CAN 2025 : plus de 2,1 millions d’identifiants volés, la cybersécurité mise à l’épreuve avant 2030

Selon ce rapport rendu public début mars, plus de 2,1 millions d’identifiants liés à des utilisateurs ou ressources marocaines ont été détectés sur des marchés clandestins du dark web.

Ce chiffre, 2.116.000 identifiants recensés par les équipes de Kaspersky, ne se limite pas à une statistique technique : il représente des comptes, des adresses mail, des cookies de session et parfois des données de paiement potentiellement exploitables pour des usurpations d’identité, des fraudes bancaires ou des campagnes de phishing à grande échelle.

Ces informations ont, d’après les analystes, été principalement récoltées par des « infostealers », familles de logiciels malveillants telles que Lumma, RedLine ou Vidar capables d’extraire silencieusement les informations stockées sur les appareils infectés.

La mécanique de l’attaque était simple et efficace : l’attrait d’un match, la promesse d’un billet ou d’un flux vidéo ont servi de vecteurs. Des sites miroirs, des applications factices et des liens de streaming frauduleux ont piégé des utilisateurs pressés ou insuffisamment protégés, offrant aux cybercriminels des accès immédiats aux mots de passe enregistrés, aux formulaires de remplissage automatique et aux cookies persistants. Une fois réunis et triés, ces lots de données sont mis en vente sur des forums et marchés clandestins, constituant une manne pour des chaînes de cybercriminalité industrielles.

Billetterie et offres frauduleuses, la confiance détournée

Parmi les cibles les plus lucratives et les plus visibles figurent les faux portails de billetterie. Le rapport met en garde contre des dizaines de sites « miroir » qui reproduisaient l’interface des plateformes officielles.

Non seulement ces sites vendaient des billets inexistants, mais ils capturaient également, en temps réel, les numéros de carte et autres informations de paiement via des pages de paiement factices. L’effet est double : préjudice financier immédiat pour les victimes, et exposition de données utilisables ensuite pour d’autres escroqueries.

Au-delà des fraudes à destination des supporters, le rapport souligne une évolution du profil des attaques, à savoir l’émergence d’une vague d’actions à visée politique ou médiatique.

Entre septembre et décembre 2025, les experts de Kaspersky ont relevé près de 300 messages revendiquant ou appelant à des actions hostiles contre des infrastructures marocaines. Ces campagnes se sont traduites par des attaques par déni de service (DDoS) visant à paralyser des services officiels et par du « defacement », qui consiste à altérer la page d’accueil de sites institutionnels pour y afficher des messages de revendication.

Lire aussi : Cybersécurité : le marché marocain pourrait atteindre 238,12 millions de dollars d’ici 2031

Une coopération public-privé effective, mais perfectible

La mobilisation déployée autour de la CAN a toutefois permis de limiter une part des dégâts. Le cadre de coordination mis en place par INTERPOL (le projet Stadia) a servi de point de contact entre les autorités marocaines et des spécialistes privés, transformant des flux de renseignement brut en mesures opérationnelles (blocage d’URL, fermetures de sites frauduleux, alertes pub­liques).

La coordination a, selon les retours, permis d’anticiper certains vecteurs d’attaque et de déployer des parades ciblées pendant les jours de forte affluence.

Malgré ces succès opérationnels ponctuels, les spécialistes s’accordent à dire que l’effort reste incomplet. L’écosystème numérique d’un pays (PME, plateformes de billetterie, prestataires de paiement, hébergeurs locaux) est souvent hétérogène et fragilisé par des pratiques de sécurité inégales. Les attaques massives révèlent des poches de faiblesse exploitables en chaîne, de l’utilisateur final qui réutilise un mot de passe au fournisseur qui ne segmente pas correctement ses accès.

Vers la Coupe du monde 2030, un test grandeur nature

La CAN 2025 a donc servi de répétition générale pour des échéances plus ambitieuses. Le Maroc, co-organisateur avec l’Espagne et le Portugal de la Coupe du monde 2030, devra faire face à des enjeux de cybersécurité d’une échelle inédite.

Les nouvelles infrastructures sportives concentreront des flux de données considérables (billetterie, contrôle d’accès, vidéosurveillance, services aux spectateurs), autant de surfaces d’attaque potentielles s’il n’existe pas de politique de renforcement structurée.

Pour les autorités, la réponse passe par deux axes : renforcer les capacités techniques (détection, réponse, partage d’indicateurs de compromission) et élever la résilience du tissu économique et administratif (normes, audits, formation). Sur ce dernier point, l’investissement public est crucial, mais il doit être accompagné par des obligations réglementaires et des incitations pour que les opérateurs privés adoptent des standards robustes.

Lire aussi : GITEX AFRICA Morocco 2026 lance le STAR Summit pour la cybersécurité

La découverte de plus de 2,1 millions d’identifiants compromis pendant la CAN 2025 est un signal d’alarme. Les événements sportifs de grande ampleur concentrent des risques numériques à la fois banalement économiques (fraudes, vols) et stratégiques (sabotage, propagande). La coopération entre forces de l’ordre et entreprises privées, incarnée par le projet Stadia, a montré son utilité opérationnelle ; elle doit désormais se transformer en politiques publiques pérennes et en standards partagés.

La question n’est plus seulement de sécuriser des stades ou des billets, il s’agit de protéger des flux d’information qui font vivre une économie, de préserver la confiance des citoyens et d’empêcher que des événements conçus pour rapprocher ne deviennent des leviers de déstabilisation.