Notre enquête sur la fuite de données de l'ANCFCC [Rapport Flash]
Table des matières
Le 2 juin 2025, l'acteur de la menace connu sous le nom de Jabaroot a revendiqué la responsabilité d'une fuite de données provenant de Agence nationale marocaine pour la conservation des terres (ANCFCC). Cet incident, annoncé sur le forum DarkForums du Dark Web, semble être motivé par des raisons politiques, découlant de tensions régionales. Cette attaque s'inscrit dans une vague plus large de cyberattaques ciblées contre des entités marocaines observée récemment.
Intéressé par cette nouvelle ? Consultez notre précédent flash d'avril sur la fuite concernant la caisse nationale de sécurité sociale du Maroc.
Que s'est-il passé ?
Jabarootun acteur malveillant connu pour avoir ciblé des entités marocaines, a créé sur DarkForums un fil de discussion intitulé "MAROC - Agence nationale de la conservation foncière (ANCFCC) - Bases de données complètes." L'acteur a affirmé que cette action était une réponse directe à la "propagande anti-algérienne" perçue par les médias marocains. Cet événement s'est produit dans une période de tensions géopolitiques accrues et d'une vague de cyberattaques contre des organisations marocaines.
Quelles données ont été divulguées par Jabaroot ?
Selon le JabarootSelon les affirmations de DarkForums, les données divulguées par l'ANCFCC contiendraient.. :
- Un dossier contenant des échantillons de plus de 10 000 certificats de propriété au format PDF, prétendument issus d'une base de données de plus de 10 millions.
- Un dossier contenant des échantillons de 20 000 documents divers, dont des actes de vente/achat, des documents d'état civil, des cartes d'identité/passeports et des documents bancaires. L'acteur affirme que la base de données complète contient plus de 4 millions de documents et plus de 4 To de données.
- Un dossier contenant des documents très sensibles de hauts fonctionnaires et de personnalités marocaines, mentionnant en particulier Mohammed Yassine Mansouri, chef des services de renseignement extérieur.
Dans un premier temps, Jabaroot a fourni des liens vers deux échantillons, "VIP" et "Documents", sur un site de partage de documents. Ces fichiers ont ensuite été supprimés par le service d'hébergement. Commentaires des utilisateurs suivants, Jabaroot a partagé un nouveau lien pour l'échantillon "VIPs" uniquement. Cet échantillon contenait quatre dossiers nommés "fouzi lekjaa", "Mohammed Yassine Mansouri", "nasser bourita" et "raghib amin", contenant des copies de documents d'identité, de certificats et de relevés de transactions immobilières.
L'acteur est également actif sur une nouvelle chaîne Telegram (t[.]me/jabarootdz2), créée après la suppression de leur chaîne originale. Au moment de la rédaction de ce rapport, 24 documents ont été partagés sur cette chaîne, réitérés en réponse à la "propagande opportuniste" contre l'Algérie.
Tentatives de Jabaroot pour partager l'intégralité "ANCFCC - CERTIFICATS DE PROPRIETE.zip" et "ANCFCC_DOCUMENTSLes téléchargements de dossiers "Documents" via d'autres sites de partage de fichiers ont également donné lieu à des suppressions ou à des téléchargements incomplets. Nous avons réussi à obtenir un fichier zip incomplet de 4,8 Go du dossier "Documents", qui semble contenir près de 20 000 fichiers PDF. Une analyse plus approfondie de son contenu est en cours.
Quelle est la légitimité de la fuite de Jabaroot ?
La légitimité de la fuite complète, telle qu'elle est revendiquée par Jabaroota été remis en question par des utilisateurs sur DarkForums. L'acteur a initialement intitulé le fil de discussion "Full Database" (base de données complète), mais n'a pas partagé l'ensemble des données. Cela a conduit certains utilisateurs à suggérer que Jabaroot peuvent n'avoir accès qu'à un nombre limité de documents plutôt qu'à une base de données complète. Un utilisateur a également indiqué que la fuite pourrait ne pas provenir directement de l'ANCFCC. Notre analyse n'a trouvé aucun fichier malveillant de niveau d'alerte élevé dans l'échantillon "VIPs", bien qu'une capture d'écran de VirusTotal partagée par un utilisateur du forum ait indiqué un cheval de Troie dans un fichier du deuxième échantillon, auquel nous n'avons pas pu accéder. Le fil de discussion de DarkForums lui-même a finalement été supprimé de la section "Bases de données" par un modérateur en raison des liens rompus. Une enquête plus approfondie est nécessaire pour évaluer pleinement ces affirmations et l'ampleur de la violation attribuée à Jabaroot.
Analyse du contexte : Les récentes cyber-attaques contre le Maroc
L'incident impliquant Jabaroot n'est pas isolé. Entre le 1er et le 3 juin 2025, nos services ont détecté 21 publications et attaques ciblant le Maroc par divers acteurs, dont le groupe Keymous+. La majorité d'entre elles étaient des attaques DDoS et des tentatives d'accès initial, principalement par Keymous+, contre des entités gouvernementales marocaines.
Ces attaques surviennent dans un paysage géopolitique complexe, les activités antisionistes de Keymous+ coïncidant avec le resserrement des liens entre le Maroc et Israël. Simultanément, des acteurs tels que Jabaroot exploitent les tensions entre le Maroc et l'Algérie sur la question du Sahara occidental pour justifier leurs attaques.
Les principales entités marocaines visées au cours de cette période sont les suivantes :
| Victime | Type d'attaque | Industries | Acteurs de la menace | Date |
|---|---|---|---|---|
| Fédération royale marocaine de football | Fuite de données | Le sport | B4baYega | 01/06/2025 |
| Ministère de la Santé et de la Protection sociale | Attaque DDoS | Administration publique | Keymous+ | 02/06/2025 |
| Agence Nationale de la Conservation Foncière, du Cadastre et de la Cartographie | Fuite de données | Gouvernement et secteur public | Jabaroot DZ | 02/06/2025 |
| Banque Al-Maghrib | Attaque DDoS | Services financiers | Keymous+ | 02/06/2025 |
| Maroc Telecom | Attaque DDoS | Réseaux et télécommunications | Keymous+ | 02/06/2025 |
| Ministère de l'Agriculture, de la Pêche maritime, du Développement rural et des Eaux et forêt | Accès initial | Administration publique | Keymous+ | 02/06/2025 |
| Université Ibn Tofail | Accès initial | L'éducation | Keymous+ | 02/06/2025 |
| TelQuel Média | Dégradation | Les médias | Keymous+ | 03/06/2025 |
| Fste Université Moulay Ismaïl | Fuite de données | Recherche | r3i | 03/06/2025 |
Profils des acteurs de la menace
Quelles sont les autres informations sur les menaces que vous devez connaître ? Voici un résumé des profils associés qui ont attiré l'attention dans le cadre de cette attaque.
- Keymous+: Un groupe d'hacktivistes spécialisé dans les attaques DDoS, ciblant les pays pro-Ukraine et pro-sionistes. Ils sont connus pour recruter des programmeurs de talent et exploiter les vulnérabilités.
- r3i: Un nouvel acteur, compte créé en juin 2025, spécialisé dans les fuites de données.
- Jabaroot: Également connu sous le nom de Jabaroot DZ, cet acteur se concentre principalement sur les fuites de données et a déjà ciblé le Maroc, notamment la CNSS en avril 2025, affectant environ 2 millions de personnes. Son origine potentielle est l'Algérie.
- B4baYega: Un nouvel acteur, compte créé en mai 2025, spécialisé dans les fuites de données.
Si les liens directs entre Keymous+ et d'autres acteurs comme les Jabaroot ne peut être confirmée, le partage des JabarootL'attaque de Ghost Algeria, également reprise par Keymous+, suggère une coordination potentielle, bien qu'avec des motivations différentes.
Conclusion
L'activité récente de Jabaroot L'attaque contre l'ANCFCC souligne la persistance d'un paysage de cybermenaces à forte connotation politique ciblant le Maroc. La nature cyclique de ces attaques, suite à l'incident du CNSS, nécessite une surveillance continue et des postures défensives robustes pour les organisations opérant dans cette région. Nous continuerons à suivre l'évolution de ces menaces afin de fournir à nos clients des informations de pointe sur les menaces.
À propos de l'auteur
