Un incident de sécurité informatique a secoué l’Office de la formation professionnelle et de la promotion du travail (OFPPT) ce week-end. Détecté le 12 avril, il concerne la plateforme numérique d’orientation MyWay et a conduit à l’exposition de données personnelles appartenant à près de 100 000 jeunes marocains sur le dark web.
Selon le communiqué officiel de l’établissement, les données compromises se présentent sous la forme d’un fichier CSV d’environ 19 mégaoctets. Parmi les personnes concernées, 70 % sont des prospects ayant simplement consulté le dispositif de formation, et 30 % des candidats en voie d’inscription — tous ayant créé un compte sur MyWay pour accéder à des informations ou passer un test d’intérêts professionnels.
Noms, numéros de téléphone, CNI et adresses mail en cause
Les données exposées comprennent des noms et prénoms, numéros de téléphone, numéros de carte nationale d’identité (CNI) et adresses électroniques. L’OFPPT précise toutefois qu’aucune pièce justificative ni document n’a été divulgué, et qu’une partie des informations saisies par les utilisateurs eux-mêmes était inexacte ou incomplète dès l’origine.
L’organisme tient également à souligner que la brèche est circonscrite à deux fonctionnalités publiques de la plateforme — la création de compte et le test d’intérêts professionnels — sans affecter les autres volets du système : parcours de formation, projet professionnel, relevés de notes.
Un compte légitime potentiellement piraté, pas une faille système
L’analyse technique préliminaire oriente les enquêteurs vers le scénario d’un usage frauduleux d’un compte légitimement enregistré sur la plateforme — autrement dit, un compte d’utilisateur potentiellement compromis par un tiers. À ce stade, l’OFPPT écarte l’hypothèse d’une intrusion directe dans l’infrastructure technique de MyWay.
L’investigation est menée conjointement par les équipes de la Direction des systèmes d’information (DSI) de l’OFPPT, les autorités compétentes et des experts externes. L’incident est désormais décrit comme “circonscrit”, même si les recherches se poursuivent pour en déterminer l’origine exacte et mesurer l’impact réel.
Des signaux d’alerte depuis février
Ce qui frappe dans ce dossier, c’est que l’OFPPT reconnaît avoir reçu des alertes dès avant l’incident. Des signalements relatifs aux risques d’exposition sur le dark web auraient été formulés, conduisant l’organisme à lancer, dès février 2026, un plan d’urgence de remédiation aux vulnérabilités. Ce plan prévoyait notamment le recours à une expertise externe et l’initiation de solutions de classification des données et de prévention des fuites d’information (DLP) — des démarches qui, selon le communiqué, sont toujours en cours au moment de l’incident.
Cette chronologie soulève des interrogations légitimes : si des risques avaient été identifiés deux mois auparavant, comment une telle fuite a-t-elle pu survenir avant que les mesures correctives ne soient pleinement opérationnelles ?
Que faire si vous êtes concerné ?
Pour les 100 000 jeunes potentiellement touchés, la priorité est désormais la prudence : surveiller toute tentative d’usurpation d’identité, se méfier des appels ou messages frauduleux exploitant leurs données personnelles, et ne jamais communiquer de mots de passe ou d’informations bancaires à la suite de ce type de sollicitation.
L’OFPPT, de son côté, s’engage à “doubler d’efforts et de vigilance” pour renforcer son dispositif de sécurité et éviter qu’un tel incident ne se reproduise
