Fuite de données de la sécurité sociale marocaine (CNSS)
Un hacktiviste opérant sous l'alias Jabaroot a divulgué plus de 53 000 fichiers PDF et des bases de données CSV de la Caisse Nationale de Sécurité Sociale du Maroc, exposant numéros de carte d'identité nationale, salaires et coordonnées bancaires de près de 2 millions de salariés répartis dans environ 500 000 entreprises.
- Victime
- Caisse Nationale de Sécurité Sociale (CNSS)
- Perte
- $4.0M
- données
- 2.0M
- utilisateurs
- 2.0M
Le 8 avril 2025, un acteur opérant sous l'alias Jabaroot a publié un vaste ensemble de données dérobées à la Caisse Nationale de Sécurité Sociale (CNSS) du Maroc — l'organisme public qui gère la couverture sociale obligatoire du secteur privé du pays. Les chercheurs en sécurité l'ont décrite comme probablement la plus importante fuite par nombre de victimes de l'histoire marocaine.
Ce qui s'est passé
La fuite comprenait plus de 53 000 fichiers PDF et deux grandes bases de données CSV publiées sur BreachForums, un forum cybercriminel du dark web. Les enregistrements CSV couvraient près de 500 000 entreprises et environ 2 millions de salariés (précisément 1 996 026 enregistrements). Les champs exposés comprenaient noms complets, numéros de carte d'identité nationale, données de passeport, adresses e-mail, numéros de téléphone, informations salariales et coordonnées bancaires, ainsi que des documents d'entreprise tels que numéros d'affiliation et identifiants d'administrateurs.
Le jeu de données touchait profondément l'État marocain : les entités concernées comprenaient le ministère de l'Économie et des Finances, le ministère de la Santé, la Caisse marocaine des retraites, la Trésorerie Générale du Royaume et l'agence de promotion des investissements. L'archive compressée portait l'horodatage du 29 novembre 2024, indiquant que l'exfiltration avait eu lieu plusieurs mois avant la publication.
Attribution et mobile
Jabaroot a présenté l'attaque comme une représaille politiquement motivée — en réponse à une précédente compromission du compte Twitter de l'Agence Algérie Presse Service (APS) attribuée à des acteurs proches du Maroc, sur fond de tensions géopolitiques persistantes liées au Sahara occidental. Les analystes ont décrit Jabaroot tantôt comme lié à l'Algérie, tantôt comme un collectif nord-africain peu structuré, ou — via des recoupements OSINT de pseudonymes — comme un ingénieur isolé. L'acteur n'a jamais réclamé de rançon ni vendu les données, un comportement cohérent avec le hacktivisme plutôt qu'avec la criminalité financière. Resecurity a confirmé l'authenticité des données divulguées.
Réponse et impact
La CNSS a publiquement contesté l'authenticité de certains fichiers en circulation, les qualifiant de « souvent faux, inexacts ou tronqués », tandis que l'autorité marocaine de protection des données CNDP mettait en garde les citoyens contre tout usage abusif de leurs informations exposées. Les critiques ont relevé une réponse gouvernementale lente et un suivi juridique ou réglementaire limité. En septembre 2025, la CNSS a finalement lancé un appel d'offres international de 40 millions de MAD (environ 4 millions de dollars) pour reconstruire sa posture de cybersécurité.
Pourquoi c'est important
La fuite de la CNSS a révélé la fragilité des systèmes d'identité centralisés du secteur public dans la région et a montré comment un grief géopolitique peut se traduire par une fuite massive de données civiles. Elle a constitué le premier acte d'une campagne plus large de Jabaroot contre les institutions marocaines — suivie quelques semaines plus tard par la fuite du registre foncier ANCFCC — et un cas d'école montrant comment les divulgations hacktivistes, même sans monétisation, peuvent infliger un risque durable d'usurpation d'identité et de fraude à toute une population active nationale.
Chronologie
L'archive compressée publiée ultérieurement par l'attaquant porte cet horodatage, suggérant que les données ont été exfiltrées à cette date ou avant.
Un acteur opérant sous l'alias Jabaroot publie le jeu de données de la CNSS sur BreachForums et ouvre une chaîne Telegram qui rassemble rapidement plus de 8 000 abonnés.
Les autorités marocaines et la CNSS reconnaissent publiquement la fuite ; la CNSS affirme que de nombreux documents en circulation sont « faux, inexacts ou tronqués ».
L'autorité marocaine de protection des données (CNDP) met en garde les citoyens contre l'usage non autorisé des données personnelles exposées.
Jabaroot frappe de nouveau, divulguant les données du registre foncier national du Maroc (ANCFCC), confirmant une campagne soutenue contre les institutions marocaines.
La CNSS lance un appel d'offres international de 40 millions de MAD (environ 4 millions de dollars) pour refondre son infrastructure de cybersécurité.
Sources
- resecurity.comhttps://www.resecurity.com/blog/article/cybercriminals-attacked-national-social-security-fund-of-morocco-millions-of-digital-identities-at-risk-of-data-breach
- securityaffairs.comhttps://securityaffairs.com/176388/security/national-social-security-fund-of-morocco-suffers-data-breach.html
- cybelangel.comhttps://cybelangel.com/blog/our-investigation-of-the-cnss-data-leak-flash-report/
- biometricupdate.comhttps://www.biometricupdate.com/202504/sensitive-pii-of-millions-leaked-in-historic-moroccan-data-breach
- moroccoworldnews.comhttps://www.moroccoworldnews.com/2025/09/258923/after-jabaroot-data-leaks-cnss-allocates-4-million-for-cybersecurity/