Tweet
Données de millions de citoyens et d’entreprises exposées : le Maroc est frappé par une cyberattaque d’ampleur inédite. Retour sur cette affaire sensible.
Mardi 8 avril 2025. Rien ne laissait présager que cette journée allait marquer un tournant numérique au Maroc. Pourtant, au fil des heures, les alertes se multiplient : plusieurs internautes signalent l'impossibilité d'accéder au site officiel de la Caisse nationale de sécurité sociale (CNSS), pilier central du système de protection sociale du royaume chérifien. En parallèle, des dysfonctionnements commencent à se multiplier sur le portail du ministère marocain de l'Emploi. En coulisses, les premières équipes informatiques s'agitent : il ne s'agit pas d'une simple panne. Très vite, le scénario d'une cyberattaque ciblée se dessine. Et la confirmation ne tarde pas : quelques heures plus tard, un message publié sur Telegram, plateforme prisée des groupes de hackers, annonce que ces institutions marocaines ont bel et bien été piratées.
Le message est signé par un groupe jusqu'alors inconnu, se présentant sous le nom de « Jabaroot DZ ». Se revendiquant d'Algérie, les pirates affirment avoir exfiltré une quantité massive de données à caractère personnel depuis les bases de la CNSS et du ministère. Très vite, ils commencent à publier des documents confidentiels, contenant noms, adresses, salaires, numéros de sécurité sociale et des cartes d'identité de milliers d'assurés. Le volume de données diffusé est inédit au Maroc.
Selon les recoupements de la presse nationale, plus de deux millions de profils individuels ont été compromis, provenant de près de 500 000 entités, allant de grandes entreprises à des institutions publiques, des ONG, des partis politiques, et même des représentations diplomatiques. Cette fuite massive n'a pas seulement exposé des citoyens anonymes, mais aussi de nombreuses figures influentes du pays : des dirigeants de Royal Air Maroc, Attijariwafa Bank ou Sanofi, la fille du Premier ministre Aziz Akhannouch, des employés de la holding royale Siger, ou encore des agents du bureau de liaison israélien à Rabat.
Que révèle la cyberattaque sur les failles numériques de l'institution stratégique CNSS ?
Les données piratées lors de cette cyberattaque sont d'une sensibilité extrême, et leur ampleur en fait l'un des plus graves incidents de cybersécurité jamais enregistrés au Maroc. Dans la foulée, une enquête approfondie du Desk a dévoilé que le Plan de continuité d'activité (PCA), censé assurer la résilience des opérations en cas de crise, n'était tout simplement pas encore opérationnel au moment de l'infiltration. Confié au cabinet PwC Advisory en octobre 2024, ce dispositif devait entrer en fonction au printemps 2025, soit plusieurs mois après que les hackers ont commencé à siphonner les données.
Pire encore, selon nos confrères du Desk, le système de détection en temps réel, le Security Operations Center (SOC), confié à l'entreprise marocaine Dataprotect, s'est révélé totalement inefficace. Le média marocain rapporte que des simulations réalisées après l'attaque ont montré que le SOC « ne voyait rien », faute d'une intégration sur mesure et de mises à jour adaptées aux besoins spécifiques de la CNSS. Il s'agirait, d'après les sources internes citées, d'une solution générique revendue et mal configurée, offrant une sécurité davantage cosmétique qu'efficace.
Cette superficialité technique ne s'arrête pas là : les audits de sécurité (PenTests), censés vérifier la résistance des systèmes, étaient eux aussi automatisés et peu fiables. L'enquête du Desk pointe aussi une autre faiblesse structurelle : la CNSS avait recours à un millefeuille de prestataires informatiques aux missions parfois floues et chevauchantes. De Netcom Technologies à Modcoc en passant par HTBS ou Forum International, les couches de sécurité s'empilaient sans véritable coordination. Cette complexité organisationnelle, associée à une logique de marchés publics favorisant les offres les moins chères au détriment de la qualité, a contribué à créer une infrastructure numérique incohérente et vulnérable.
Au-delà du voyeurisme social que ces révélations ont déclenché, l'intrusion soulève de lourdes questions sur la confidentialité des données, le respect de la vie privée, et la capacité des institutions marocaines à protéger des informations aussi sensibles.
Qui sont les auteurs de la cyberattaque ?
L'attaque contre la CNSS et plusieurs ministères marocains a été revendiquée, dans un premier temps, par un groupe se faisant appeler « Jabaroot DZ », inconnu jusque-là, et se réclamant d'Algérie. Dès le 8 avril, les hackers ont publié un message sur Telegram, plateforme de messagerie chiffrée largement utilisée dans les milieux cyberactivistes, revendiquant la responsabilité de l'infiltration et justifiant leur action comme une riposte à ce qu'ils décrivent comme un « harcèlement numérique des institutions algériennes par des acteurs marocains ». Le message, volontairement provocateur, annonce également que de nouvelles fuites auront lieu si le Maroc poursuit ses « actions hostiles » envers l'Algérie.
Cette justification s'inscrit dans un contexte géopolitique très tendu entre Rabat et Alger. Depuis la rupture des relations diplomatiques en 2021, les deux pays se livrent une guerre d'influence sur plusieurs fronts, notamment autour du dossier du Sahara occidental, un sujet hautement stratégique pour Rabat. Or, l'attaque informatique a été lancée le jour même où les États-Unis ont réaffirmé leur reconnaissance de la souveraineté marocaine sur le Sahara, une coïncidence jugée « suspecte » par les autorités marocaines. Pour le gouvernement, cette attaque ne peut être interprétée autrement que comme un acte politique délibéré destiné à ternir une avancée diplomatique majeure du royaume.
Quelques jours plus tard, dans la nuit du 12 au 13 avril, un second groupe baptisé « DDOS54 » entre à son tour dans l'arène numérique. Cette fois, il ne s'agit plus d'un vol de données, mais d'une série d'attaques par déni de service (DDoS) contre les sites de plusieurs ministères marocains, dont celui de l'Agriculture. Le mode opératoire est différent mais la logique reste la même : paralyser le fonctionnement des institutions marocaines pendant au moins deux semaines, selon leur communiqué diffusé, lui aussi, sur Telegram. Là encore, les auteurs se présentent comme des « patriotes algériens » défendant les intérêts de leur pays face à ce qu'ils considèrent comme des ingérences marocaines.
Face à ces attaques, des ripostes numériques ont émergé côté marocain. Un groupe appelé Phantom Atlas, se présentant comme proche des sphères patriotiques marocaines, a revendiqué des attaques contre des sites institutionnels algériens, quelques jours après le piratage de la CNSS. Si l'ampleur de ces contre-attaques reste modeste, elles marquent une escalade dans une guerre numérique à bas bruit entre les deux voisins du Maghreb.
Le Maroc découvre ainsi que les cyberattaques ne sont plus l'apanage de groupes criminels en quête de rançons ou d'exploitation financière. Elles peuvent désormais être hautement politisées, géostratégiques et instrumentalisées dans des conflits régionaux, où les données deviennent des leviers d'influence et de déstabilisation. L'affaire Jabaroot DZ s'apparente dès lors moins à une opération de hackers isolés qu'à un acte de cyberguerre symbolique, visant à frapper là où cela fait le plus mal : la confiance des citoyens dans leurs institutions.
Comment les autorités marocaines ont-elles réagi ?
Pendant que les pirates orchestrent leur campagne sur les canaux chiffrés, les institutions visées plongent dans un silence pesant. Le ministère de l'Emploi, lui, diffuse un communiqué très bref, niant que les documents en circulation relèvent de sa compétence, sans pour autant infirmer qu'il ait été visé. De son côté, la CNSS est restée mutique pendant plus de 24 heures, ce qui a alimenté les rumeurs et l'angoisse chez les assurés. « Le retard de la réaction, alors que les données personnelles de millions d'adhérents circulent sur Internet, ainsi que la mollesse de celle-ci, sans la moindre prise de responsabilité ni excuses publiques, soulèvent des questions sur la manière dont nos institutions communiquent en temps de crise », commente le quotidien marocain L'Opinion, dans un édito, qualifiant cette cyberattaque d'un test de communication raté.
Car, pour certains journalistes marocains la faille est aussi communicationnelle. « Au-delà de la vulnérabilité technique exploitée par les hackers, c'est l'impréparation sur le plan de la communication qui a transformé cette cyberattaque en crise de confiance. La séquence révèle une urgence : repenser en profondeur la communication des institutions marocaines à l'ère numérique », lit-on sur les colonnes de l'hebdomadaire marocain Telquel.
Le lendemain, mercredi 9 avril, le premier aveu officiel tombe : la CNSS reconnaît avoir été la cible d'une « série d'attaques cybernétiques ». Dans un communiqué, elle indique que ses équipes procèdent à des vérifications, sans livrer de détails sur la nature des brèches ni l'ampleur réelle de la fuite. Elle insiste néanmoins sur le fait que plusieurs documents diffusés seraient faux ou manipulés. Une réponse qui est loin d'être rassurante pour le directeur de publication de Telquel. « C'est en usant d'un mélange toxique de déni, de minimisation et de menaces voilées, que certains de nos responsables se sont adressés aux citoyens », fustige le journaliste dans son édito.
Cependant, l'affaire prend une dimension géopolitique quand le gouvernement marocain, par la voix de son porte-parole, Mustapha Baitas, a parlé d'actes « criminels », le 10 avril, lors du point de presse hebdomadaire, tout en insistant sur le timing suspect des attaques – survenues au moment même où les États-Unis réaffirmaient leur reconnaissance de la souveraineté marocaine sur le Sahara –, et déclare que la justice a été saisie.
Quels impacts et enseignements pour le Maroc après cette cyberattaque ?
Rarement une fuite d'informations n'avait eu un effet aussi immédiat sur la sphère publique, médiatique, économique et politique. À la différence des cyberattaques classiques visant à extorquer une rançon, celle-ci a provoqué une crise de confiance à large spectre, affectant aussi bien les citoyens que les institutions.
La divulgation de leurs rémunérations à six ou sept chiffres a immédiatement suscité une onde de choc dans la société marocaine, déjà marquée par des inégalités économiques criantes. « Cette affaire survient à un moment difficile, où l'inflation des prix des denrées alimentaires galope, où opposition et majorité se déchirent pour faire éclater (ou non) la vérité sur certains prix, où le moral est en berne et l'inquiétude sourd… », écrit le journaliste politique, Aziz Boucetta, sur le site d'information qu'il a fondé Panorapost.
Mais ce que révèle surtout cette attaque, c'est l'ampleur des failles dans la sécurité numérique d'une institution aussi stratégique que la CNSS. Abdelmalek Alaoui, essayiste et président du think tank Institut marocain d'intelligence stratégique, rappelle avec ironie, dans une tribune publiée sur le support économique Médias24, que le Maroc, qui « accueille avec faste le Gitex à Marrakech, vitrine de son soft power digital », vient d'essuyer l'attaque cyber « la plus grave de son histoire ». Si le policy paper, intitulé « Souveraineté numérique : pourquoi le Maroc ne peut y échapper », publié par l'IMIS, proposait, il y a un an, une gouvernance centralisée du secteur, Abdelmalek Alaoui, lui, rappelle que « dans l'architecture actuelle gouvernementale, ces responsabilités sont réparties entre plusieurs départements ». De quoi pousser certains responsables marocains à privilégier les résultats à court terme, au détriment des actions de fond.
Sur le plan institutionnel, cette affaire agit comme un signal d'alarme majeur. Certains observateurs appellent à former les responsables marocains en communication de crise. « Quant au gouvernement, offrir une formation professionnelle en communication de crise à ses membres ne serait pas un luxe », indique le géopolitologue, Rachid Achachi, dans sa chronique sur Le360, qualifiant la communication des ministres marocains « de nature à jeter de l'huile sur le feu, là où leur rôle est d'assumer leurs responsabilités et d'agir en conséquence ». Cette fuite a non seulement brisé un tabou social, mais elle a surtout révélé une vulnérabilité structurelle dans la gestion des données publiques au Maroc, comparée par certains à un « WikiLeaks marocain »", à la fois pour son ampleur et son impact politique et sociétal.
Le Point
Mardi 8 avril 2025. Rien ne laissait présager que cette journée allait marquer un tournant numérique au Maroc. Pourtant, au fil des heures, les alertes se multiplient : plusieurs internautes signalent l'impossibilité d'accéder au site officiel de la Caisse nationale de sécurité sociale (CNSS), pilier central du système de protection sociale du royaume chérifien. En parallèle, des dysfonctionnements commencent à se multiplier sur le portail du ministère marocain de l'Emploi. En coulisses, les premières équipes informatiques s'agitent : il ne s'agit pas d'une simple panne. Très vite, le scénario d'une cyberattaque ciblée se dessine. Et la confirmation ne tarde pas : quelques heures plus tard, un message publié sur Telegram, plateforme prisée des groupes de hackers, annonce que ces institutions marocaines ont bel et bien été piratées.
Le message est signé par un groupe jusqu'alors inconnu, se présentant sous le nom de « Jabaroot DZ ». Se revendiquant d'Algérie, les pirates affirment avoir exfiltré une quantité massive de données à caractère personnel depuis les bases de la CNSS et du ministère. Très vite, ils commencent à publier des documents confidentiels, contenant noms, adresses, salaires, numéros de sécurité sociale et des cartes d'identité de milliers d'assurés. Le volume de données diffusé est inédit au Maroc.
Selon les recoupements de la presse nationale, plus de deux millions de profils individuels ont été compromis, provenant de près de 500 000 entités, allant de grandes entreprises à des institutions publiques, des ONG, des partis politiques, et même des représentations diplomatiques. Cette fuite massive n'a pas seulement exposé des citoyens anonymes, mais aussi de nombreuses figures influentes du pays : des dirigeants de Royal Air Maroc, Attijariwafa Bank ou Sanofi, la fille du Premier ministre Aziz Akhannouch, des employés de la holding royale Siger, ou encore des agents du bureau de liaison israélien à Rabat.
Que révèle la cyberattaque sur les failles numériques de l'institution stratégique CNSS ?
Les données piratées lors de cette cyberattaque sont d'une sensibilité extrême, et leur ampleur en fait l'un des plus graves incidents de cybersécurité jamais enregistrés au Maroc. Dans la foulée, une enquête approfondie du Desk a dévoilé que le Plan de continuité d'activité (PCA), censé assurer la résilience des opérations en cas de crise, n'était tout simplement pas encore opérationnel au moment de l'infiltration. Confié au cabinet PwC Advisory en octobre 2024, ce dispositif devait entrer en fonction au printemps 2025, soit plusieurs mois après que les hackers ont commencé à siphonner les données.
Pire encore, selon nos confrères du Desk, le système de détection en temps réel, le Security Operations Center (SOC), confié à l'entreprise marocaine Dataprotect, s'est révélé totalement inefficace. Le média marocain rapporte que des simulations réalisées après l'attaque ont montré que le SOC « ne voyait rien », faute d'une intégration sur mesure et de mises à jour adaptées aux besoins spécifiques de la CNSS. Il s'agirait, d'après les sources internes citées, d'une solution générique revendue et mal configurée, offrant une sécurité davantage cosmétique qu'efficace.
Cette superficialité technique ne s'arrête pas là : les audits de sécurité (PenTests), censés vérifier la résistance des systèmes, étaient eux aussi automatisés et peu fiables. L'enquête du Desk pointe aussi une autre faiblesse structurelle : la CNSS avait recours à un millefeuille de prestataires informatiques aux missions parfois floues et chevauchantes. De Netcom Technologies à Modcoc en passant par HTBS ou Forum International, les couches de sécurité s'empilaient sans véritable coordination. Cette complexité organisationnelle, associée à une logique de marchés publics favorisant les offres les moins chères au détriment de la qualité, a contribué à créer une infrastructure numérique incohérente et vulnérable.
Au-delà du voyeurisme social que ces révélations ont déclenché, l'intrusion soulève de lourdes questions sur la confidentialité des données, le respect de la vie privée, et la capacité des institutions marocaines à protéger des informations aussi sensibles.
Qui sont les auteurs de la cyberattaque ?
L'attaque contre la CNSS et plusieurs ministères marocains a été revendiquée, dans un premier temps, par un groupe se faisant appeler « Jabaroot DZ », inconnu jusque-là, et se réclamant d'Algérie. Dès le 8 avril, les hackers ont publié un message sur Telegram, plateforme de messagerie chiffrée largement utilisée dans les milieux cyberactivistes, revendiquant la responsabilité de l'infiltration et justifiant leur action comme une riposte à ce qu'ils décrivent comme un « harcèlement numérique des institutions algériennes par des acteurs marocains ». Le message, volontairement provocateur, annonce également que de nouvelles fuites auront lieu si le Maroc poursuit ses « actions hostiles » envers l'Algérie.
Cette justification s'inscrit dans un contexte géopolitique très tendu entre Rabat et Alger. Depuis la rupture des relations diplomatiques en 2021, les deux pays se livrent une guerre d'influence sur plusieurs fronts, notamment autour du dossier du Sahara occidental, un sujet hautement stratégique pour Rabat. Or, l'attaque informatique a été lancée le jour même où les États-Unis ont réaffirmé leur reconnaissance de la souveraineté marocaine sur le Sahara, une coïncidence jugée « suspecte » par les autorités marocaines. Pour le gouvernement, cette attaque ne peut être interprétée autrement que comme un acte politique délibéré destiné à ternir une avancée diplomatique majeure du royaume.
Quelques jours plus tard, dans la nuit du 12 au 13 avril, un second groupe baptisé « DDOS54 » entre à son tour dans l'arène numérique. Cette fois, il ne s'agit plus d'un vol de données, mais d'une série d'attaques par déni de service (DDoS) contre les sites de plusieurs ministères marocains, dont celui de l'Agriculture. Le mode opératoire est différent mais la logique reste la même : paralyser le fonctionnement des institutions marocaines pendant au moins deux semaines, selon leur communiqué diffusé, lui aussi, sur Telegram. Là encore, les auteurs se présentent comme des « patriotes algériens » défendant les intérêts de leur pays face à ce qu'ils considèrent comme des ingérences marocaines.
Face à ces attaques, des ripostes numériques ont émergé côté marocain. Un groupe appelé Phantom Atlas, se présentant comme proche des sphères patriotiques marocaines, a revendiqué des attaques contre des sites institutionnels algériens, quelques jours après le piratage de la CNSS. Si l'ampleur de ces contre-attaques reste modeste, elles marquent une escalade dans une guerre numérique à bas bruit entre les deux voisins du Maghreb.
Le Maroc découvre ainsi que les cyberattaques ne sont plus l'apanage de groupes criminels en quête de rançons ou d'exploitation financière. Elles peuvent désormais être hautement politisées, géostratégiques et instrumentalisées dans des conflits régionaux, où les données deviennent des leviers d'influence et de déstabilisation. L'affaire Jabaroot DZ s'apparente dès lors moins à une opération de hackers isolés qu'à un acte de cyberguerre symbolique, visant à frapper là où cela fait le plus mal : la confiance des citoyens dans leurs institutions.
Comment les autorités marocaines ont-elles réagi ?
Pendant que les pirates orchestrent leur campagne sur les canaux chiffrés, les institutions visées plongent dans un silence pesant. Le ministère de l'Emploi, lui, diffuse un communiqué très bref, niant que les documents en circulation relèvent de sa compétence, sans pour autant infirmer qu'il ait été visé. De son côté, la CNSS est restée mutique pendant plus de 24 heures, ce qui a alimenté les rumeurs et l'angoisse chez les assurés. « Le retard de la réaction, alors que les données personnelles de millions d'adhérents circulent sur Internet, ainsi que la mollesse de celle-ci, sans la moindre prise de responsabilité ni excuses publiques, soulèvent des questions sur la manière dont nos institutions communiquent en temps de crise », commente le quotidien marocain L'Opinion, dans un édito, qualifiant cette cyberattaque d'un test de communication raté.
Car, pour certains journalistes marocains la faille est aussi communicationnelle. « Au-delà de la vulnérabilité technique exploitée par les hackers, c'est l'impréparation sur le plan de la communication qui a transformé cette cyberattaque en crise de confiance. La séquence révèle une urgence : repenser en profondeur la communication des institutions marocaines à l'ère numérique », lit-on sur les colonnes de l'hebdomadaire marocain Telquel.
Le lendemain, mercredi 9 avril, le premier aveu officiel tombe : la CNSS reconnaît avoir été la cible d'une « série d'attaques cybernétiques ». Dans un communiqué, elle indique que ses équipes procèdent à des vérifications, sans livrer de détails sur la nature des brèches ni l'ampleur réelle de la fuite. Elle insiste néanmoins sur le fait que plusieurs documents diffusés seraient faux ou manipulés. Une réponse qui est loin d'être rassurante pour le directeur de publication de Telquel. « C'est en usant d'un mélange toxique de déni, de minimisation et de menaces voilées, que certains de nos responsables se sont adressés aux citoyens », fustige le journaliste dans son édito.
Cependant, l'affaire prend une dimension géopolitique quand le gouvernement marocain, par la voix de son porte-parole, Mustapha Baitas, a parlé d'actes « criminels », le 10 avril, lors du point de presse hebdomadaire, tout en insistant sur le timing suspect des attaques – survenues au moment même où les États-Unis réaffirmaient leur reconnaissance de la souveraineté marocaine sur le Sahara –, et déclare que la justice a été saisie.
Quels impacts et enseignements pour le Maroc après cette cyberattaque ?
Rarement une fuite d'informations n'avait eu un effet aussi immédiat sur la sphère publique, médiatique, économique et politique. À la différence des cyberattaques classiques visant à extorquer une rançon, celle-ci a provoqué une crise de confiance à large spectre, affectant aussi bien les citoyens que les institutions.
La divulgation de leurs rémunérations à six ou sept chiffres a immédiatement suscité une onde de choc dans la société marocaine, déjà marquée par des inégalités économiques criantes. « Cette affaire survient à un moment difficile, où l'inflation des prix des denrées alimentaires galope, où opposition et majorité se déchirent pour faire éclater (ou non) la vérité sur certains prix, où le moral est en berne et l'inquiétude sourd… », écrit le journaliste politique, Aziz Boucetta, sur le site d'information qu'il a fondé Panorapost.
Mais ce que révèle surtout cette attaque, c'est l'ampleur des failles dans la sécurité numérique d'une institution aussi stratégique que la CNSS. Abdelmalek Alaoui, essayiste et président du think tank Institut marocain d'intelligence stratégique, rappelle avec ironie, dans une tribune publiée sur le support économique Médias24, que le Maroc, qui « accueille avec faste le Gitex à Marrakech, vitrine de son soft power digital », vient d'essuyer l'attaque cyber « la plus grave de son histoire ». Si le policy paper, intitulé « Souveraineté numérique : pourquoi le Maroc ne peut y échapper », publié par l'IMIS, proposait, il y a un an, une gouvernance centralisée du secteur, Abdelmalek Alaoui, lui, rappelle que « dans l'architecture actuelle gouvernementale, ces responsabilités sont réparties entre plusieurs départements ». De quoi pousser certains responsables marocains à privilégier les résultats à court terme, au détriment des actions de fond.
Sur le plan institutionnel, cette affaire agit comme un signal d'alarme majeur. Certains observateurs appellent à former les responsables marocains en communication de crise. « Quant au gouvernement, offrir une formation professionnelle en communication de crise à ses membres ne serait pas un luxe », indique le géopolitologue, Rachid Achachi, dans sa chronique sur Le360, qualifiant la communication des ministres marocains « de nature à jeter de l'huile sur le feu, là où leur rôle est d'assumer leurs responsabilités et d'agir en conséquence ». Cette fuite a non seulement brisé un tabou social, mais elle a surtout révélé une vulnérabilité structurelle dans la gestion des données publiques au Maroc, comparée par certains à un « WikiLeaks marocain »", à la fois pour son ampleur et son impact politique et sociétal.
Le Point