ROUND UP. La cyberattaque ayant visé la CNSS a entraîné la fuite de données personnelles sensibles concernant près de deux millions de salariés. Au-delà du choc numérique, l’incident soulève des interrogations majeures sur la responsabilité juridique de l’institution, la légalité de l’usage de ces données, ainsi que l’ampleur des failles techniques révélées.

L’incident ne se limite pas à une simple fuite d’informations : il a entraîné de nombreux dommages collatéraux, allant de tensions au sein des entreprises touchées, jusqu’à la mise en cause possible de la responsabilité juridique de la CNSS.

Médias24 a couvert cette affaire dès ses premières heures, en croisant les regards d’experts spécialisés pour en décrypter toutes les dimensions.

Voici les faits résumés en 10 points :

1. Une fuite massive, sans précédent

Le 8 avril 2025, la CNSS a été victime d'une cyberattaque d'une ampleur inédite. Des hackers ont commencé à diffuser des fichiers contenant des données sensibles sur une chaîne Telegram nommée "JabarootDZ".

De grandes institutions et entreprises sont touchées. L’attaque a été revendiquée par un groupe se présentant comme algérien, affirmant agir en rétorsion à un prétendu piratage du compte X (anciennement Twitter) de l'Agence de presse algérienne (APS) par des Marocains. Les motivations avancées restent floues, mais les conséquences sont tangibles et graves.

Parmi les entités touchées figurent des institutions publiques et de grandes entreprises telles que AXA, Al Barid Bank, l’Agence nationale de sécurité du médicament, l’Institut national du service public, ainsi que des banques.

Il va sans dire et ceci a été rappelé le premier jour dans le seul communiqué attribué à la CNSS -et qui a été relayé par la MAP, qu'aucun des documents diffusés n'est à l'abri d'une manipulation.

2. Quelles sont les données qui ont fuité?

Selon les vérifications de Médias24, il s'agit d'un fichier compressé contenant un dossier et deux fichiers CSV:

1 dossier ATTESTATIONS SALARIES DECLARES.

1 fichier csv.

1 autre fichier csv.

Contenu du dossier "ATTESTATIONS SALARIES DECLARES".

Le dossier se nomme "ATTESTATIONS SALARIES DECLARES/" et contient 53.574 fichiers PDF. Chaque fichier pdf correspond à une "attestation des salariés déclarés" par une organisation (toutes formes juridiques confondues). Ce chiffre ne comprend pas de doublons.

Ces attestations contiennent les données suivantes :

Nom/Raison sociale

Activité exercée de l'entreprise

Adresse de l'entreprise

Ville de l'entreprise

N° d'affiliation de l'entreprise

Date d'affiliation de l'entreprise

Identifiant Commun de l’Entreprise

N° Registre de commerce de l’Entreprise

N° Taxe Professionnelle de l’Entreprise

Identifiant Fiscal de l’Entreprise ICE.

Forme Juridique de l’Entreprise

Chaque attestation inclut également :

Un tableau récapitulatif représentant la masse salariale par mois et le nombre de salariés.

Une liste nominative des salariés déclarés, contenant leurs : Numéro d'immatriculation CNSS. Nom et prénom. Nombre de jours travaillés. Salaire déclaré (en dirhams).



Contenu du fichier ADHERENTS.csv

Ce fichier, d’une taille de 322 Mo, regroupe les informations détaillées de 497.653 entités affiliées à la CNSS, notamment :

Raison sociale de l’entreprise.

Numéro d’affiliation CNSS.

Dates d’adhésion et d’affiliation.

Informations sur le représentant légal : Nom et prénom. CIN. Adresse e-mail. Numéro de téléphone.

Modalités de télépaiement (virement, DAB, etc.).

RIB complet.

État du compte (actif, suspendu…).

Code banque.

Date de création du compte bancaire.

Agence CNSS de rattachement.

Nom du mandataire si l’entreprise agit par procuration.

Contenu du fichier SALARIES.csv

Ce fichier, d’une taille de 265 Mo, contient la liste de 1.945 .915 salariés affiliés à la CNSS. Pour chacun d’eux, on retrouve les informations suivantes :

CIN ou numéro de passeport.

Nom et prénom.

Numéro d’immatriculation CNSS.

Date d’affiliation.

Nom de l’employeur.

Numéro d’affiliation de l’employeur.

État de la demande (validée, en attente, rejetée…).

En 2023, la CNSS annonçait:

- 332.102 d'affiliés déclarants à la CNSS.

- 3,98 millions de salariés déclarés.

Le nombre de fiches de salariés représente donc, théoriquement, environ la moitié des salariés déclarés. Par contre, le nombre d'entités adhérentes (entreprises sous toutes leurs formes), est nettement supérieur aux chiffres officiels.

3. Ce qu’a dit la CNSS : un appel à la responsabilité

Dans un communiqué publié le 9 avril au soir par l'agence MAP, la CNSS confirme avoir été visée par une série d’attaques visant à contourner ses dispositifs de sécurité. Elle indique qu’une fuite de données s’en est ensuivie, dont l’origine et l’étendue sont encore en cours d’évaluation.

La CNSS affirme également avoir mobilisé des moyens techniques pour identifier les données potentiellement concernées.

Rappelant que la confidentialité des informations de ses usagers est une priorité, la Caisse annonce avoir lancé une enquête administrative interne. Les autorités judiciaires compétentes ont également été saisies.

Par ailleurs, la CNSS a appelé les citoyens et les médias à la vigilance, et à éviter tout acte de diffusion ou de partage des données fuitées, qu’elles soient authentiques ou falsifiées, sous peine de poursuites judiciaires.

4. Ce qu’a dit le gouvernement : acte criminel, timing suspect

Lors de la conférence de presse du 10 avril, Mustapha Baitas, porte-parole du gouvernement, a qualifié les cyberattaques contre la CNSS et le ministère de l’Emploi d’"actes criminels" perpétrés par des "parties hostiles". Il a indiqué que certaines données comportaient des "erreurs et des distorsions", et que la CNSS avait saisi les autorités judiciaires.

Baitas a également fait un lien entre le timing de l’attaque et le renouvellement par les États-Unis de la reconnaissance de la souveraineté du Maroc sur le Sahara, y voyant une tentative de nuire aux avancées diplomatiques du pays. "La confiance croissante dont jouit notre pays dérange les parties hostiles au point de les pousser à recourir à ces actes agressifs".

5. La CNDP temporise et recadre le débat

Interrogé par Médias24, Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), a refusé toute précipitation : "Pas d’appréciation à la va-vite".

Pour Seghrouchni, la CNDP adopte une démarche institutionnelle fondée sur les faits, l’analyse juridique et l’audit technique. "La CNDP se comporte en institution de droit. Pas d’appréciation à la va-vite. Nous recueillerons les constats et rapports. Nous écouterons différents responsables. Puis, en commission, nous analyserons la situation pour prendre les décisions nécessaires".

Par ailleurs, la CNDP rappelle que la CNSS est soumise à la loi 09-08 sur la protection des données personnelles, qui impose des obligations de sécurité juridique, technique et opérationnelle. Elle souligne que la consultation, la possession ou la diffusion des données issues de cette fuite sont illicites. Elle se tient prête à recevoir les plaintes des citoyens affectés, tout en appelant à la rationalité et à la responsabilité dans le traitement de cette affaire sensible.

6. Consulter ou partager les données fuitées est illégal

Les réseaux sociaux sont inondés d’images et de documents relatifs aux attestations de déclaration, contenant des informations personnelles de nombreuses personnes. Dès lors, une question se pose : est-il légal de consulter ou de partager ces données fuitées ? À première vue, la réponse est non.

Le traitement, le téléchargement ou la simple consultation des données issues de cette fuite sont formellement interdits. Ainsi, même si les documents sont techniquement accessibles sur le web, leur usage demeure une infraction.

"Quand on vous donne de l’argent dit sale, est-il légal de l’utiliser ? La réponse est non. Les lois contre le blanchiment sont claires. Si le moyen d’obtention ou de collecte de la donnée à caractère personnel est illégal, son utilisation et sa diffusion sont illégales", explique Omar Seghrouchni.

Ainsi, dans un communiqué, la CNDP rappelle que le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n° 09-08. Elle ajoute que toute information obtenue en dehors de ce cadre est illicite, et son utilisation constitue une infraction.

7. Les pistes techniques possibles de piratage

Interrogé par Médias24, l'expert en sécurité des systèmes distribués, Badr Bellaj, avance plusieurs scénarios plausibles sur les techniques employées par les assaillants. L'attaque pourrait avoir été menée via une injection SQL ou une exécution de code à distance, deux procédés permettant un accès profond aux bases de données internes.

Une autre piste évoquée est celle du phishing ciblé, où un employé, en cliquant sur un lien malveillant, aurait involontairement ouvert une brèche dans le système. Enfin, une vulnérabilité critique chez un prestataire tiers, comme Oracle, est également envisagée : une faille d’authentification publique avait été signalée en mars 2025.

Dans le même sens, consulté par Médias24, Anas Chanaa, expert en cybersécurité, indique que le phishing reste la technique la plus couramment utilisée par les hackers. "Aujourd’hui, les entreprises et les administrations sont surtout ciblées par des attaques de type phishing. Ces attaques consistent à envoyer des e-mails qui semblent venir d’un client, d’un fournisseur ou d’un service officiel, dans le but de tromper l’utilisateur. En ouvrant une pièce jointe piégée ou en cliquant sur un lien malveillant, la victime peut sans le savoir déclencher un rançongiciel (ransomware) ou permettre à un pirate de s’introduire dans le système".

Par ailleurs, l'exfiltration des données semble avoir été réalisée de manière progressive et discrète, sur plusieurs semaines, couvrant la période novembre-décembre 2024. "L’analyse des données partagées confirme leur authenticité et indique qu’elles couvrent la période de novembre-décembre 2024. Cette extraction s’est déroulée de manière progressive, suggérant une opération prolongée et méthodique", indique Badr Bellaj.

Une donnée cruciale interpelle les spécialistes : les fichiers n’étaient pas cryptés. Ils étaient sockés et accessibles en clair, sans chiffrement ni mesure de protection spécifique, même pour des informations aussi sensibles que les CIN, RIB, salaires, adresses e-mail, numéros de comptes bancaires, etc.

8. Les efforts de cybersécurité de la CNSS : investissements et limites

Depuis 2024, la CNSS a lancé au moins treize marchés publics en lien avec la cybersécurité dans le cadre de la refonte de son système d'information. Plusieurs de ces marchés ont déjà été attribués, avec des délais d'exécution variant de deux mois à plus d'un an. Toutefois, il n'est pas établi que ces systèmes soient entièrement opérationnels à ce jour.

Parmi les marchés attribués :

Une solution de cybersurveillance attribuée en décembre 2024 à la société HTBS, pour un déploiement sur un an. Cette solution devait permettre à la CNSS d’avoir une vision 360° sur les menaces, notamment via la recherche sur le dark web, la détection de comptes d’usurpation sur les réseaux sociaux comme Telegram, et l’envoi d’alertes contextualisées.

Une solution de prévention des intrusions attribuée à Modcoc en juillet 2024 pour 1,6 MDH, avec maintenance annuelle de 448.800 DH. Cette solution intègre des technologies de Machine Learning et de détection des attaques Zero-Day. La solution est censée être opérationnelle.

Une solution de détection des cybermenaces et de réponse rapide attribuée en mai 2024 à Netcom Technologies pour 2,85 MDH (maintenance annuelle de 887.611 DH), permettant une visibilité en temps réel sur les incidents.

Un système de cyberrésilience attribué à Forum international pour 4,33 MDH, ainsi qu’un projet de création d’un Data Lake confié à Admiral Digital Consulting (8,79 MDH).

Malgré ces investissements, l’attaque a révélé l’existence de failles persistantes.

9. Responsabilité juridique de la CNSS : les entreprises touchées peuvent déposer plainte

La CNSS pourrait être tenue juridiquement responsable de la fuite de données si l’enquête démontre des manquements à ses obligations légales. En tant qu’institution publique traitant des données sensibles, elle est soumise à la loi 09-08 sur la protection des données personnelles, ainsi qu’à la loi 05-20 sur la cybersécurité.

Ces textes exigent la mise en place de mesures de sécurité techniques, juridiques et organisationnelles, y compris chez les prestataires de services. Ainsi, il y a lieu de se demander si la CNSS peut être tenue pour responsable et, par ricochet, si les personnes estimant que la fuite de leurs données personnelles leur a causé un préjudice peuvent déposer plainte contre elle.

Selon Me Khadija Zoulali, avocate au barreau de Casablanca, les lois précitées (09-08 et 05-20) "instaurent, en effet, une obligation de sécurité".

"La loi ne prévoit pas d’exonération de responsabilité en cas de cyberattaque. L’évaluation de la responsabilité de la CNSS repose donc sur le niveau de diligence qu’elle a effectivement mis en œuvre avant l’incident. Ainsi, la responsabilité de la CNSS dépendra étroitement de la qualité des mesures mises en place par elle pour prévenir le risque d’intrusion",précise-t-elle.

Dans tous les cas, la CNSS reste responsable de la protection des données qu’elle gère. La loi prévoit également des sanctions en cas de manquement à l’obligation de sécurité ou de notification à la CNDP.

Même son de cloche chez Omar Seghrouchni. "Quand un fou tamponne votre voiture, si vous n’avez pas d’assurance, vous avez une part de responsabilité", souligne-t-il.

10. Les ressources humaines mises à l’épreuve : choc des salaires et climat interne

La fuite de données a entraîné des réactions vives dans plusieurs entreprises. En accédant aux salaires de leurs collègues, certains employés ont découvert des écarts considérables. Cette transparence brutale a provoqué des tensions internes, mettant à rude épreuve les services RH.

La gestion de cette crise interpelle sur les pratiques de communication salariale, la transparence interne et la capacité des entreprises à prévenir les effets d’une divulgation massive et non contrôlée d’informations sensibles.

