Escalade des hostilités cybernétiques en Afrique du Nord [Mise à jour de la CNSS]

Le 8 avril 2025, un utilisateur de Telegram se faisant appeler "Jabaroot" a posté un nouveau message sur BreachForums, ravivant les inquiétudes concernant l'hacktivisme lié à l'État en Afrique du Nord. L'acteur s'est déclaré responsable d'une violation massive de Caisse nationale de sécurité sociale du Maroc (CNSS)Cette violation n'est pas un événement isolé, mais elle est le résultat d'un changement dans les motivations financières et d'une cyber-guerre à connotation politique. Cette violation n'est pas un événement isolé.

Elle a plutôt été le point de départ d'une réaction en chaîne de représailles et d'une escalade des cyberattaques régionales. Notre dernière note sur les menaces couvre les retombées dans la région.

Nous avons couvert cette attaque depuis le début, lisez notre rapport flash initial ici.

Qui a été touché ?

Les données divulguées par la CNSS comprennent plus de 50 000 fichiers PDF et plus d'un million de lignes dans deux fichiers CSV contenant des données financières et personnelles détaillées d'entreprises et d'employés marocains. Parmi les entités exposées figurent le Fonds d'investissement Mohammed VI, de grandes banques telles que le Crédit du Maroc et la Banque centrale populaire, des médias marocains et même le bureau de liaison israélien à Rabat.

Des données sensibles liées à des personnes de haut rang, comme le secrétaire privé du roi, ont été divulguées, ce qui a accru les enjeux politiques et de réputation de la violation.

Chronologie de la violation de la CNSS : D'avril à aujourd'hui

La faille de la CNSS d'avril 2025 n'était pas qu'une simple fuite de données. Elle a marqué un tournant dans les tensions cybernétiques en Afrique du Nord. Le 8 avril, l'acteur de la menace Jabaroot a revendiqué l'exfiltration et la fuite de volumes massifs de données sensibles de la Caisse nationale de sécurité sociale (CNSS) du Maroc. La fuite a exposé plus de 50 000 documents PDF et plus d'un million d'enregistrements de données, y compris des informations financières, salariales et d'identité liées à des entreprises marocaines, à des fonctionnaires et même à des responsables de haut niveau.

Au cours des dix semaines qui ont suivi la violation, CybelAngel a observé une augmentation de 312% des volumes de données ayant fait l'objet d'une fuite. attribuées à des entités marocaines. Cette augmentation s'est traduite par la publication de plus de 5 téraoctets de données volées sur des plates-formes du web clair et du dark web entre le 1er janvier et le 31 décembre. du 8 avril au 15 juin, contre 1,61 téraoctet pendant toute l'année 2024.

La fréquence des attaques a reflété l'augmentation des données. Avant le mois d'avril, CybelAngel avait recensé 63 déclarations publiques de cyberattaques visant des actifs marocains entre le 1er janvier et le 31 décembre. Janvier 2024 et début avril 2025. Deux mois et demi seulement après la brèche, ce nombre est passé à 88, a 43% Augmentation du nombre d'incidents. Ces attaques visaient les infrastructures critiques, en particulier les secteurs de la finance, du gouvernement et de l'éducation, avec un mélange de campagnes DDoS et de fuites de données supplémentaires.

Il est important de noter que ces actions semblent dépourvues de motivation financière. Aucune demande de rançon ou tentative de revente n'a été détectée. Au lieu de cela, les campagnes semblent motivées par des considérations politiques, visant à déstabiliser les institutions et de signaler les griefs régionaux. Ce passage d'une perturbation opportuniste à une perturbation stratégique marque une évolution significative dans les cyber-opérations nord-africaines.

Qui est Jabaroot et pourquoi sont-ils de retour ?

Jabaroot s'est fait connaître pour la première fois sur 8 avril 2025Le groupe a publié un message sur BreachForums revendiquant la responsabilité de la faille de la CNSS. Depuis lors, ils sont devenus un acteur récurrent du cyberconflit en Afrique du Nord, symbolisant la convergence de l'hacktivisme, du nationalisme et des luttes de pouvoir régionales.

D'abord soupçonné d'être d'origine algérienne, une enquête plus approfondie révèle que Jabaroot pourrait être un collectif vaguement affilié dont les membres proviendraient du Sahara occidental, de Mauritanie, de Tunisie, de Libye, d'Égypte et d'Algérie. Cette composition multinationale est confirmée par des messages liés à de multiples campagnes, dont une contre la Ministère marocain de l'énergie, des mines et de l'environnement (MIEPEEC).

Leurs activités ne se limitent pas aux fuites de données. Le 2 juin 2025, Jabaroot a revendiqué une deuxième attaque de grande envergure, visant cette fois l'Agence nationale du cadastre du Maroc (ANCFCC). Selon l'article publié par l'acteur sur DarkForums, cette brèche concernait plus de 10 000 certificats de propriété, 20 000 actes d'état civil et des échantillons impliquant des responsables de haut niveau tels que Mohammed Yassine Mansouri, chef des services de renseignement extérieurs du Maroc. L'ensemble des données dépasserait les 4 millions de documents et les 4 téraoctets de données.

Les tactiques de Jabaroot reposent sur des fuites de données mises en scène publiquement sur des forums et des canaux Telegram. Leur approche combine l'exposition d'un grand nombre de données avec des messages symboliques ciblés. Notamment, la rhétorique du groupe comprend souvent des tons nationalistes et de représailles, citant explicitement les récits des médias marocains comme provocations pour leurs attaques.

Comme le souligne le rapport, ces attaques sont motivées par des raisons politiques plutôt que financières. Rien n'indique qu'il y ait eu des demandes de rançon ou des tentatives de revente. L'objectif semble plutôt être la déstabilisation des institutions de l'État, les opérations psychologiques et l'amplification des griefs régionaux par la divulgation de données publiques et de cibles symboliques.

Ce que nous couvrons dans le rapport complet

Notre note complète sur les menaces couvre les domaines de renseignement suivants :

• Chronologie complète de la brèche d'avril 2025
• Analyse géopolitique de l'escalade des hostilités numériques entre les États d'Afrique du Nord
• Profilage des acteurs de la menace et analyse du collectif Jabaroot
• Aperçu de la surveillance des entités financières et gouvernementales exposées
• Renseignements tactiques sur l'évolution des vecteurs de menace après l'incident du CNSS
• Recommandations pour une surveillance et une défense proactives

Le rapport décrit également les vecteurs de risque exacerbés par les relations avec des tiers, l'exposition à des informations d'identification en clair et le manque d'hygiène cybernétique.

Prenez contact avec nous pour accéder à la note de menace complète.

CybelAngel continue de surveiller de près l'environnement des menaces en Afrique du Nord. Si vos opérations concernent la région ou se croisent avec les secteurs affectés, il est temps d'évaluer l'exposition des tiers, de surveiller les discussions en clair et en noir sur le web, et de renforcer votre empreinte numérique externe. Pour demander cette note en tant que non client de CybelAngel, contactez-nous.

À propos de l'auteur

CybelAngel REACT

Orlaith est une stratège en marketing de contenu B2B basée à Paris, spécialisée dans la cybersécurité et la technologie, avec une expertise approfondie en SEO, AEO, planification éditoriale et gestion CMS. Après avoir dirigé le contenu d'entreprises telles que CybelAngel et PhantomBuster, elle aide les marques de technologie à créer des stratégies de contenu qui favorisent la visibilité organique et la confiance des acheteurs sur des marchés concurrentiels.

lire tous les articles