L'Office de la formation professionnelle et de la promotion du travail (OFPPT) a révélé une fuite de données personnelles concernant près de 100.000 jeunes utilisateurs de sa plateforme «My Way». Parallèlement, le collectif Jabaroot, déjà auteur d'une attaque massive contre la CNSS en avril 2025, affirme avoir infiltré les systèmes de la CNOPS. Un an après la vague de piratages qui a défrayé la chronique, la protection des données des Marocains reste un chantier fragile. Détails et analyses. L'Office de la formation professionnelle et de la promotion du travail (OFPPT) aurait préféré ne pas avoir à publier ce communiqué. Lundi 14 avril, l'institution a confirmé un incident de cybersécurité détecté le 12 avril sur sa plateforme d'orientation «My Way». L'annonce est tombée alors qu'un collectif de hackers bien connu, Jabaroot, a de nouveau frappé les esprits. Un an après l'attaque contre la Caisse nationale de sécurité sociale (CNSS), le groupe a revendiqué sur Telegram une intrusion dans les systèmes de la CNOPS, affirmant détenir 3 millions de lignes de données. À ce stade, aucune confirmation officielle n'a été apportée. Ce que l'on sait de la fuite à l'OFPPT L'incident de l'OFPPT a été identifié le 12 avril 2026. Selon le communiqué, les données exfiltrées concernent exclusivement la plateforme «My Way», un outil numérique dédié à l'orientation des jeunes vers les dispositifs de formation professionnelle. Le reste du système d'information de l'OFPPT n'a pas été affecté. Ainsi, un fichier CSV de 19 Mo a été consolidé sur le dark web. Il contient, selon la même source, des informations relatives à environ 100.000 jeunes. L'OFPPT estime que 70% d'entre eux sont des «prospects» (en phase de recherche d'information) et 30% des «stagiaires» potentiels. Tous avaient utilisé la plateforme pour s'informer ou passer un test d'intérêts professionnels en amont de l'inscription. Les données exposées comprennent noms, prénoms, numéros de téléphone, adresses mail et numéros de Carte d'identité nationale (CNI). Aucune pièce justificative (diplômes, relevés de notes, justificatifs de domicile) n'a été dérobée, assure l'Office précisant qu'une partie des informations était «inexacte ou incomplète dès sa saisie par les utilisateurs». Comment l'intrusion s'est-elle produite ? Selon l'OFPPT, les fonctionnalités ciblées sont les modules publics de la plateforme, en l'occurrence «s'identifier» (création de compte) et «apprendre à me connaître» (test d'intérêts). Selon les premières analyses techniques, le scénario privilégié est celui de l'usage frauduleux d'un compte légitime, probablement piraté. Aucune compromission technique directe du système d'orientation n'a été établie à ce stade, précise l'Office. L'incident est désormais «circonscrit» et fait l'objet d'un suivi rapproché, tient à rassurer l'organisme public. Par ailleurs, l'OFPPT rappelle que des signalements antérieurs avaient alerté sur des risques d'exposition sur le dark web. Dès février 2026, un plan d'urgence de remédiation aux vulnérabilités cybernétiques avait été engagé. Il concerne l'accélération des actions de cybersécurité avec des experts externes et le lancement de démarches pour des solutions de classification des données et de prévention des fuites (DLP). Néanmoins, l'incident actuel montre que ces mesures n'ont pas suffi à éviter la fuite. La revendication de Jabaroot contre la CNOPS : entre bluff et menace réelle Un an, jour pour jour, après l'attaque massive contre la CNSS (avril 2025), le collectif Jabaroot a publié un message sur Telegram. Il affirme avoir infiltré les systèmes de la Caisse nationale des organismes de prévoyance sociale (CNOPS) et exfiltré 3 millions de lignes de données. Le message est accompagné d'un réquisitoire contre «l'inaction des responsables de la cybersécurité marocaine» : «Après 365 jours, les systèmes de sécurité au Maroc n'ont pas changé». Le groupe menace de divulguer des données encore plus sensibles dans les jours à venir. À ce jour, aucune communication officielle de la CNOPS ni des autorités compétentes n'est venue confirmer ou infirmer cette intrusion. Et si la CNOPS est considérée comme une cible sensible, c'est parce qu'elle est précisément l'une des deux instances concernées par la réforme en cours visant à fusionner les régimes de protection sociale du privé (CNSS) et du public. Une attaque contre ses systèmes, si elle est confirmée, pourrait avoir des implications sur la sécurité des données personnelles de millions de Marocains à un moment charnière de la réforme. Les doutes des experts : intrusion, recyclage ou coup de bluff ? Plusieurs spécialistes appellent à la prudence face aux affirmations de Jabaroot. Badr Bellaj, expert en cybersécurité, résume les incertitudes : «Il est impossible de savoir s'il s'agit d'une intrusion récente, d'une exfiltration recyclée ou d'un simple coup de bluff destiné à entretenir la pression médiatique». Trois indices se dégagent néanmoins. Le premier concerne l'évolution du collectif. En effet, Jabaroot est apparu en avril 2025 avec l'attaque contre la CNSS. Depuis, le pseudonyme a été utilisé à plusieurs reprises, mais le mode opératoire et le ton de communication ont changé. «L'échantillon analysé par les experts paraît correct, mais il y a la possibilité qu'il soit recyclé», note Badr Bellaj. L'hypothèse d'auteurs différents reprenant un pseudonyme déjà crédible n'est pas exclue. Second indice : la nature des fichiers diffusés. Contrairement à l'attaque CNSS, où les documents diffusés portaient des dates précises (horodatage exploitable), le fichier lié à la CNOPS serait un simple PDF sans horodatage. «Il est facile de prétendre que rien n'a changé depuis un an. La plupart des instances ont upgradé leurs systèmes et investi. Mais cela ne suffit pas à garantir un colmatage à 100% des brèches, ni à exclure que ces données aient été récupérées bien avant», précise l'expert. À l'aube de la fusion des régimes CNSS et CNOPS, certains s'interrogent sur une éventuelle mutualisation technique qui expliquerait une vulnérabilité commune. «À ma connaissance, les deux instances n'ont pas d'infrastructures mutualisées», tranche Badr Bellaj. Un an après l'attaque CNSS : où en est la cybersécurité marocaine ? L'attaque contre la CNSS d'avril 2025 avait exposé les données de près de deux millions de salariés et 500.000 entreprises. Elle avait déclenché une prise de conscience au sein des institutions publiques. Des audits, des mises à niveau et des investissements ont été engagés. Mais l'épisode CNOPS – réel ou non – et l'incident OFPPT rappellent que les efforts restent insuffisants. Ashraf Aboukass, expert en cybersécurité, pointe un problème organisationnel persistant : «Dans nombre d'organisations, le directeur de la sécurité des systèmes d'information n'a pas encore une place stable au sein des comités de direction. Résultat, les CISO opèrent souvent avec des budgets limités et une autorité insuffisante pour conduire les changements stratégiques. C'est la situation que connaissait l'Europe il y a près de dix ans». Il ajoute : «On reste trop centré sur le pentesting et sur les solutions de sécurité, plutôt que sur la construction de processus solides et d'une véritable résilience organisationnelle. La cybersécurité efficace exige, au-delà de la technologie, une bonne gouvernance, un engagement du leadership et une stratégie de résilience». Ismayl Msed, membre du collectif Cybersec Morocco, regrette pour sa part l'absence de réponses concrètes : «Aucun communiqué pour éclairer les affiliés sur l'infiltration de leurs données, ni sur les démarches à suivre pour limiter les escroqueries ». Le tournant de l'IA et des guerres informationnelles Les experts soulignent que la menace change de nature. Les cyberattaques ne se cantonnent plus à la prouesse technique ou à l'extorsion par rançon. Dopées par les progrès de l'intelligence artificielle, elles s'inscrivent désormais dans des stratégies plus larges. «Les cyberattaques ont pris un nouveau virage, qui dépasse largement la dimension technique ou la logique de rançon. Elles sont de plus en plus utilisées dans les guerres informationnelles, pour appuyer la propagande d'Etat», analyse Ismayl Msed. Anthropic, l'éditeur de l'assistant Claude, a dévoilé en avril 2026 un modèle capable de débusquer en autonomie des milliers de failles critiques dans tous les principaux systèmes d'exploitation et navigateurs web – certaines passées sous les radars depuis plus de vingt ans. Une révolution qui rend encore plus urgente la modernisation des défenses. Le sort des citoyens Depuis la fuite massive de la CNSS en avril 2025, les données personnelles des Marocains (CNI, coordonnées bancaires, salaires, adresses) alimentent une vague d'arnaques sur le dark web. Les SMS frauduleux, usurpant des administrations (ministère de la Justice, banques, etc.), se multiplient. Ces campagnes sont souvent orchestrées depuis des «fermes à scam» au Bangladesh ou en Inde. Bank Al-Maghrib et plusieurs banques ont multiplié les campagnes de sensibilisation, mais les experts jugent ces efforts encore timides. Aucun outil grand public ne permet au citoyen de vérifier en quelques clics si ses données figurent dans une base compromise. Une carence criante, alors que le risque d'usurpation d'identité et de fraude bancaire n'a jamais été aussi élevé. L'OFPPT, dans son communiqué, promet de «redoubler d'efforts et de vigilance». Mais pour les 100.000 jeunes concernés, comme pour les millions d'affiliés de la CNOPS qui attendent une réponse, la question reste entière : comment protéger des citoyens dont les données circulent sans qu'ils puissent le savoir ? Ayoub Ibnoulfassih / Les Inspirations ECO
