersécurité.

Le siège du Centre d’innovation en cybersécurité sera hébergé au sein de l’École nationale supérieure d’informatique et d’analyse des systèmes (ENSIAS), relevant de l’université Mohammed V, située sur le boulevard Mohammed Ben Abdallah Regragui à Rabat.

Le centre est créé pour une durée de 40 ans, renouvelable, et ses locaux sont mis à disposition par l’État pour toute la durée de son existence, conclut l’arrêté.

La création de ce centre s’inscrit dans une volonté nationale de développer une expertise pointue et de renforcer la résilience du Maroc face aux menaces cybernétiques croissantes, tout en stimulant l’innovation et la création d’emplois dans un secteur d’avenir.

Un groupe de hackers revendique une cyberattaque contre la base de données de la conservation foncière

L’attaque a été revendiquée dans un forum sur Telegram par un groupe de hackers qui se fait appeler Jabaroot. Le même nom avait été utilisé par les hackers à l’origine du piratage du site de la CNSS il y a deux mois.

Les pirates annoncent avoir « exfiltré et diffusé une quantité massive de données sensibles provenant de l’Agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC), dont des certificats de propriété foncière (échantillon de 10.000 certificats) sur une base totale de plus de 10 millions de titres fonciers ».

Selon la même source, ces données comportent des informations cadastrales, l’identité des propriétaires, des références des biens immobiliers…

Il s’agit aussi de documents personnels et administratifs divers : actes de vente et d’achat, documents d’état civil, copies de cartes d’identité, passeports, documents bancaires, dossiers sensibles de hauts responsables…

À ce stade, aucune information officielle n’a été communiquée sur l’ampleur de l’intrusion. Sollicitée par Médias24, l’ANCFCC n’a pas répondu.

Ces fichiers qui sont supposés avoir été hackés ne sont pas datés. Toutes les métadonnées ont été effacées. L’une des hypothèses est qu’ils ont été hackés en même temps que ceux de la CNSS.

Selon une source professionnelle du domaine, « après l’attaque CNSS, toutes les administrations ont lancé des appels d’offres. Ces AOs relatifs à des marchés de cybersécurité étaient parfois mal préparés, car élaborés parfois hâtivement sous la pression du contexte, mais surtout celle des éditeurs de logiciels et des fournisseurs de solutions ».

Le forum à l’origine des fuites de la CNSS hors ligne : panne technique ou honeypot créé par le FBI ?

Le fameux forum où ont été publiées pour la première fois les données de la CNSS par le soi-disant « Jabaroot » est inaccessible depuis plus de vingt-quatre heures, à l’heure où nous mettons en ligne.

Cette interruption est assez intrigante par rapport au timing du leak de la CNSS. Est-ce une interruption momentanée, une cyberattaque, une saisie par une autorité, ou bien le site aurait-il été, dès le début, un « honeypot » créé par le FBI ? Pour le moment, le doute laisse place à plusieurs hypothèses.

Un honeypot est un « site contrôlé secrètement par une autorité (comme le FBI), qui se fait passer pour une plateforme de hackers, dans le but d’attirer des cybercriminels, de surveiller leurs activités et de recueillir des preuves contre eux ».

Rappelons que ce forum a déjà fait parler de lui à maintes reprises. Le 15 mai 2024, le FBI avait saisi le forum BreachForums sur le Web classique et sur le deepXeb, à la suite d’une fuite de données d’Europol. Malgré cette saisie, le forum a revu le jour avec un nouveau nom de domaine en quelques semaines.

Il convient également de rappeler que le Maroc entretient de bonnes relations avec le FBI. En février 2023, son directeur avait même été reçu par le directeur général de la Sûreté nationale, Abdellatif Hammouchi. Les deux organismes collaborent aussi dans le cadre d’arrestations conjointes de terroristes.

Pour le moment, ni les modérateurs ni le propriétaire n’ont donné signe de vie ou communiqué sur le sujet, laissant les curieux dans l’incertitude.

Victime de hackers, la CNSS avait pourtant passé cinq marchés de cybersécurité depuis un an

La Caisse nationale de sécurité sociale (CNSS) a récemment été victime d’une cyberattaque, ayant entraîné la fuite de données personnelles de centaines de milliers de salariés.

À ce stade, bien que cette attaque ait été revendiquée par des hackers qui se disent algériens, on ignore encore qui est réellement derrière cet acte malveillant, sa finalité et les techniques utilisées pour y parvenir… Toutefois, une chose est sûre : une faille existe dans le système de la CNSS, qui a rendu cette intrusion possible.

Ce que l’on sait également, c’est que c’est une première au Maroc. Une opération d’une grande envergure qui intervient à un moment délicat pour la CNSS. La Caisse est engagée depuis quelques années dans une refonte de son système d’information (SI), dans le cadre du chantier de l’extension de la protection sociale ; une refonte qui s’opère tout en maintenant opérationnels tous les services de la Caisse.

À ce jour, plusieurs marchés à large spectre ont été lancés par la CNSS dans le cadre de cette refonte, touchant aux cyberattaques, à la cybersécurité, à la surveillance et au déploiement de solutions contre les intrusions potentielles…. Plusieurs d’entre eux ont été attribués depuis 2024, avec des délais de livraison ou d’exécution (selon la nature du marché) allant de deux mois à plus d’un an. Mais on ignore à ce jour si les changements sont opérationnels à 100%.

Notons par ailleurs que la réforme du SI de la CNSS est une grosse opération, qui nécessite beaucoup de temps et d’expertise. C’est toute une architecture qui sera chamboulée, avec de nombreux ajustements, voire des changements conséquents à certains niveaux.

Détection des comptes d’usurpation d’identité sur les médias sociaux, tels que Telegram

Au moins 13 marchés lancés entre 2024 et 2025 par la CNSS ont été relevés par nos soins, dont certains impliquent une surveillance préventive et instantanée afin de bloquer toute attaque potentielle. Certains de ces marchés ont déjà été attribués, mais, comme expliqué auparavant, on ignore si les solutions ou prestations objet de ces marchés sont déjà déployées ou si elles sont opérationnelles à 100%.

L’on peut, par exemple, citer un premier marché relatif au renforcement de la cybersécurité de la CNSS, à travers la souscription à une solution de cybersurveillance. Il a été attribué en décembre 2024 à la société HTBS, dont le siège se trouve à Casablanca, avec un délai d’exécution fixé à un an. Cette solution devait permettre à la CNSS d’avoir une vision 360° sur le paysage des menaces. Elle devait également :

– permettre de réduire les risques de sécurité informatique en identifiant, évaluant et contrôlant les points d’entrée potentiels pour les attaquants externes dans le SI de la CNSS ;

– être capable de rechercher des informations privées et sensibles dans les sources du Dark Web telles que les forums, les marchés et les canaux de discussion [où se sont d’ailleurs déroulées les premières discussions autour de cette cyberattaque] ;

– être en mesure de générer des alertes contextualisées lorsqu’une information critique est détectée ;

– être capable de générer des alarmes en cas de détection de comptes d’usurpation d’identité sur les plateformes de médias sociaux connues comme Instagram, YouTube, Facebook, X, ou encore Telegram [où ont fuité les 53.000 fichiers PDF] ;

– détecter les applications mobiles usurpatrices téléchargées sur des sites tiers sans l’autorisation de la CNSS ;

– mettre à disposition de la CNSS un analyste pour soutenir la collecte des données à partir des sources du Dark Web…

Anticipation et détection des menaces en temps réel

Un autre marché a trait à l’acquisition et à la mise à niveau d’outils de la sécurité des SI, notamment d’une solution de prévention contre les intrusions. Ce marché a été attribué en juillet 2024 à la société Modcoc, entreprise spécialisée dans l’intégration de solutions de cybersécurité et de connectivité, créée en 2018 au Maroc, pour un montant d’acquisition de 1,6 MDH et un budget de maintenance annuelle de 448.800 DH. Le délai contractuel pour la livraison, la mise en place et le démarrage de cet outil avait été fixé à deux mois. La solution est donc censée être opérationnelle.

Son objectif ? La fourniture, la configuration et la mise en service d’une solution pour la prévention contre les intrusions afin de renforcer la sécurité d’accès aux systèmes d’informations de la CNSS. Il s’agit d’une solution de prévention contre les intrusions de nouvelle génération, qui doit offrir une protection totale, d’une haute précision, contre les menaces pouvant exploiter les vulnérabilités reconnues par la Caisse, ainsi que celles qui ne sont pas encore divulguées.

La solution en question doit, entre autres :

– assurer une sécurité réseau proactive permettant d’anticiper et d’empêcher les menaces de sécurité avant qu’elles ne se concrétisent ;

– inclure des fonctionnalités analytiques et Machine Learning sur les comportements réseaux ;

– permettre une détection des exploits et attaques Zero-Day ;

– remédier en temps réel à la suite d’une détection et/ou confirmation d’un contenu malveillant ;

– inspecter et bloquer le trafic dans tous les sens (entrant, sortant et latéral) en cas de détection d’une attaque ;

– analyser tout type de trafic suspect ;

– utiliser le Machine Learning en temps réel pour détecter les menaces sophistiquées contre lesquelles les mécanismes de détection traditionnels sont inefficaces ;

– bloquer et remédier en temps réel aux vulnérabilités détectées ;

– donner une visibilité totale sur le réseau afin d’avoir suffisamment de données et de contexte pour pouvoir mesurer et prioriser les menaces…

Réponse rapide et efficace

Un troisième marché, également attribué en mai 2024, est relatif à l’acquisition et à la mise à niveau d’outils de la sécurité des SI pour la détection des cybermenaces et la réponse aux incidents de la CNSS. Cet appel d’offres a été attribué à Netcom Technologies pour 2,85 MDH, avec un montant annuel de maintenance s’élevant à 887.611 DH. Au moment de la rédaction de cet article, son portail était inaccessible, affichant une erreur.

Avec un délai de livraison fixé à 4 mois, cette solution devrait permettre à la Caisse de découvrir, d’investiguer et de répondre aux attaques d’une façon rapide et efficace. Elle devrait fournir une visibilité en temps réel dans l’environnement SI CNSS, avec une technologie de détection basée sur l’intelligence artificielle et une base de connaissance des menaces large.

Deux autres marchés ont par ailleurs été attribués en 2024, à savoir :

– l’acquisition d’une solution de cyberrésilience du système d’information, attribuée à Forum international, pour un montant d’engagement de 4,33 MDH et un montant annuel de maintenance de 170.000 DH ;

– la création d’un Data Lake (une méthode de stockage de données massives) pour la CNSS, attribuée à Admiral Digital consulting pour 8,79 MDH.

D’autres marchés toujours en cours

D’autres marchés, ayant également pour objectif d’améliorer la sécurité de la CNSS, sont toujours en cours, à savoir :

– le renouvellement de la maintenance des licences Oracle de la CNSS, lancé en 2025 ;

– l’acquisition d’une solution de protection contre la fuite des données (DLP) ;

– l’extension de la solution de prévention des intrusions de la CNSS ;

– l’étude et l’accompagnement au cadrage de la refonte du SI Assujettissement de la CNSS ;

– l’acquisition d’une solution de contrôle d’intégrité des fichiers (FIM) pour la CNSS.

Tous ces systèmes étaient logiquement censés remédier aux lacunes dont souffre le système d’information actuel de la CNSS, et reconnues par celle-ci, notamment l’obsolescence de son SI, qui existe depuis plus de vingt ans, impliquant des insuffisances quant à ses besoins métier, mais aussi la dette technologique qui pourrait bloquer le développement de l’architecture du système, du fait qu’il a été réalisé à l’aide d’outils de développement remontant aux années 1990,

Une analyse technique approfondie est en cours actuellement. Elle permettra d’en savoir plus sur cette affaire, mais aussi de déterminer la responsabilité de la CNSS.

À suivre …

Cyberattaque contre la CNSS. « Télécharger, stocker ou exploiter les données fuitées sans consentement est illégal » (avocat)

Contacté par Médias24, un avocat au barreau de Casablanca nous confirme qu’il est illégal de télécharger, de garder et d’exploiter les données fuitées sans le consentement des personnes concernées.

« Il ne suffit pas que les données soient ‘disponibles’ pour qu’elles deviennent exploitables légalement »

« L’accessibilité technique des données personnelles sur une interface publique ou non sécurisée n’altère en rien leur statut juridique protégé », explique notre source.

« Ces données, dès lors qu’elles permettent d’identifier, directement ou indirectement, une personne physique, relèvent pleinement du champ d’application de la loi n° 09-08, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ».

« Leur téléchargement, leur stockage ou toute autre forme d’exploitation sans base légale valable, notamment sans le consentement exprès de la personne concernée ou sans autorisation préalable de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), constituent ainsi un traitement illicite au sens de ladite loi ».

« Il ne suffit donc pas que les données soient ‘disponibles’ pour qu’elles deviennent exploitables légalement. »

Ces propos rejoignent le communiqué publié par la CNDP ce jeudi 10 avril, selon lequel « elle se tient prête à recevoir et traiter les plaintes de toute personne physique estimant être victime de fuites ou de publication illicite de données personnelles », rappelant que « le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n° 09-08″.

Ainsi, « toute information obtenue en dehors de ce cadre est illicite et son utilisation constitue une infraction« .

« La CNSS n’est pas à l’abri d’un recours si l’expertise confirme sa responsabilité ou sa négligence »

Notre source nous confie par ailleurs que la CNSS n’est pas à l’abri d’un recours, si l’expertise technique confirme sa responsabilité ou sa négligence.

« Certes, à ce stade, la CNDP ne confirme pas encore de faute directe de la CNSS, mais elle indique clairement qu’une analyse technique approfondie est en cours« , nous explique l’avocat.

« Si cette analyse révèle une faille de sécurité prévisible, un manquement organisationnel grave ou toute violation de la loi en vigueur, la CNSS pourrait être juridiquement mise en cause ».

Et de conclure : « Ce qui est certain, c’est que tant que les conclusions de la CNDP ne sont pas rendues publiques, toute incrimination prématurée serait juridiquement infondée ».

Le gouvernement réagit aux cyberattaques ayant ciblé le ministère de l’Emploi et la CNSS

Lors de la conférence de presse qui a suivi le Conseil de gouvernement tenu ce jeudi 10 avril, Mustapha Baitas a déclaré que les attaques sur le site du ministère de l’Inclusion économique, de la petite entreprise, de l’emploi et des compétences, et celui de la Caisse nationale de sécurité sociale (CNSS), avaient été perpétrées par des parties hostiles et conduit à la fuite de de données relatives à la CNSS sur les réseaux sociaux.

Il a souligné que, selon le communiqué publié la veille par la CNSS, une vérification des données divulguées avait permis de constater que certaines comportaient des erreurs et des distorsions des informations. Le porte-parole a indiqué que la CNSS avait informé les autorités judiciaires compétentes pour prendre les mesures appropriées.

Mustapha Baitas a qualifié ces actes de « criminels », soulignant que de nombreux pays et institutions sont désormais victimes de telles cyberattaques, qu’il considère comme étant « sans aucun doute, une tentative de perturber les réussites du pays et les victoires diplomatiques successives du Royaume concernant la cause nationale ».

Il a ajouté que le timing de ces attaques coïncidait avec le renouvellement par les États-Unis de la reconnaissance de la souveraineté du Maroc sur son Sahara. Il a rappelé à cet égard que Washington avait réaffirmé que l’autonomie sous souveraineté marocaine était la seule solution viable à ce conflit artificiel. Il a qualifié cela de « grande victoire pour notre pays concernant cette question nationale ».

Le porte-parole du gouvernement a souligné que « la confiance croissante dont jouit notre pays au sein de la communauté internationale, grâce au leadership éclairé du Roi Mohammed VI, dérange les parties hostiles à notre pays au point de les pousser à recourir à ces actes agressifs pour semer la confusion ».

Enfin, Mustapha Baitas a affirmé que les institutions concernées avaient pris les mesures nécessaires pour renforcer leurs infrastructures numériques, mobilisant tous les moyens possibles pour renforcer leur sécurité informatique. En fait, Baitas n’a rien dit qu’on ne savait déjà.

Attaque cybernétique contre la CNSS : la CNDP met en garde contre l’utilisation des données personnelles obtenues illégalement

Dans un communiqué, la CNDP rappelle que le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n° 09-08, ajoutant que toute information obtenue en dehors de ce cadre est illicite, et son utilisation constitue une infraction.

À cet égard, la CNDP souligne qu’elle est, en particulier, investie de prérogatives d’investigation et d’enquête, en vertu de l’article 30 de la loi n° 09-08, lui permettant de s’assurer que les responsables du traitement des données à caractère personnel, d’une part, effectuent ce traitement en conformité avec la loi n° 09-08, et, d’autre part, que les données à caractère personnel traitées sont protégées d’une manière conforme aux dispositions de l’article 24 de la même loi.

À ce titre, et conformément à sa mission, précise le communiqué, la CNDP se tient prête à recevoir et traiter les plaintes de toute personne physique estimant être victime de fuites ou de publication illicite de données personnelles et diligentera une enquête pour vérifier la conformité du traitement desdites données aux dispositions de la loi n° 09-08 et de ses textes d’application, notamment à la lumière des premières vérifications réalisées par certains acteurs qui ont permis de relever que certains documents fuités, attribués à cette attaque cybernétique, se sont avérés faux, inexacts ou tronqués.

Cyberattaque contre la CNSS : l’éclairage préliminaire de Badr Bellaj, expert en sécurité des systèmes distribués

Le spectre d’une violation de données d’une ampleur inédite plane sur le Maroc. Des informations personnelles concernant des centaines de milliers d’entreprises et de leurs employés, issues de la CNSS, se retrouvent exposées sur le Web.

À ce stade, nos vérifications ont permis de constater que ces données, encore disponibles sur Telegram, recensent les informations de 499.881 entreprises. Plus de 53.000 fichiers PDF contiennent les listes d’employés avec leurs salaires déclarés. Près de 2 millions de salariés sont concernés par cette fuite d’informations personnelles.

À l’heure actuelle, aucune réaction officielle n’a été enregistrée. L’opinion publique attend des éclaircissements sur l’ampleur de l’incident. La réponse des autorités face à cette attaque de grande envergure est également scrutée. Qui en sont les responsables ? Quelles méthodes ont-ils employées ? Quelles failles ont été exploitées ? Surtout, qui assumera la responsabilité de ce grave assaut contre les données personnelles ? Pour répondre à ces questions, Médias24 a interrogé à chaud Badr Bellaj, expert en sécurité des systèmes distribués.

Médias24 : Quelles sont, à ce stade, les premières informations dont nous disposons concernant cette attaque ? Pouvez-vous dresser un diagnostic préliminaire de la situation ?

Badr Bellaj : La fuite de données révèle que l’attaquant a pu, pendant une période indéterminée, collecter des informations depuis le système de la CNSS. L’accès au système aurait été obtenu via une faille d’injection SQL ou une exécution de code à distance.

L’analyse des données partagées confirme leur authenticité et indique qu’elles couvrent la période de novembre-décembre 2024. Cette extraction s’est déroulée de manière progressive, suggérant une opération prolongée et méthodique.

Parmi les données compromises figurent des informations sensibles telles que les numéros d’identification, les CIN, les coordonnées téléphoniques, les numéros de comptes bancaires, les adresses e-mail, les RIB, ainsi que les salaires des employés. Ces éléments, notamment les rémunérations, ne relèvent pas du domaine public et leur divulgation représente une grave atteinte à la vie privée. Les données relatives à la caisse, aux entreprises affiliées et à leurs salariés n’ont manifestement pas bénéficié des protections requises.

La CNSS, institution au patrimoine administratif et technique ancien, a vu ses systèmes évoluer progressivement. Consciente des enjeux actuels, elle a récemment lancé un projet de refonte de sa gouvernance des données. Cette initiative vise à aligner ses pratiques avec les standards de sécurité et les réglementations en vigueur, notamment la loi 09-08 sur la protection des données, la loi 05-20 relative à la cybersécurité, et la Directive Nationale de Sécurité des Systèmes d’Information (DNSSI).

Cet incident souligne un avertissement crucial : malgré les efforts pour sécuriser les infrastructures et corriger les vulnérabilités ponctuelles, des failles résiduelles peuvent encore conduire à des compromissions majeures.

– Quels sont les procédés utilisés dans cette attaque ?

-La méthode utilisée pour cette intrusion reste une question ouverte. À ce stade, nous n’avons aucune information précise sur le déroulement de l’attaque. Une telle opération peut emprunter de multiples voies.

C’est comparable à un cambriolage. Plusieurs scénarios sont possibles. L’attaquant a-t-il utilisé le phishing ? A-t-il mené une attaque directe contre le système ? Nous manquons réellement d’indices. A-t-il exploité une vulnérabilité connue ? Y a-t-il eu une fuite via un prestataire tiers ?

Nous n’avons pas d’informations concrètes. C’est là qu’un travail de forensique numérique est indispensable pour identifier la source ou la vulnérabilité à l’origine de cette faille.

Il est important de noter, et c’est une information préliminaire, que la CNSS vient de déployer un nouveau système de gouvernance des données. Ce système a nécessité un travail conséquent, en principe conforme aux lois et aux standards en vigueur. Un travail de forensique est donc nécessaire pour déterminer l’origine exacte de cette attaque.

Les principales pistes sur les failles exploitées

– Pouvez-vous nous éclairer sur les failles exploitées par les assaillants ?

-Une réponse précise reste difficile à ce stade. Une analyse approfondie de l’infrastructure et des logs serait nécessaire. Cependant, plusieurs pistes peuvent être envisagées.

Généralement, des vulnérabilités peuvent être exploitées par une attaque directe. Cela signifie que le système lui-même pourrait être vulnérable. Par exemple, les bases de données ou les systèmes de protection de la CNSS pourraient présenter des failles, ne pas être à jour. Un attaquant pourrait alors utiliser une de ces vulnérabilités pour contourner toutes les mesures de sécurité en place.

Une autre possibilité est de passer par une partie tierce, un prestataire de services. Oracle, par exemple, a récemment connu un problème d’authentification, annoncé en mars, si je ne m’abuse. Une porte d’entrée pourrait donc se situer au niveau d’un de ces partenaires. On peut même imaginer une attaque simple, mais efficace : un e-mail de phishing ciblant un responsable de la CNSS. Un clic malheureux et l’accès de cette personne pourrait être compromis. Il est donc vraiment délicat de préciser une méthode unique sans une analyse technique poussée.

– Certains experts pointent une faille chez Oracle, et non précisément la CNSS…

-Des éléments suggèrent une possible implication d’Oracle. Récemment, une faille très critique concernant les systèmes Oracle a été annoncée sur le même forum. Ces annonces sont publiques et notoires.

Cependant, en tant qu’experts, nous ne pouvons pas affirmer catégoriquement quelle est la source de l’attaque. D’où l’impérative nécessité d’un travail de forensique numérique pour déterminer s’il s’agit d’une attaque directe contre le système de la CNSS, d’une compromission via une partie tierce comme Oracle, ou d’une autre voie.

Toutes les possibilités sont ouvertes et nécessitent une investigation approfondie. Il est vrai qu’une faille a été rendue publique concernant Oracle. Si elle n’a pas été corrigée à temps, la question de la responsabilité se pose. De plus, il est important de noter que la CNSS n’est pas la seule cible. Ces derniers mois, voire l’année dernière, on a observé une multiplication d’attaques directes visant diverses plateformes, notamment les services d’aide en ligne.

Affirmer avec certitude si la responsabilité incombe à Oracle ou à la CNSS me semble prématuré. Il y a clairement une tentative de jouer sur la question de la responsabilité. Pour trancher définitivement, une analyse par une tierce partie indépendante est indispensable. Elle seule pourra établir clairement les responsabilités et les causes de cette faille de sécurité.

– En se référant à des cas similaires, quelles sont les failles typiquement exploitées dans ce genre de situation ?

-Les failles couramment exploitées se situent au niveau des systèmes eux-mêmes. Il y a un travail préalable d’identification des systèmes utilisés par la cible. Ensuite, on recherche les vulnérabilités spécifiques à ces systèmes. Il faut savoir qu’il existe un véritable marché des vulnérabilités. Il n’y a pas de solution miracle en matière de sécurité. Si vous me donnez les noms des composants de protection utilisés par un organisme, je peux facilement rechercher les failles existantes, voire les acheter sur ce marché et les utiliser pour attaquer ces systèmes.

Nous avons vu cela même avec de grands noms de la sécurité comme Juniper ou Palo Alto. Leurs propres matériels de sécurité font l’objet de découvertes de vulnérabilités qui peuvent être achetées pour contourner leurs mécanismes de protection.

– Quel est le niveau de responsabilité de la CNSS dans cette affaire ?

-Pour déterminer le degré de responsabilité de la CNSS, une analyse approfondie ou une enquête forensique est indispensable. Une étude technique permettrait d’identifier la vulnérabilité exploitée et de déterminer qui est responsable : la CNSS elle-même, une partie tierce ? L’histoire récente nous montre des exemples de failles majeures, même aux États-Unis, où la responsabilité a été attribuée à un fournisseur de services externe. Le cas de SolarWinds en est une illustration.

Ce qui est stupéfiant, c’est que les données n’étaient pas cryptées

Concernant la CNSS, il est prématuré de désigner un responsable sans connaître la nature de l’attaque : était-ce une intrusion directe ou une compromission via un partenaire ? La CNSS porte une responsabilité inhérente, car elle doit sécuriser son propre système. Elle a également la charge d’assurer la sécurité, ou au moins de veiller à la sécurité de ses partenaires et de ses prestataires.

La question de la responsabilité est donc posée. Reste à définir son étendue : responsabilité directe, partielle, indirecte ? Seule une enquête technique rigoureuse pourra apporter des réponses précises.

– Comment prévenir ce type d’incidents à l’avenir ?

-Personnellement, une chose m’a stupéfié : les documents, comme les attestations de salariés, n’étaient pas cryptés. Ils étaient en clair. Même une personne en interne aurait pu facilement y accéder. Si un tiers, un partenaire par exemple, avait obtenu un accès illégitime, l’information était directement lisible. Le manque de cryptage des informations à la base est une observation frappante de cette faille.

De plus, on peut s’interroger sur la nécessité de stocker ces attestations sur un serveur. Elles devraient idéalement être gérées et générées à la volée, et vérifiées de la même manière. Générer, supprimer l’information…

L’information dans les bases de données n’était pas non plus cryptée, d’après les éléments disponibles. Il y a donc des questions légitimes sur la protection des données. Étaient-elles cryptées et l’attaquant a-t-il réussi à les décrypter ? Nous ne le savons pas avec certitude. Mais en analysant les informations partagées, il apparaît que les données étaient en clair. Il n’y avait pas de mesure de protection des données en soi. Or, le système de la CNSS est soumis à la loi 09-08 et à la loi 05-20 sur la cybersécurité, qui exigent la protection des informations, d’autant plus qu’il s’agit de données sensibles. Le salaire, par exemple, n’est pas une information publique.

Les informations relatives à la caisse, à l’entreprise, aux salariés et à leurs salaires sont des données sensibles qui, malheureusement, n’ont pas été protégées avec les mécanismes appropriés.

Il est important de souligner que la CNSS est une institution avec un héritage. Ses systèmes ont évolué sur une longue période. Ce ne sont pas des systèmes nouvellement mis en place. Ce sont généralement des systèmes anciens, et même avec des mises à jour récentes, un travail considérable reste à faire. On peut comprendre que les équipes en charge doivent parfois faire des compromis pour assurer la fluidité du service. Souvent, lorsqu’on cherche à fluidifier les services, on sacrifie un peu la sécurité. C’est une théorie que j’avance.

– Quel cadre légal s’applique à cette situation ?

-Sur le plan légal, deux lois principales encadrent ces aspects : la loi 09-08 relative à la protection des données personnelles et la loi 05-20 relative à la cybersécurité. L’objectif de la seconde est de renforcer la sécurité et la résilience des systèmes d’information des administrations de l’État, ce qui inclut la CNSS dans ce cas précis. Ces lois protègent effectivement les utilisateurs et imposent des obligations strictes à ces instances.

Des sanctions sont même prévues en cas de négligence avérée ou de défaut de notification à la CNDP. Une exonération partielle de responsabilité pour la CNSS est possible si elle parvient à prouver qu’il s’agissait d’une attaque sophistiquée, capable de déjouer toutes les mesures de sécurité raisonnables mises en place.

Cependant, je le répète, il est prématuré de tirer des conclusions hâtives. Il est impératif d’attendre les résultats d’une analyse forensique approfondie pour déterminer les articles de loi applicables et les éventuelles sanctions. La responsabilité de la CNSS demeure. Elle a l’obligation de sécuriser les données. Reste à établir si des erreurs ou des négligences ont été commises.

– Les victimes de ces fuites de données ont-elles des recours légaux ?

-Sur cette question, il est important de recueillir l’avis d’un avocat. Cependant, des voies existent. Il est possible de porter plainte auprès de la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) et de demander une enquête indépendante. Une action en justice civile pour obtenir des dommages et intérêts est également envisageable en cas de préjudice avéré. Par exemple, si une entreprise dont les informations ont été divulguées subit une perte financière directe à cause de cette fuite, elle pourrait potentiellement poursuivre la CNSS.

Néanmoins, comme je l’ai souligné, cela dépendra du degré de responsabilité de la CNSS. La responsabilité est-elle directe ? Implique-t-elle un acteur tiers ? S’agit-il d’une attaque « zéro-day » contre laquelle aucune protection n’était possible, car il s’agit d’une vulnérabilité totalement nouvelle ? Autant de questions qui influencent la possibilité de recours.

Je pense qu’en théorie, les victimes ont la possibilité de poursuivre la CNSS. Cependant, je doute que cela se produise à grande échelle. Nous avons vu des cas de fuites d’informations plus sensibles par le passé, comme des cartes d’identité ou des diplômes, et cela n’a pas entraîné de vagues de poursuites. Le type d’informations divulguées dans ce cas précis pourrait influencer la décision des victimes d’engager des actions légales.