Le Maroc s’impose aujourd’hui comme l’un des foyers les plus actifs du cybercrime dans la région, selon deux rapports distincts publiés par Unit 42 de Palo Alto Networks et Kaspersky. Tandis que la première étude met au jour une campagne de fraude internationale orchestrée depuis le Royaume, la seconde révèle la forte exposition des petites et moyennes entreprises marocaines aux attaques de malwares et de programmes indésirables. Ces constats croisent une réalité préoccupante : la montée en puissance d’un écosystème numérique à double face, où l’ingéniosité technologique côtoie des failles criantes de cybersécurité.
L’enquête de Palo Alto Networks, consacrée à la campagne «Jingle Thief», décrit un réseau de cybercriminels marocains particulièrement organisé, actif depuis 2021 et spécialisé dans la fraude aux cartes-cadeaux. Ces acteurs, identifiés sous le cluster CL-CRI-1032, se distinguent par des tactiques de pointe fondées sur le phishing et le smishing – des campagnes d’hameçonnage par courriel et SMS – ciblant les identifiants Microsoft 365 d’entreprises opérant dans la vente au détail et les services à la consommation.
Une fois infiltrés dans les systèmes cloud des entreprises, les attaquants exploitent les infrastructures Microsoft (SharePoint, OneDrive, Exchange, Entra ID) pour mener des reconnaissances internes, s’assurer une persistance à long terme et émettre des cartes-cadeaux frauduleuses d’une valeur élevée.
L’enquête de Palo Alto Networks, consacrée à la campagne «Jingle Thief», décrit un réseau de cybercriminels marocains particulièrement organisé, actif depuis 2021 et spécialisé dans la fraude aux cartes-cadeaux. Ces acteurs, identifiés sous le cluster CL-CRI-1032, se distinguent par des tactiques de pointe fondées sur le phishing et le smishing – des campagnes d’hameçonnage par courriel et SMS – ciblant les identifiants Microsoft 365 d’entreprises opérant dans la vente au détail et les services à la consommation.
Une fois infiltrés dans les systèmes cloud des entreprises, les attaquants exploitent les infrastructures Microsoft (SharePoint, OneDrive, Exchange, Entra ID) pour mener des reconnaissances internes, s’assurer une persistance à long terme et émettre des cartes-cadeaux frauduleuses d’une valeur élevée.
Des attaques discrètes, longues et financièrement lucratives
La dangerosité du groupe tient à sa capacité à opérer dans la durée : certaines intrusions ont perduré plus de dix mois, avec plus de soixante comptes compromis dans une seule multinationale. Les connexions, tracées par les chercheurs de Palo Alto Networks, provenaient majoritairement d’adresses IP situées au Maroc, souvent sans dissimulation par VPN. Ce degré de transparence, combiné à la récurrence des infrastructures locales (MT-MPLS, ASMedi, MAROCCONNECT), confirme une origine marocaine assumée.
Les motivations, elles, sont essentiellement financières. La fraude aux cartes-cadeaux présente un intérêt stratégique pour ces groupes : peu d’informations personnelles sont requises, les transactions sont difficiles à tracer et ces cartes peuvent être revendues sur les marchés parallèles à prix réduit, offrant une source de liquidités immédiate. En parallèle, les attaquants utilisent des techniques avancées pour échapper à la détection : règles de messagerie invisibles, authentifications multiples, appareils «fantômes» enregistrés dans les systèmes d’entreprise.
Les motivations, elles, sont essentiellement financières. La fraude aux cartes-cadeaux présente un intérêt stratégique pour ces groupes : peu d’informations personnelles sont requises, les transactions sont difficiles à tracer et ces cartes peuvent être revendues sur les marchés parallèles à prix réduit, offrant une source de liquidités immédiate. En parallèle, les attaquants utilisent des techniques avancées pour échapper à la détection : règles de messagerie invisibles, authentifications multiples, appareils «fantômes» enregistrés dans les systèmes d’entreprise.
Les PME marocaines, premières victimes des malwares en Afrique
Ce profil de cybercriminalité organisée trouve un écho inquiétant dans le rapport de Kaspersky sur la cybersécurité des petites et moyennes entreprises (PME) en Afrique. En 2025, le Maroc concentre à lui seul 40,9% des attaques recensées dans les six pays africains étudiés (Tunisie, Algérie, Sénégal, Cameroun et Côte d’Ivoire). Ce taux en fait le pays le plus touché du continent parmi cet échantillon.
Ces attaques reposent principalement sur la diffusion de malwares et d’applications potentiellement indésirables (PUA) déguisées en outils de travail courants tels que Microsoft Teams, Word, Outlook, ou encore Google Drive et Zoom. Les menaces les plus fréquentes au Maroc sont les downloaders (55,39% des cas), des programmes capables d’installer à l’insu de l’utilisateur d’autres contenus malveillants. Viennent ensuite les Dangerous Objects (13,56%) et les Trojans (12,84%), qui permettent de voler ou de modifier des données sensibles.
Le rapport de Kaspersky pointe aussi la prolifération des campagnes de phishing ciblant les responsables d’entreprise : fausses notifications fiscales, courriels imitant les plateformes de livraison ou les services de signature électronique, voire escroqueries «à la nigériane» promettant des transferts de fonds colossaux.
Les PME marocaines, peu formées à la cybersécurité, deviennent ainsi les victimes d’attaques où la psychologie – urgence, crédibilité apparente, petites sommes demandées – remplace la complexité technique. Ces entreprises représentent un terrain fertile pour les cybercriminels, faute de procédures de contrôle et d’une culture numérique de la prévention.
Ces attaques reposent principalement sur la diffusion de malwares et d’applications potentiellement indésirables (PUA) déguisées en outils de travail courants tels que Microsoft Teams, Word, Outlook, ou encore Google Drive et Zoom. Les menaces les plus fréquentes au Maroc sont les downloaders (55,39% des cas), des programmes capables d’installer à l’insu de l’utilisateur d’autres contenus malveillants. Viennent ensuite les Dangerous Objects (13,56%) et les Trojans (12,84%), qui permettent de voler ou de modifier des données sensibles.
Le rapport de Kaspersky pointe aussi la prolifération des campagnes de phishing ciblant les responsables d’entreprise : fausses notifications fiscales, courriels imitant les plateformes de livraison ou les services de signature électronique, voire escroqueries «à la nigériane» promettant des transferts de fonds colossaux.
Les PME marocaines, peu formées à la cybersécurité, deviennent ainsi les victimes d’attaques où la psychologie – urgence, crédibilité apparente, petites sommes demandées – remplace la complexité technique. Ces entreprises représentent un terrain fertile pour les cybercriminels, faute de procédures de contrôle et d’une culture numérique de la prévention.
Un écosystème numérique à double visage
Ces deux études convergent vers une même conclusion : le Maroc occupe une position paradoxale dans le cyberespace africain. D’un côté, il abrite des groupes criminels capables de concevoir et d’exécuter des opérations d’envergure mondiale. De l’autre, ses propres structures économiques, notamment les PME, demeurent les plus vulnérables face à des attaques souvent basiques.
Cette dualité traduit un écosystème numérique en pleine mutation : le savoir-faire technique progresse, mais les pratiques de sécurité et la culture de la prévention n’évoluent pas au même rythme.
L’étude de Palo Alto Networks illustre la sophistication croissante d’acteurs marocains qui maîtrisent les environnements cloud et l’exploitation d’identités numériques, sans recourir à des logiciels malveillants traditionnels. Celle de Kaspersky, au contraire, montre que les cybercriminels étrangers exploitent la fragilité du tissu entrepreneurial local à travers des leurres simples et efficaces.
Dans les deux cas, le facteur humain demeure le maillon faible : erreurs de vigilance, absence de formation, et méconnaissance des mécanismes de sécurité alimentent la prolifération des intrusions.
Si le Maroc veut se prémunir contre cette montée des risques, les enseignements des deux rapports sont clairs : renforcer la sensibilisation à la cybersécurité, durcir les contrôles d’accès aux outils numériques, et bâtir une véritable stratégie nationale de résilience. Car, à mesure que le Royaume s’impose comme un acteur majeur de la transformation digitale régionale, il devient aussi une cible de choix – et un terrain d’opportunités – pour les cybercriminels les plus ingénieux.
Cette dualité traduit un écosystème numérique en pleine mutation : le savoir-faire technique progresse, mais les pratiques de sécurité et la culture de la prévention n’évoluent pas au même rythme.
L’étude de Palo Alto Networks illustre la sophistication croissante d’acteurs marocains qui maîtrisent les environnements cloud et l’exploitation d’identités numériques, sans recourir à des logiciels malveillants traditionnels. Celle de Kaspersky, au contraire, montre que les cybercriminels étrangers exploitent la fragilité du tissu entrepreneurial local à travers des leurres simples et efficaces.
Dans les deux cas, le facteur humain demeure le maillon faible : erreurs de vigilance, absence de formation, et méconnaissance des mécanismes de sécurité alimentent la prolifération des intrusions.
Si le Maroc veut se prémunir contre cette montée des risques, les enseignements des deux rapports sont clairs : renforcer la sensibilisation à la cybersécurité, durcir les contrôles d’accès aux outils numériques, et bâtir une véritable stratégie nationale de résilience. Car, à mesure que le Royaume s’impose comme un acteur majeur de la transformation digitale régionale, il devient aussi une cible de choix – et un terrain d’opportunités – pour les cybercriminels les plus ingénieux.
