Notre enquête sur la fuite de données de la CNSS [Rapport Flash]
Table des matières
Le 8 avril 2025, un acteur de la menace opérant sous le pseudonyme de "Jabaroot" a fait surface sur BreachForums avec une revendication audacieuse. Dans un fil de discussion intitulé "Morocco National Social Security Fund (CNSS) - FULL DATABASE LEAKED 2025", l'acteur a prétendument divulgué des données sensibles exfiltrées de la caisse nationale de sécurité sociale du Maroc. La fuite comprendrait des informations financières liées à des entreprises marocaines et à leurs employés - et, fait alarmant, une grande partie des données semble avoir été laissée exposée en clair sur des serveurs compromis.
Que s'est-il passé au CNSS ?
Une violation massive des données de la Caisse nationale de sécurité sociale du Maroc (CNSS) a révélé une foule d'informations sensibles. L'ensemble des données divulguées comprend plus de 53 000 fichiers PDF et deux fichiers CSV contenant des enregistrements détaillés de près de 500 000 entreprises et près de 2 millions de salariés. Les documents vont des informations sur l'affiliation de l'entreprise aux informations sur les employés. les numéros d'identification, les salaires et les coordonnées-La plupart de ces documents sont datés de novembre 2024.
La violation semble concerner des données administratives et financières, notamment les coordonnées bancaires et les identifiants personnels, avec des PDF révélateurs les noms complets des employés et les salaires déclarés. Bien que les données aient été rendues publiques et que l'attaque ait été revendiquée, la méthode d'intrusion reste incertaine. Les premières spéculations vont d'un exploit de type "zero-day" à une compromission par le biais d'un logiciel tiers, impliquant éventuellement les plateformes Oracle.
Profil d'un acteur de la menace : Qui est Jabaroot ?
L'alias Jabaroot est apparu pour la première fois sur le forum de cybercriminalité BreachForums et sur Telegram le 8 avril 2025. Depuis, la chaîne Telegram de l'acteur de la menace [hxxps://t[.]me/JabarootDZ/] a rapidement gagné en popularité, avec plus de 8 000 abonnés à l'heure où nous écrivons ces lignes. Jusqu'à présent, Jabaroot n'a publié qu'un seul sujet sur BreachForums-qui a revendiqué la responsabilité de la fuite de données de la CNSS affectant la caisse nationale de sécurité sociale du Maroc.
échantillon frais.
Si l'on sait peu de choses sur l'acteur qui se cache derrière ce pseudonyme, les travaux de l'équipe Hack4Living en matière de renseignement de source ouverte (OSINT) ont permis d'en savoir un peu plus sur son identité potentielle. Le 8 avril 2025, plusieurs fichiers postés sur le canal Telegram de Jabaroot ont été observés comme ayant été transmis par un utilisateur nommé "3N16M4-une possible faille dans la sécurité opérationnelle. Il est intéressant de noter que cet indicateur de transfert a disparu des mêmes fichiers dès le lendemain, ce qui suggère que l'attaquant a peut-être accidentellement partagé du contenu à partir d'un compte personnel au lieu du compte anonyme créé pour la fuite des données.
D'autres changements à partir de ce nom d'utilisateur ont conduit les enquêteurs à des informations d'identification liées à "3N16M4" sur plusieurs plateformes de partage de code (comme GitHub) et sur des sites de compétition "Capture The Flag" (CTF). Bien que nous ayons choisi de ne pas partager publiquement les détails personnels découverts, l'analyse OSINT suggère fortement que la personne à l'origine de Jabaroot pourrait être un ingénieur informaticien actuellement basé en Allemagne. Bien que leur origine exacte n'ait pas été confirmée, l'acteur s'est identifié comme étant originaire de Tunisie dans un profil Telegram.
Il est important de noter que ces informations sont basées uniquement sur des recherches de sources ouvertes et doivent être considérées avec prudence, car l'attribution dans les enquêtes cybernétiques peut être notoirement complexe et sujette à des erreurs, en particulier dans les premiers stades.
Une brèche née de tensions géopolitiques
Selon les déclarations de l'auteur de la menace sur Telegram, la violation de la CNSS semble être motivée par des considérations politiques. Jabaroot affirme que l'attaque a été menée en représailles à une compromission antérieure du compte Twitter de l'Algerian Press Service (APS), un incident attribué à des acteurs de la menace affiliés au Maroc. Lors de cet incident, le compte APS avait été renommé "Sahara MarocainIl s'agit d'une référence au différend géopolitique de longue date entre le Maroc et l'Algérie concernant la région du Sahara occidental. Le compte Twitter a ensuite été suspendu à la suite d'une large couverture médiatique.
Peu après l'annonce de la faille de la CNSS sur Telegram, Jabaroot a partagé d'autres contenus, notamment une capture d'écran montrant prétendument la dégradation du site Web du ministère marocain du Travail.. L'acteur a déclaré que cette dégradation faisait partie d'une campagne plus large visant à répondre à ce qu'il a décrit comme des opérations en ligne menées par le Maroc et ciblant les institutions algériennes. À l'heure où nous écrivons ces lignes, le site officiel du ministère marocain du travail semble être suspendu.
Cette activité souligne le fait que les cyberattaques sont de plus en plus utilisées comme outils de communication politique, brouillant les frontières entre l'hacktivisme et les représailles d'un État dans un contexte régional déjà instable.
Il ne s'agit que de la phase initiale de notre enquête et nous nous engageons à suivre de près la situation tout en approfondissant les développements en cours.
