Cyberattaque contre la CNSS : l'éclairage préliminaire de Badr Bellaj, expert en sécurité des systèmes distribués

Le spectre d'une violation de données d'une ampleur inédite plane sur le Maroc. Des informations personnelles concernant des centaines de milliers d'entreprises et de leurs employés, issues de la CNSS, se retrouvent exposées sur le Web.

À ce stade, nos vérifications ont permis de constater que ces données, encore disponibles sur Telegram, recensent les informations de 499.881 entreprises. Plus de 53.000 fichiers PDF contiennent les listes d'employés avec leurs salaires déclarés. Près de 2 millions de salariés sont concernés par cette fuite d'informations personnelles.

À l'heure actuelle, aucune réaction officielle n'a été enregistrée. L'opinion publique attend des éclaircissements sur l'ampleur de l'incident. La réponse des autorités face à cette attaque de grande envergure est également scrutée. Qui en sont les responsables ? Quelles méthodes ont-ils employées ? Quelles failles ont été exploitées ? Surtout, qui assumera la responsabilité de ce grave assaut contre les données personnelles ? Pour répondre à ces questions, Médias24 a interrogé à chaud Badr Bellaj, expert en sécurité des systèmes distribués.

Médias24 : Quelles sont, à ce stade, les premières informations dont nous disposons concernant cette attaque ? Pouvez-vous dresser un diagnostic préliminaire de la situation ?

Badr Bellaj : La fuite de données révèle que l’attaquant a pu, pendant une période indéterminée, collecter des informations depuis le système de la CNSS. L’accès au système aurait été obtenu via une faille d’injection SQL ou une exécution de code à distance.

L’analyse des données partagées confirme leur authenticité et indique qu’elles couvrent la période de novembre-décembre 2024. Cette extraction s’est déroulée de manière progressive, suggérant une opération prolongée et méthodique.

Parmi les données compromises figurent des informations sensibles telles que les numéros d’identification, les CIN, les coordonnées téléphoniques, les numéros de comptes bancaires, les adresses e-mail, les RIB, ainsi que les salaires des employés. Ces éléments, notamment les rémunérations, ne relèvent pas du domaine public et leur divulgation représente une grave atteinte à la vie privée. Les données relatives à la caisse, aux entreprises affiliées et à leurs salariés n’ont manifestement pas bénéficié des protections requises.

La CNSS, institution au patrimoine administratif et technique ancien, a vu ses systèmes évoluer progressivement. Consciente des enjeux actuels, elle a récemment lancé un projet de refonte de sa gouvernance des données. Cette initiative vise à aligner ses pratiques avec les standards de sécurité et les réglementations en vigueur, notamment la loi 09-08 sur la protection des données, la loi 05-20 relative à la cybersécurité, et la Directive Nationale de Sécurité des Systèmes d’Information (DNSSI).

Cet incident souligne un avertissement crucial : malgré les efforts pour sécuriser les infrastructures et corriger les vulnérabilités ponctuelles, des failles résiduelles peuvent encore conduire à des compromissions majeures.

- Quels sont les procédés utilisés dans cette attaque ?

-La méthode utilisée pour cette intrusion reste une question ouverte. À ce stade, nous n'avons aucune information précise sur le déroulement de l'attaque. Une telle opération peut emprunter de multiples voies.

C'est comparable à un cambriolage. Plusieurs scénarios sont possibles. L'attaquant a-t-il utilisé le phishing ? A-t-il mené une attaque directe contre le système ? Nous manquons réellement d'indices. A-t-il exploité une vulnérabilité connue ? Y a-t-il eu une fuite via un prestataire tiers ?

Nous n'avons pas d'informations concrètes. C'est là qu'un travail de forensique numérique est indispensable pour identifier la source ou la vulnérabilité à l'origine de cette faille.

Il est important de noter, et c'est une information préliminaire, que la CNSS vient de déployer un nouveau système de gouvernance des données. Ce système a nécessité un travail conséquent, en principe conforme aux lois et aux standards en vigueur. Un travail de forensique est donc nécessaire pour déterminer l'origine exacte de cette attaque.

Les principales pistes sur les failles exploitées

- Pouvez-vous nous éclairer sur les failles exploitées par les assaillants ?

-Une réponse précise reste difficile à ce stade. Une analyse approfondie de l'infrastructure et des logs serait nécessaire. Cependant, plusieurs pistes peuvent être envisagées.

Généralement, des vulnérabilités peuvent être exploitées par une attaque directe. Cela signifie que le système lui-même pourrait être vulnérable. Par exemple, les bases de données ou les systèmes de protection de la CNSS pourraient présenter des failles, ne pas être à jour. Un attaquant pourrait alors utiliser une de ces vulnérabilités pour contourner toutes les mesures de sécurité en place.

Une autre possibilité est de passer par une partie tierce, un prestataire de services. Oracle, par exemple, a récemment connu un problème d'authentification, annoncé en mars, si je ne m'abuse. Une porte d'entrée pourrait donc se situer au niveau d'un de ces partenaires. On peut même imaginer une attaque simple, mais efficace : un e-mail de phishing ciblant un responsable de la CNSS. Un clic malheureux et l'accès de cette personne pourrait être compromis. Il est donc vraiment délicat de préciser une méthode unique sans une analyse technique poussée.

- Certains experts pointent une faille chez Oracle, et non précisément la CNSS...

-Des éléments suggèrent une possible implication d'Oracle. Récemment, une faille très critique concernant les systèmes Oracle a été annoncée sur le même forum. Ces annonces sont publiques et notoires.

Cependant, en tant qu'experts, nous ne pouvons pas affirmer catégoriquement quelle est la source de l'attaque. D'où l'impérative nécessité d'un travail de forensique numérique pour déterminer s'il s'agit d'une attaque directe contre le système de la CNSS, d'une compromission via une partie tierce comme Oracle, ou d'une autre voie.

Toutes les possibilités sont ouvertes et nécessitent une investigation approfondie. Il est vrai qu'une faille a été rendue publique concernant Oracle. Si elle n'a pas été corrigée à temps, la question de la responsabilité se pose. De plus, il est important de noter que la CNSS n'est pas la seule cible. Ces derniers mois, voire l'année dernière, on a observé une multiplication d'attaques directes visant diverses plateformes, notamment les services d'aide en ligne.

Affirmer avec certitude si la responsabilité incombe à Oracle ou à la CNSS me semble prématuré. Il y a clairement une tentative de jouer sur la question de la responsabilité. Pour trancher définitivement, une analyse par une tierce partie indépendante est indispensable. Elle seule pourra établir clairement les responsabilités et les causes de cette faille de sécurité.

- En se référant à des cas similaires, quelles sont les failles typiquement exploitées dans ce genre de situation ?

-Les failles couramment exploitées se situent au niveau des systèmes eux-mêmes. Il y a un travail préalable d'identification des systèmes utilisés par la cible. Ensuite, on recherche les vulnérabilités spécifiques à ces systèmes. Il faut savoir qu'il existe un véritable marché des vulnérabilités. Il n'y a pas de solution miracle en matière de sécurité. Si vous me donnez les noms des composants de protection utilisés par un organisme, je peux facilement rechercher les failles existantes, voire les acheter sur ce marché et les utiliser pour attaquer ces systèmes.

Nous avons vu cela même avec de grands noms de la sécurité comme Juniper ou Palo Alto. Leurs propres matériels de sécurité font l'objet de découvertes de vulnérabilités qui peuvent être achetées pour contourner leurs mécanismes de protection.

- Quel est le niveau de responsabilité de la CNSS dans cette affaire ?

-Pour déterminer le degré de responsabilité de la CNSS, une analyse approfondie ou une enquête forensique est indispensable. Une étude technique permettrait d'identifier la vulnérabilité exploitée et de déterminer qui est responsable : la CNSS elle-même, une partie tierce ? L'histoire récente nous montre des exemples de failles majeures, même aux États-Unis, où la responsabilité a été attribuée à un fournisseur de services externe. Le cas de SolarWinds en est une illustration.

Ce qui est stupéfiant, c'est que les données n'étaient pas cryptées

Concernant la CNSS, il est prématuré de désigner un responsable sans connaître la nature de l'attaque : était-ce une intrusion directe ou une compromission via un partenaire ? La CNSS porte une responsabilité inhérente, car elle doit sécuriser son propre système. Elle a également la charge d'assurer la sécurité, ou au moins de veiller à la sécurité de ses partenaires et de ses prestataires.

La question de la responsabilité est donc posée. Reste à définir son étendue : responsabilité directe, partielle, indirecte ? Seule une enquête technique rigoureuse pourra apporter des réponses précises.

- Comment prévenir ce type d'incidents à l'avenir ?

-Personnellement, une chose m'a stupéfié : les documents, comme les attestations de salariés, n'étaient pas cryptés. Ils étaient en clair. Même une personne en interne aurait pu facilement y accéder. Si un tiers, un partenaire par exemple, avait obtenu un accès illégitime, l'information était directement lisible. Le manque de cryptage des informations à la base est une observation frappante de cette faille.

De plus, on peut s'interroger sur la nécessité de stocker ces attestations sur un serveur. Elles devraient idéalement être gérées et générées à la volée, et vérifiées de la même manière. Générer, supprimer l'information...

L'information dans les bases de données n'était pas non plus cryptée, d'après les éléments disponibles. Il y a donc des questions légitimes sur la protection des données. Étaient-elles cryptées et l'attaquant a-t-il réussi à les décrypter ? Nous ne le savons pas avec certitude. Mais en analysant les informations partagées, il apparaît que les données étaient en clair. Il n'y avait pas de mesure de protection des données en soi. Or, le système de la CNSS est soumis à la loi 09-08 et à la loi 05-20 sur la cybersécurité, qui exigent la protection des informations, d'autant plus qu'il s'agit de données sensibles. Le salaire, par exemple, n'est pas une information publique.

Les informations relatives à la caisse, à l'entreprise, aux salariés et à leurs salaires sont des données sensibles qui, malheureusement, n'ont pas été protégées avec les mécanismes appropriés.

Il est important de souligner que la CNSS est une institution avec un héritage. Ses systèmes ont évolué sur une longue période. Ce ne sont pas des systèmes nouvellement mis en place. Ce sont généralement des systèmes anciens, et même avec des mises à jour récentes, un travail considérable reste à faire. On peut comprendre que les équipes en charge doivent parfois faire des compromis pour assurer la fluidité du service. Souvent, lorsqu'on cherche à fluidifier les services, on sacrifie un peu la sécurité. C'est une théorie que j'avance.

- Quel cadre légal s'applique à cette situation ?

-Sur le plan légal, deux lois principales encadrent ces aspects : la loi 09-08 relative à la protection des données personnelles et la loi 05-20 relative à la cybersécurité. L'objectif de la seconde est de renforcer la sécurité et la résilience des systèmes d'information des administrations de l'État, ce qui inclut la CNSS dans ce cas précis. Ces lois protègent effectivement les utilisateurs et imposent des obligations strictes à ces instances.

Des sanctions sont même prévues en cas de négligence avérée ou de défaut de notification à la CNDP. Une exonération partielle de responsabilité pour la CNSS est possible si elle parvient à prouver qu'il s'agissait d'une attaque sophistiquée, capable de déjouer toutes les mesures de sécurité raisonnables mises en place.

Cependant, je le répète, il est prématuré de tirer des conclusions hâtives. Il est impératif d'attendre les résultats d'une analyse forensique approfondie pour déterminer les articles de loi applicables et les éventuelles sanctions. La responsabilité de la CNSS demeure. Elle a l'obligation de sécuriser les données. Reste à établir si des erreurs ou des négligences ont été commises.

- Les victimes de ces fuites de données ont-elles des recours légaux ?

-Sur cette question, il est important de recueillir l'avis d'un avocat. Cependant, des voies existent. Il est possible de porter plainte auprès de la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) et de demander une enquête indépendante. Une action en justice civile pour obtenir des dommages et intérêts est également envisageable en cas de préjudice avéré. Par exemple, si une entreprise dont les informations ont été divulguées subit une perte financière directe à cause de cette fuite, elle pourrait potentiellement poursuivre la CNSS.

Néanmoins, comme je l'ai souligné, cela dépendra du degré de responsabilité de la CNSS. La responsabilité est-elle directe ? Implique-t-elle un acteur tiers ? S'agit-il d'une attaque "zéro-day" contre laquelle aucune protection n'était possible, car il s'agit d'une vulnérabilité totalement nouvelle ? Autant de questions qui influencent la possibilité de recours.

Je pense qu'en théorie, les victimes ont la possibilité de poursuivre la CNSS. Cependant, je doute que cela se produise à grande échelle. Nous avons vu des cas de fuites d'informations plus sensibles par le passé, comme des cartes d'identité ou des diplômes, et cela n'a pas entraîné de vagues de poursuites. Le type d'informations divulguées dans ce cas précis pourrait influencer la décision des victimes d'engager des actions légales.

Lire aussi

Ce que l’on sait de la cyberattaque ayant ciblé le ministère de l'Emploi et la CNSS

Cyberattaque contre la CNSS : la réaction à chaud de Seghrouchni (CNDP)