Ce que révèle la plus grande fuite de données du Maroc sur la cybersécurité publique [Interview]

Parlons tout d'abord du contexte des cyberattaques contre le ministère de l'Emploi et la CNSS au Maroc. Quelles techniques les cybercriminels ont-ils utilisées pour infiltrer ces systèmes ?

Récemment, la Caisse Nationale de Sécurité Sociale (CNSS) et le ministère de l'Inclusion Économique du Maroc ont subi des cyberattaques qualifiées par les experts comme la plus grande fuite de données de l'histoire du pays.

D'après The Record et la société de cybersécurité Resecurity, ces attaques, attribuées au groupe de hackers algériens JabaRoot DZ, auraient exploité une vulnérabilité zero-day dans un système tiers basé sur Oracle. Cela leur aurait permis de pénétrer le réseau sans être détectés.

Une fois à l'intérieur, les hackers auraient contourné les mesures de sécurité internes pour accéder à de vastes quantités de données non cryptées. Au lieu de déployer un ransomware pour demander une rançon, ils ont discrètement exfiltré les données pour les diffuser sur Telegram. L'absence de demande de rançon et la nature stratégique de la fuite suggèrent un possible motif politique, bien que des conclusions définitives nécessitent des confirmations officielles.

La CNSS avait été mise en garde sur sa cybersécurité défaillante. Maintenant que les informations salariales de deux millions de personnes ont été divulguées, comment cela aurait-il pu être évité ?

Ce qui rend cette violation particulièrement préoccupante, c'est qu'elle n'était pas la première. En 2020, un incident similaire avait révélé les données personnelles de plus de 3,5 millions d'utilisateurs en raison d'un point d'accès non sécurisé (révelé par Yabiladi, ndlr). Malgré cet avertissement, plusieurs failles ont persisté, notamment en matière de contrôle d'accès, de pratiques de cryptage et de gestion des systèmes tiers.

Cet incident souligne l'urgence de moderniser et de renforcer les mesures de cybersécurité dans l'infrastructure numérique critique du Maroc. Avec des pratiques bien établies, telles que le chiffrement de bout en bout, une architecture de confiance zéro, des mises à jour régulières et une détection des menaces en temps réel, les risques auraient pu être considérablement réduits. Comme pour de nombreux systèmes publics à travers le monde, cette violation met en lumière l'importance de faire de la cybersécurité une priorité stratégique nationale.

Ces cyberattaques ont été revendiquées par des hackers algériens, répondant à des piratages de hackers marovains. Comment décririez-vous cette cyberguerre aux motivations politiques ?

Ces incidents récents ne sont pas isolés ; ils s'inscrivent dans un schéma de plus en plus visible d'opérations cybernétiques mutuelles entre des acteurs non étatiques en Algérie et au Maroc. Ce que nous observons est une forme de conflit cybernétique asymétrique non déclaré, où des groupes de hackers alignés sur des récits nationaux mènent des attaques reflétant des tensions géopolitiques plus larges.

Cette dynamique de représailles s'est clairement intensifiée ces dernières années. Ce qui a commencé par des actes symboliques, comme le défacement de sites Web, a évolué vers des violations de données à fort impact touchant des millions de citoyens. Si ce cycle d'escalade continue sans contrôle, des attaques pourraient cibler des infrastructures critiques : réseaux électriques, systèmes financiers, télécommunications ou réseaux de transport.

Bien que ces actions soient souvent présentées comme des actes de groupes non officiels, les conséquences stratégiques sont réelles. Cela souligne l'urgence d'une diplomatie cybernétique régionale, de normes numériques transfrontalières plus robustes et d'une résilience cybernétique nationale pour éviter que ces opérations ne déclenchent une instabilité plus large.

Quelles sont vos recommandations immédiates pour aborder cette situation rapidement et efficacement ?

Cette violation doit être traitée à la fois comme un risque pour la sécurité nationale et comme un appel à une réforme longtemps attendue. À court terme, les autorités devraient agir sur plusieurs fronts urgents.

1- Elles doivent contenir les dommages en surveillant où les données divulguées se propagent et travailler avec les plateformes pour restreindre leur circulation. La Commission Nationale de Protection des Données Personnelles (CNDP) a déjà mis en garde contre l'utilisation non autorisée ; ce message doit être appliqué.

2- Les institutions publiques marocaines doivent mener un audit complet de sécurité des systèmes critiques, en particulier là où des logiciels tiers sont impliqués. Corriger les vulnérabilités connues, renforcer les protocoles d'authentification et déployer des systèmes de détection continue des menaces sont des priorités immédiates.

3- La sensibilisation à la cybersécurité auprès de tout le personnel gouvernemental doit être considérablement améliorée. L'ingénierie sociale et le phishing restent les points d'entrée les plus courants pour les attaquants. La formation, les exercices de simulation d'attaque et l'application des politiques doivent tous être intensifiés.

4- Les autorités devraient envisager de s'engager avec des experts internationaux en cybersécurité pour aider à renforcer l'infrastructure numérique du pays et s'assurer que les meilleures pratiques sont mises en œuvre sans délai.

5- Ce schéma d'escalade des représailles cybernétiques entre acteurs non étatiques dans la région appelle à l'établissement de cadres diplomatiques régionaux autour des normes cybernétiques et de la résilience numérique partagée. Sans mécanismes de réponse coordonnée, les risques de perturbation et d'escalade ne feront que croître.

Comment ces cyberattaques impactent-elles la confiance du public dans les institutions gouvernementales, notamment en ce qui concerne la protection des données et les services numériques ?

Cette violation a eu un impact significatif sur la confiance du public. Lorsqu'une institution comme la CNSS, responsable des pensions, de la couverture santé et des prestations sociales, est compromise à ce point, cela jette le doute sur la sécurité de tous les services publics numériques. Les citoyens s'inquiètent à juste titre du vol d'identité, de la fraude et de la manière dont leurs informations les plus sensibles sont gérées.

Mais cela va au-delà d'une seule violation. Cela expose un problème systémique : la centralisation. Lorsque la sécurité dépend d'un point de défaillance unique, toute l'infrastructure devient fragile. Une fois que cette porte unique est forcée, tout ce qui se trouve derrière est exposé. C'est précisément ce qui s'est passé.

Pour rétablir la confiance, le Maroc doit aller au-delà des solutions à court terme. Le pays doit repenser les fondations de son approche en matière de cybersécurité. Les architectures de cybersécurité décentralisées remplacent les goulets d'étranglement centralisés par un réseau de nœuds interconnectés qui valident, isolent et répondent aux menaces de manière autonome.

Si un tel système avait été en place, l'impact aurait été considérablement réduit. Les systèmes compromis auraient pu être automatiquement mis en quarantaine, les données sensibles seraient restées cryptées et illisibles, et les services essentiels auraient pu continuer à fonctionner en toute sécurité même sous attaque.

Cela n'est pas théorique. Dans la pratique, les modèles de cybersécurité décentralisés ont déjà bloqué des milliards de menaces, détectant et neutralisant les anomalies avant qu'elles ne causent des dommages. Ils créent des écosystèmes numériques souverains et auto-réparateurs qui deviennent plus résilients à chaque tentative de violation.