img_pub
Rubriques
Publicité
Publicité
Dossier Cet article est issu du dossier «CNSS Leaks» Voir tout le sommaire
SOCIETE

Cyberattaque contre la CNSS : l'éclairage préliminaire de Badr Bellaj, expert en sécurité des systèmes distribués

"Un travail de forensique numérique est nécessaire pour déterminer s'il s'agit d'une attaque directe contre le système de la CNSS, d'une compromission via une partie tierce comme Oracle, ou d'une autre voie". L'expert Badr Bellaj décrypte pour Médias24 la cyberattaque ayant visé la CNSS.

Cyberattaque contre la CNSS : l'éclairage préliminaire de Badr Bellaj, expert en sécurité des systèmes distribués
Par
Le 9 avril 2025 à 13h52 | Modifié 10 avril 2025 à 18h19

Le spectre d'une violation de données d'une ampleur inédite plane sur le Maroc. Des informations personnelles concernant des centaines de milliers d'entreprises et de leurs employés, issues de la CNSS, se retrouvent exposées sur le Web.

À ce stade, nos vérifications ont permis de constater que ces données, encore disponibles sur Telegram, recensent les informations de 499.881 entreprises. Plus de 53.000 fichiers PDF contiennent les listes d'employés avec leurs salaires déclarés. Près de 2 millions de salariés sont concernés par cette fuite d'informations personnelles.

À l'heure actuelle, aucune réaction officielle n'a été enregistrée. L'opinion publique attend des éclaircissements sur l'ampleur de l'incident. La réponse des autorités face à cette attaque de grande envergure est également scrutée. Qui en sont les responsables ? Quelles méthodes ont-ils employées ? Quelles failles ont été exploitées ? Surtout, qui assumera la responsabilité de ce grave assaut contre les données personnelles ? Pour répondre à ces questions, Médias24 a interrogé à chaud Badr Bellaj, expert en sécurité des systèmes distribués.

Médias24 : Quelles sont, à ce stade, les premières informations dont nous disposons concernant cette attaque ? Pouvez-vous dresser un diagnostic préliminaire de la situation ?

Badr Bellaj : La fuite de données révèle que l’attaquant a pu, pendant une période indéterminée, collecter des informations depuis le système de la CNSS. L’accès au système aurait été obtenu via une faille d’injection SQL ou une exécution de code à distance.

L’analyse des données partagées confirme leur authenticité et indique qu’elles couvrent la période de novembre-décembre 2024. Cette extraction s’est déroulée de manière progressive, suggérant une opération prolongée et méthodique.

Parmi les données compromises figurent des informations sensibles telles que les numéros d’identification, les CIN, les coordonnées téléphoniques, les numéros de comptes bancaires, les adresses e-mail, les RIB, ainsi que les salaires des employés. Ces éléments, notamment les rémunérations, ne relèvent pas du domaine public et leur divulgation représente une grave atteinte à la vie privée. Les données relatives à la caisse, aux entreprises affiliées et à leurs salariés n’ont manifestement pas bénéficié des protections requises.

La CNSS, institution au patrimoine administratif et technique ancien, a vu ses systèmes évoluer progressivement. Consciente des enjeux actuels, elle a récemment lancé un projet de refonte de sa gouvernance des données. Cette initiative vise à aligner ses pratiques avec les standards de sécurité et les réglementations en vigueur, notamment la loi 09-08 sur la protection des données, la loi 05-20 relative à la cybersécurité, et la Directive Nationale de Sécurité des Systèmes d’Information (DNSSI).

Cet incident souligne un avertissement crucial : malgré les efforts pour sécuriser les infrastructures et corriger les vulnérabilités ponctuelles, des failles résiduelles peuvent encore conduire à des compromissions majeures.

- Quels sont les procédés utilisés dans cette attaque ?

-La méthode utilisée pour cette intrusion reste une question ouverte. À ce stade, nous n'avons aucune information précise sur le déroulement de l'attaque. Une telle opération peut emprunter de multiples voies.

C'est comparable à un cambriolage. Plusieurs scénarios sont possibles. L'attaquant a-t-il utilisé le phishing ? A-t-il mené une attaque directe contre le système ? Nous manquons réellement d'indices. A-t-il exploité une vulnérabilité connue ? Y a-t-il eu une fuite via un prestataire tiers ?

Nous n'avons pas d'informations concrètes. C'est là qu'un travail de forensique numérique est indispensable pour identifier la source ou la vulnérabilité à l'origine de cette faille.

Il est important de noter, et c'est une information préliminaire, que la CNSS vient de déployer un nouveau système de gouvernance des données. Ce système a nécessité un travail conséquent, en principe conforme aux lois et aux standards en vigueur. Un travail de forensique est donc nécessaire pour déterminer l'origine exacte de cette attaque.

Les principales pistes sur les failles exploitées

- Pouvez-vous nous éclairer sur les failles exploitées par les assaillants ?

-Une réponse précise reste difficile à ce stade. Une analyse approfondie de l'infrastructure et des logs serait nécessaire. Cependant, plusieurs pistes peuvent être envisagées.

Généralement, des vulnérabilités peuvent être exploitées par une attaque directe. Cela signifie que le système lui-même pourrait être vulnérable. Par exemple, les bases de données ou les systèmes de protection de la CNSS pourraient présenter des failles, ne pas être à jour. Un attaquant pourrait alors utiliser une de ces vulnérabilités pour contourner toutes les mesures de sécurité en place.

Une autre possibilité est de passer par une partie tierce, un prestataire de services. Oracle, par exemple, a récemment connu un problème d'authentification, annoncé en mars, si je ne m'abuse. Une porte d'entrée pourrait donc se situer au niveau d'un de ces partenaires. On peut même imaginer une attaque simple, mais efficace : un e-mail de phishing ciblant un responsable de la CNSS. Un clic malheureux et l'accès de cette personne pourrait être compromis. Il est donc vraiment délicat de préciser une méthode unique sans une analyse technique poussée.

- Certains experts pointent une faille chez Oracle, et non précisément la CNSS...

-Des éléments suggèrent une possible implication d'Oracle. Récemment, une faille très critique concernant les systèmes Oracle a été annoncée sur le même forum. Ces annonces sont publiques et notoires.

Cependant, en tant qu'experts, nous ne pouvons pas affirmer catégoriquement quelle est la source de l'attaque. D'où l'impérative nécessité d'un travail de forensique numérique pour déterminer s'il s'agit d'une attaque directe contre le système de la CNSS, d'une compromission via une partie tierce comme Oracle, ou d'une autre voie.

Toutes les possibilités sont ouvertes et nécessitent une investigation approfondie. Il est vrai qu'une faille a été rendue publique concernant Oracle. Si elle n'a pas été corrigée à temps, la question de la responsabilité se pose. De plus, il est important de noter que la CNSS n'est pas la seule cible. Ces derniers mois, voire l'année dernière, on a observé une multiplication d'attaques directes visant diverses plateformes, notamment les services d'aide en ligne.

Affirmer avec certitude si la responsabilité incombe à Oracle ou à la CNSS me semble prématuré. Il y a clairement une tentative de jouer sur la question de la responsabilité. Pour trancher définitivement, une analyse par une tierce partie indépendante est indispensable. Elle seule pourra établir clairement les responsabilités et les causes de cette faille de sécurité.

- En se référant à des cas similaires, quelles sont les failles typiquement exploitées dans ce genre de situation ?

-Les failles couramment exploitées se situent au niveau des systèmes eux-mêmes. Il y a un travail préalable d'identification des systèmes utilisés par la cible. Ensuite, on recherche les vulnérabilités spécifiques à ces systèmes. Il faut savoir qu'il existe un véritable marché des vulnérabilités. Il n'y a pas de solution miracle en matière de sécurité. Si vous me donnez les noms des composants de protection utilisés par un organisme, je peux facilement rechercher les failles existantes, voire les acheter sur ce marché et les utiliser pour attaquer ces systèmes.

Nous avons vu cela même avec de grands noms de la sécurité comme Juniper ou Palo Alto. Leurs propres matériels de sécurité font l'objet de découvertes de vulnérabilités qui peuvent être achetées pour contourner leurs mécanismes de protection.

- Quel est le niveau de responsabilité de la CNSS dans cette affaire ?

-Pour déterminer le degré de responsabilité de la CNSS, une analyse approfondie ou une enquête forensique est indispensable. Une étude technique permettrait d'identifier la vulnérabilité exploitée et de déterminer qui est responsable : la CNSS elle-même, une partie tierce ? L'histoire récente nous montre des exemples de failles majeures, même aux États-Unis, où la responsabilité a été attribuée à un fournisseur de services externe. Le cas de SolarWinds en est une illustration.

Ce qui est stupéfiant, c'est que les données n'étaient pas cryptées

Concernant la CNSS, il est prématuré de désigner un responsable sans connaître la nature de l'attaque : était-ce une intrusion directe ou une compromission via un partenaire ? La CNSS porte une responsabilité inhérente, car elle doit sécuriser son propre système. Elle a également la charge d'assurer la sécurité, ou au moins de veiller à la sécurité de ses partenaires et de ses prestataires.

La question de la responsabilité est donc posée. Reste à définir son étendue : responsabilité directe, partielle, indirecte ? Seule une enquête technique rigoureuse pourra apporter des réponses précises.

- Comment prévenir ce type d'incidents à l'avenir ?

-Personnellement, une chose m'a stupéfié : les documents, comme les attestations de salariés, n'étaient pas cryptés. Ils étaient en clair. Même une personne en interne aurait pu facilement y accéder. Si un tiers, un partenaire par exemple, avait obtenu un accès illégitime, l'information était directement lisible. Le manque de cryptage des informations à la base est une observation frappante de cette faille.

De plus, on peut s'interroger sur la nécessité de stocker ces attestations sur un serveur. Elles devraient idéalement être gérées et générées à la volée, et vérifiées de la même manière. Générer, supprimer l'information...

L'information dans les bases de données n'était pas non plus cryptée, d'après les éléments disponibles. Il y a donc des questions légitimes sur la protection des données. Étaient-elles cryptées et l'attaquant a-t-il réussi à les décrypter ? Nous ne le savons pas avec certitude. Mais en analysant les informations partagées, il apparaît que les données étaient en clair. Il n'y avait pas de mesure de protection des données en soi. Or, le système de la CNSS est soumis à la loi 09-08 et à la loi 05-20 sur la cybersécurité, qui exigent la protection des informations, d'autant plus qu'il s'agit de données sensibles. Le salaire, par exemple, n'est pas une information publique.

Les informations relatives à la caisse, à l'entreprise, aux salariés et à leurs salaires sont des données sensibles qui, malheureusement, n'ont pas été protégées avec les mécanismes appropriés.

Il est important de souligner que la CNSS est une institution avec un héritage. Ses systèmes ont évolué sur une longue période. Ce ne sont pas des systèmes nouvellement mis en place. Ce sont généralement des systèmes anciens, et même avec des mises à jour récentes, un travail considérable reste à faire. On peut comprendre que les équipes en charge doivent parfois faire des compromis pour assurer la fluidité du service. Souvent, lorsqu'on cherche à fluidifier les services, on sacrifie un peu la sécurité. C'est une théorie que j'avance.

- Quel cadre légal s'applique à cette situation ?

-Sur le plan légal, deux lois principales encadrent ces aspects : la loi 09-08 relative à la protection des données personnelles et la loi 05-20 relative à la cybersécurité. L'objectif de la seconde est de renforcer la sécurité et la résilience des systèmes d'information des administrations de l'État, ce qui inclut la CNSS dans ce cas précis. Ces lois protègent effectivement les utilisateurs et imposent des obligations strictes à ces instances.

Des sanctions sont même prévues en cas de négligence avérée ou de défaut de notification à la CNDP. Une exonération partielle de responsabilité pour la CNSS est possible si elle parvient à prouver qu'il s'agissait d'une attaque sophistiquée, capable de déjouer toutes les mesures de sécurité raisonnables mises en place.

Cependant, je le répète, il est prématuré de tirer des conclusions hâtives. Il est impératif d'attendre les résultats d'une analyse forensique approfondie pour déterminer les articles de loi applicables et les éventuelles sanctions. La responsabilité de la CNSS demeure. Elle a l'obligation de sécuriser les données. Reste à établir si des erreurs ou des négligences ont été commises.

- Les victimes de ces fuites de données ont-elles des recours légaux ?

-Sur cette question, il est important de recueillir l'avis d'un avocat. Cependant, des voies existent. Il est possible de porter plainte auprès de la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) et de demander une enquête indépendante. Une action en justice civile pour obtenir des dommages et intérêts est également envisageable en cas de préjudice avéré. Par exemple, si une entreprise dont les informations ont été divulguées subit une perte financière directe à cause de cette fuite, elle pourrait potentiellement poursuivre la CNSS.

Néanmoins, comme je l'ai souligné, cela dépendra du degré de responsabilité de la CNSS. La responsabilité est-elle directe ? Implique-t-elle un acteur tiers ? S'agit-il d'une attaque "zéro-day" contre laquelle aucune protection n'était possible, car il s'agit d'une vulnérabilité totalement nouvelle ? Autant de questions qui influencent la possibilité de recours.

Je pense qu'en théorie, les victimes ont la possibilité de poursuivre la CNSS. Cependant, je doute que cela se produise à grande échelle. Nous avons vu des cas de fuites d'informations plus sensibles par le passé, comme des cartes d'identité ou des diplômes, et cela n'a pas entraîné de vagues de poursuites. Le type d'informations divulguées dans ce cas précis pourrait influencer la décision des victimes d'engager des actions légales.

Lire aussi

Si vous voulez que l'information se rapproche de vous Suivez la chaîne Médias24 sur WhatsApp
© Médias24. Toute reproduction interdite, sous quelque forme que ce soit, sauf autorisation écrite de la Société des Nouveaux Médias. Ce contenu est protégé par la loi et notamment loi 88-13 relative à la presse et l’édition ainsi que les lois 66.19 et 2-00 relatives aux droits d’auteur et droits voisins.
Par
Le 9 avril 2025 à 13h52
SOMMAIRE DU DOSSIER
Chargement...
Le forum à l'origine des fuites de la CNSS hors ligne : panne technique ou honeypot créé par le FBI ?


Chargement...
Cybersécurité : les risques et les moyens de protection après une fuite de données (avocate)


Chargement...
“Il sera très difficile d'identifier les auteurs de l’attaque contre la CNSS” (Xavier Raufer)


Chargement...
Cybersécurité. La Conservation foncière suspend ses services électroniques pour quelques jours


Chargement...
La CNSS annonce un renforcement de ses mesures de sécurité


Chargement...
La cyberattaque contre la CNSS décryptée en 10 points clés


Chargement...
Cyberattaque contre la CNSS. Responsabilité, recours des victimes... L'éclairage de Me Khadija Zoulali


Chargement...
Victime de hackers, la CNSS avait pourtant passé cinq marchés de cybersécurité depuis un an


Chargement...
Cyberattaque contre la CNSS. “Télécharger, stocker ou exploiter les données fuitées sans consentement est illégal” (avocat)


Chargement...
Le gouvernement réagit aux cyberattaques ayant ciblé le ministère de l'Emploi et la CNSS


Chargement...
Attaque cybernétique contre la CNSS : la CNDP met en garde contre l’utilisation des données personnelles obtenues illégalement


Chargement...
Attaque cybernétique contre la CNSS : les premières vérifications ont permis de relever certains documents faux, inexacts ou tronqués (communiqué)


Chargement...
Cyberattaque contre la CNSS : la réaction à chaud de Seghrouchni (CNDP)


Chargement...
Cyberattaque contre la CNSS : l'éclairage préliminaire de Badr Bellaj, expert en sécurité des systèmes distribués


Chargement...
Ce que l’on sait de la cyberattaque ayant ciblé le ministère de l'Emploi et la CNSS


à lire aussi

Bourse de Casablanca : les minières sauvent un semestre marqué par la correction du marché (bilan)
Actus

Article : Bourse de Casablanca : les minières sauvent un semestre marqué par la correction du marché (bilan)

Après un semestre marqué par une correction du marché, quelles valeurs ont résisté ? Quels secteurs ont tiré leur épingle du jeu ? Et où les investisseurs ont-ils concentré leurs échanges ? Voici le bilan des six premiers mois de 2026 à la Bourse de Casablanca à travers les principales performances de la cote.

Textile : le déficit de main-d’œuvre dans la confection pèse sur les exportations
Textiles

Article : Textile : le déficit de main-d’œuvre dans la confection pèse sur les exportations

Les exportations textiles reculent de 9,1% à fin mai 2026, une baisse que les perturbations logistiques du premier trimestre ne suffisent plus à expliquer. L’aggravation de la baisse en avril et mai montre que le problème dépasse désormais le seul facteur logistique. La cause principale est aujourd’hui le déficit de main-d’œuvre, qui pèse directement sur la production, les délais de livraison et la capacité des entreprises à honorer leurs commandes.

Traitement de l'eau. Le britannique Hydro Industries s'implante au Maroc avec Hydro Services Morocco
BUSINESS

Article : Traitement de l'eau. Le britannique Hydro Industries s'implante au Maroc avec Hydro Services Morocco

Le britannique Hydro Industries Limited s’implante au Maroc avec la création de Hydro Services Morocco, une SAS au capital de 1 MDH dédiée aux métiers du traitement de l’eau, de l’assainissement et du dessalement.

Le Maroc face au choix du Rafale : les clés d'un arbitrage géopolitique contre le tout-américain
Defense

Article : Le Maroc face au choix du Rafale : les clés d'un arbitrage géopolitique contre le tout-américain

Si la volonté d'éviter une dépendance exclusive envers les États-Unis est réelle, l'équation budgétaire et le défi du nombre face à la flotte d'Alger imposent un examen attentif des réalités du terrain.

Maroc-Chine : en attendant le Sahara, la relation bilatérale économique s'accélère
NATION

Article : Maroc-Chine : en attendant le Sahara, la relation bilatérale économique s'accélère

Dix ans après l'établissement d’un partenariat stratégique entre Rabat et Pékin au cours de la visite royale en Chine en 2016, l’ambassadrice chinoise au Maroc a célébré cet événement en déclarant que les relations économiques bilatérales ont connu une progression exceptionnelle. Si les perspectives industrielles et touristiques apparaissent plus que prometteuses, la question d'une éventuelle reconnaissance chinoise de la marocanité du Sahara au Conseil de sécurité de l'ONU demeure toujours entourée de précautions diplomatiques. Explications.

IDE : le flux net progresse de 41,8% à fin mai 2026
Quoi de neuf

Article : IDE : le flux net progresse de 41,8% à fin mai 2026

Les investissements directs étrangers (IDE) au Maroc poursuivent leur progression à fin mai 2026. Porté par une hausse des recettes et un recul des dépenses, leur flux net atteint 23.319 MDH, en hausse de 41,8% par rapport à la même période de 2025. Dans le même temps, les investissements directs marocains à l’étranger (IDME) enregistrent également une nette progression.

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.

Toute l'actualité