D’après les premières analyses, les hackers auraient exploité des vulnérabilités — injections SQL, phishing ciblé ou encore absence de chiffrement — pour accéder à des fichiers contenant plus de 53.000 attestations de salariés, ainsi qu’à des bases de données recensant environ 500.000 entreprises et près de 1,9 million de salariés. La diffusion de ces documents via la chaîne Telegram “Jabaroot DZ” a permis la divulgation d’informations personnelles (noms, numéros de CIN, coordonnées bancaires, salaires, etc.), ce qui entraîne des risques majeurs d’usurpation d’identité et de fraude.
Face à la gravité de l’attaque, la Caisse nationale de sécurité sociale (CNSS) a suspendu certains services en ligne et a diffusé des recommandations de sécurité. Parmi celles-ci figurent le changement régulier des mots de passe et une vigilance renforcée à l’égard des communications suspectes, rappelant aux assurés de toujours vérifier les informations sur le site officiel de l’institution. Mais celle-ci est-elle coupable de ne pas avoir su protéger les données de ses assurés ?
La responsabilité juridique de la CNSS
Ça dépend, estime Raja Bensaoud, cofondatrice du think tank Digital Act et enseignante en droit des affaires et du numérique. “La responsabilité de l’organisme n’est pas automatique et dépend de conditions spécifiques”, explique-t-elle à TelQuel.
