Cybersécurité au Maroc : les leçons de l'affaire Al Barid Bank

Il y a quelques semaines, un message posté sur un forum spécialisé faisait l’effet d’une bombe : un hacker affirmait détenir les données de plus de 2 millions de clients de la banque postale marocaine, Al Barid Bank. Si l’institution a rapidement communiqué pour exclure tout risque d’accès direct aux comptes, l’affaire est loin d’être anecdotique.

Pour Badr Bellaj, expert en cybersécurité, ce leak n’est que la partie émergée d’un iceberg qui menace l’écosystème numérique national.

L’attaque par "ricochet": quand le partenaire devient la faille

Selon l’analyse de Badr Bellaj, les serveurs centraux de la banque n'ont pas été forcés. La faille se situerait plutôt au niveau d'un prestataire externe, probablement une plateforme de gestion des SMS. C’est ce qu’on appelle une Supply Chain Attack.

"Au lieu de vous attaquer directement, on s’attaque à un partenaire qui constitue le maillon faible", explique l’expert. Le pirate a ainsi mis la main sur des journaux de bord (logs) contenant les numéros de téléphone des clients, leurs soldes et leurs transactions récentes. Des informations qui, si elles ne permettent pas de vider un compte en un clic, constituent une mine d'or pour les escrocs.

Le véritable danger ne réside pas dans la technique, mais dans l'humain. Avec ces données, les fraudeurs peuvent orchestrer des campagnes de "vishing" (phishing vocal) ultra-ciblées. En se faisant passer pour un conseiller bancaire et en citant le solde exact du compte, l’escroc gagne instantanément la confiance de sa victime.

"On a vu l'émergence d'un business lucratif sur le Maroc Open Source", rapporte Badr Bellaj. Des réseaux criminels, souvent implantés à l’étranger, achètent ces bases de données pour cibler les populations les plus fragiles. L'objectif est de pousser la victime, sous le coup de l'urgence ou de l'appât du gain, à divulguer ses codes secrets ou à valider des opérations frauduleuses.

Plus inquiétant encore, l’expert alerte sur le risque de "SIM Swap". En récupérant une copie de la carte d'identité de la victime (souvent partagée avec légèreté sur les réseaux ou via des canaux non sécurisés), les pirates peuvent tenter de dupliquer la carte SIM auprès de l'opérateur pour intercepter les codes de validation bancaire envoyés par SMS.

Une résilience technique gâchée par un silence radio

Où se situe le Maroc sur l’échiquier mondial de la cybersécurité ? Pour Badr Bellaj, le constat est nuancé : le Royaume se situe dans la "moyenne haute" en termes de protection technique et de réglementation. Toutefois, le bât blesse au niveau de la communication de crise, ou Incident Response.

"Notre point le plus faible, c’est la gestion des incidents. Nous sommes très chaotiques. Souvent, la première réaction est de nier l’évidence", déplore-t-il. Ce manque de transparence face aux fuites de données (comme celles subies par la CNSS ou la CNOPS par le passé) finit par éroder la confiance du citoyen envers la numérisation des services publics et privés.

Face à cette menace invisible, Badr Bellaj appelle à un changement radical de comportement. La méfiance doit devenir le mode de fonctionnement par défaut :

- Vérification systématique : si vous recevez un appel suspect de votre banque, raccrochez et rappelez vous-même le numéro officiel du centre d'appels.

- Protection de l'identité : ne partagez jamais de scan de votre CIN ou de votre passeport sans y apposer un "filigrane" (watermark) indiquant l'usage unique et la date de l'envoi.

- Minimalisme numérique : ne fournissez que le strict nécessaire aux partenaires et prestataires de services.

- Lignes rouges : aucun conseiller bancaire ne vous demandera jamais votre code secret ou les chiffres de votre carte bancaire par téléphone.

En somme, si le Maroc a réussi son virage technologique post-Covid, il doit encore apprendre à gérer le revers de la médaille. La cybersécurité n'est plus seulement une affaire de pare-feu et de lignes de code, c'est un contrat de confiance qui nécessite une transparence absolue entre les institutions et les citoyens.