Piratage CNSS/Ministère de l’Emploi : l’éclairage du spécialiste en cybersécurité Yokamos
L’attaque a été revendiquée publiquement sur le Dark Web par JabaRoot DZ, un groupe de hackers de plusieurs nationalités qui a publié les données fuitées. Elle a visé principalement le ministère de l’Inclusion économique, de la Petite entreprise, de l’Emploi et des Compétences et la CNSS.
L’ampleur et les motifs de l’attaque
Selon les derniers chiffres, des données CSV avec les détails de 499.881 entreprises et les informations personnelles de 1,99 million d’employés ont été partagées, en plus de 53.574 fichiers PDF avec les salaires des employés. Le motif de cette attaque, affiché par les cybercriminels est que « cette fuite est une réponse aux actes hostiles des hackers marocains qui ciblent les comptes des institutions algériennes sur les réseaux sociaux ». Pour les experts, cette fuite est un acte hostile de hackers de nationalités inconnues qu’on peut définir comme des hackers-activistes qui cherchent à nuire au Maroc et sa réputation.
Le mode opératoire probable
Pour les experts en cybersécurité, Azzedine Ramrami et Saad Haitami du Groupe Yokamos, spécialiste dans la sécurité des systèmes d’information, cette attaque est inédite au Maroc en raison du volume des données piratées. Ce qui illustre que des investissements importants ont été mobilisés à cette fin. Le scénario probable de la technique utilisée est l’attaque par mouvement latéral. Cette technique permet aux cybercriminels de se propager d’un point d’entrée au reste du réseau. Une cyberattaque peut commencer par un logiciel malveillant sur l’ordinateur de bureau d’un employé. À partir de là, les hackers tentent de se déplacer latéralement pour infecter d’autres ordinateurs sur le réseau, des serveurs internes, et ainsi de suite jusqu’à ce qu’il atteigne leur cible finale.
Les risques et les moyens de se protéger
La nature des données peut être exploitée par des acteurs malveillants dans le but de procéder à une usurpation d’identité. Pour se protéger, le premier conseil est de changer les mots de passe et d’activer la MFA (l’authentification multifacteur). Par exemple, un mot de passe est un type de facteur, c’est une chose que vous savez. Les trois types de facteurs les plus courants sont : un mot de passe ou un code confidentiel mémorisé ; un smartphone, ou une clé USB sécurisée ; une empreinte digitale, ou la reconnaissance faciale. Ensuite, il faut surveiller les mouvements bancaires inhabituels, informer la banque et demander la mise en observation du compte. Un autre geste serait de déposer plainte officiellement pour se protéger juridiquement contre toute usurpation. Pour les entreprises, il est recommandé de notifier tous les clients et fournisseurs ,et la banque de cet incident.
Le nécessaire audit de maturité de la sécurité des organisations stratégiques
Selon les experts, il ne faut pas céder à la panique face à cette attaque car beaucoup de fake news peuvent émerger en l’absence d’une réaction officielle. Au niveau international, ce type d’attaques est récurrent avec des millions de données usurpées et publiées sur le Dark Web selon des modes opératoires différents. Cet incident doit surtout permettre de prendre conscience des vulnérabilités des systèmes d’informations. D’où l’urgence de mener un vrai audit de maturité de la sécurité dans les grandes organisations et les infrastructures d’importance vitale.
