Selon Kaspersky, dans le cadre de sa coopération avec INTERPOL autour du Project Stadia, plus de 2,116 millions d’identifiants compromis associés à des utilisateurs ou à des ressources marocaines ont été repérés sur le dark web durant l’écosystème de la CAN 2025.

La formule a de quoi frapper les esprits. Elle a d’ailleurs commencé à circuler sous une version plus brutale encore : “2,1 millions de comptes liés au Maroc exposés sur le dark web à cause de la CAN.” C’est là que commence le travail journalistique : distinguer l’alerte réelle du raccourci trompeur.

Il faut d’abord être rigoureux sur les mots. Les sources publiques disponibles ne démontrent pas, à ce stade, qu’il y ait eu un piratage massif et centralisé des systèmes officiels de la CAN. Elles indiquent autre chose, plus diffus, mais pas moins inquiétant : l’événement a servi de surface d’attaque. Faux portails, usurpation d’identité, liens piégés, applications trompeuses, vol d’identifiants par logiciels malveillants de type infostealer : le tournoi a attiré des cybercriminels comme une lumière attire des insectes.

Le fait que la compétition se soit tenue du 21 décembre 2025 au 18 janvier 2026, avec un dispositif numérique important pour les billets, les déplacements et l’expérience spectateur, a mécaniquement élargi l’exposition au risque. Il faut donc éviter le sensationnalisme paresseux : non, rien ne prouve publiquement que “la CAN a été hackée” au sens spectaculaire du terme. Mais oui, tout indique que l’événement a constitué un accélérateur d’opportunités pour les acteurs malveillants.

Mais, le constat est sévère. Deux millions d’identifiants compromis, même en tenant compte des doublons possibles, des données anciennes recyclées ou de l’hétérogénéité des sources, cela reste un signal rouge vif.

Dans un pays qui prépare la Coupe du monde 2030, ce chiffre agit comme un révélateur brutal : la modernisation numérique ne vaut pas seulement par les infrastructures visibles, les stades rénovés ou les applications élégantes. Elle vaut aussi par la robustesse des arrière-cuisines numériques, celles que le grand public ne voit jamais. Et c’est souvent là que le bât blesse.

Dans les grands événements, les cyberattaques ne visent pas uniquement l’État. Elles visent l’écosystème : prestataires, fans, petits sous-traitants, services périphériques, plateformes de réservation, opérateurs logistiques, voire simples utilisateurs trop pressés de cliquer. Le pirate n’entre pas forcément par la grande porte ; il adore la fenêtre mal fermée, le sous-traitant distrait, le téléphone non mis à jour. C’est moins hollywoodien, mais terriblement efficace.

Le dossier devient encore plus sérieux quand on le replace dans son contexte géopolitique et militant. Kaspersky évoque près de 300 messages publiés entre septembre et décembre 2025, revendiquant ou appelant à des actions hostiles contre des infrastructures marocaines, avec des attaques de type DDoS et defacement.

Cela signifie que la menace n’était pas seulement criminelle au sens financier ; elle était aussi politique, symbolique, opportuniste. Or le Maroc entre dans une séquence historique très particulière : CAN 2025, puis montée en puissance vers 2030, avec une exposition internationale accrue. Plus un pays devient visible, plus il devient ciblable. Le cyberespace n’a rien d’un nuage poétique ; c’est une zone grise où se croisent fraudeurs, activistes, États, sous-traitants négligents et amateurs de chaos numérique. Pour un pays comme le Maroc, qui investit beaucoup dans sa crédibilité internationale, la cybersécurité n’est plus un dossier technique. C’est une question de souveraineté, d’image et de continuité économique.

Il faut aussi regarder le problème avec lucidité marocaine. Chez nous, la culture du risque cyber demeure encore trop souvent compartimentée. On protège l’institution, mais moins bien l’écosystème. On pense au serveur principal, moins au téléphone du cadre, au mot de passe recyclé, au prestataire sous-doté, à l’agent de terrain qui clique trop vite sur un faux lien “billet urgent” ou “accès fan ID”.

Le numérique marocain progresse vite, parfois très vite, mais cette accélération produit une illusion de maturité. Avoir des plateformes, des apps et des interfaces ne signifie pas avoir une hygiène cyber homogène. La modernité numérique sans discipline cyber, c’est un peu une belle voiture avec les portières ouvertes au feu rouge. On avance, oui, mais avec une naïveté de riche pressé. La fuite évoquée par Kaspersky doit donc être lue comme un avertissement systémique : le Maroc n’a pas seulement besoin de plus de technologie, il a besoin de plus de résilience numérique.

Pourtant, il serait injuste — et même intellectuellement paresseux — de transformer ce signal en acte d’accusation global contre le Maroc. D’abord parce que le fait même que cette alerte remonte à la surface montre qu’il y a eu surveillance, coopération et détection. Kaspersky dit avoir travaillé avec INTERPOL dans le cadre du Project Stadia pour accompagner la sécurisation de la CAN 2025 et préparer le terrain avant 2030.

INTERPOL, de son côté, confirme le cadre de coopération autour de ce projet destiné à aider les pays hôtes des grands événements sportifs à mieux prévenir les risques sécuritaires. Autrement dit, on n’est pas devant un pays totalement aveugle, mais devant un pays qui commence à traiter une menace devenue globale. Dans le cyber, il n’existe pas de territoire invulnérable. Les JO, les Coupes du monde, les grands sommets, les plateformes marchandes mondiales : tout le monde prend des coups. La vraie ligne de partage n’est pas entre les pays attaqués et les pays épargnés. Elle est entre ceux qui voient la menace venir et ceux qui s’en rendent compte après l’incendie.

Ensuite, il faut garder la tête froide sur la matière première du chiffre annoncé. “2,116 millions d’identifiants compromis” ne signifie pas automatiquement “2,116 millions de citoyens marocains distincts directement victimes d’un même incident”.

Le chiffre peut agréger plusieurs types de données, plusieurs campagnes, plusieurs temporalités, parfois des répétitions, parfois des comptes professionnels et personnels, parfois des ressources simplement “associées” au Maroc. C’est énorme, oui. Mais ce n’est pas un recensement nominatif parfaitement purgé, audit public en main. Le chiffre doit être pris pour ce qu’il est probablement : un indicateur d’ampleur, pas un verdict statistique définitif. Là encore, la nuance ne sert pas à rassurer artificiellement ; elle sert à rester juste.

Le pire service à rendre au débat public serait double : minimiser le problème d’un côté, ou gonfler l’affaire jusqu’à faire croire à un effondrement cyber national de l’autre. Dans les deux cas, on fabrique du brouillard.

Le véritable enjeu marocain est ailleurs. Cette affaire révèle que la CAN n’a pas seulement été un test d’organisation sportive ; elle a été un stress test numérique avant 2030. Et c’est sans doute la lecture la plus utile. Le Maroc dispose encore de temps pour corriger, muscler, standardiser et entraîner. Cela suppose plusieurs ruptures.

D’abord, sortir d’une cybersécurité de façade pour aller vers une cybersécurité d’écosystème : pas seulement les grandes institutions, mais aussi les sous-traitants, les agences, les opérateurs événementiels, les systèmes de billetterie, les solutions mobiles, les chaînes de support.

Ensuite, investir massivement dans la formation comportementale : la majorité des compromissions ne commence pas par un génie du mal en hoodie noir devant douze écrans ; elle commence par une erreur humaine banale. Enfin, il faut traiter le sujet comme un enjeu de gouvernance nationale. Pour 2030, la question ne sera pas simplement “le Maroc est-il prêt à accueillir le monde ?” mais aussi “le Maroc peut-il protéger numériquement ce monde accueilli ?”

Au fond, cette affaire raconte quelque chose de plus large sur notre époque. Les grands événements ne se gagnent plus seulement sur le terrain, dans les tribunes ou dans les salles de commandement classiques. Ils se gagnent aussi dans les bases de données, dans les journaux de connexion, dans les correctifs logiciels, dans la qualité des mots de passe, dans la vitesse de réaction d’une cellule cyber.

Le prestige moderne a un envers technique. Il exige moins de slogans et davantage de protocoles. Le Maroc a raison d’ambitionner grand. Mais plus l’ambition est haute, plus la discipline doit devenir froide, méthodique, presque obsessionnelle. La grandeur, aujourd’hui, passe aussi par cette humilité un peu ingrate qui consiste à vérifier les accès, segmenter les réseaux, traquer les faux domaines et former les équipes jusqu’à l’ennui. La gloire des grandes compétitions adore les caméras ; la cybersécurité, elle, prospère dans l’ombre. Et c’est très bien ainsi.

La conclusion tient en une phrase. Cette alerte montre que le Maroc reste vulnérable dans un moment d’hyperexposition internationale et qu’il serait dangereux de considérer 2030 comme un simple enjeu d’image et d’infrastructures visibles. Mais, elle montre aussi qu’un travail de coopération et de détection existe déjà, et qu’il est encore temps de transformer une alerte embarrassante en levier de montée en gamme stratégique. Toute la question est là : faire de cette affaire un scandale de plus, ou un électrochoc utile. Le premier choix nourrit les commentaires. Le second construit un pays.