22h17 : le réseau marocain vacille
La soirée du 5 octobre 2025 commence comme n'importe quelle autre au Maroc. Des millions de Marocains sont connectés : streaming vidéo, réseaux sociaux, gaming en ligne, transactions bancaires. À 22h17, les premiers signaux d'anomalie apparaissent. Les sites web chargent lentement. Les applications bancaires affichent des erreurs. WhatsApp et Instagram deviennent intermittents. En quelques minutes, les réseaux sociaux s'enflamment : « Internet est en panne au Maroc ? »
Ce n'est pas une panne. C'est une attaque DDoS d'une ampleur sans précédent qui cible simultanément les infrastructures réseau de plusieurs opérateurs marocains et des serveurs DNS clés du pays.
L'anatomie de l'attaque
Un déluge de 1,2 Tbps
L'attaque a atteint un pic de 1,2 Tbps (terabits par seconde) — un volume de trafic colossal qui a saturé plusieurs liens d'interconnexion internationaux du Maroc. Pour donner une perspective, c'est l'équivalent de 300 000 vidéos Netflix diffusées simultanément, concentrées sur une seule cible. Ce volume de trafic provenait d'un botnet de plus de 500 000 appareils IoT compromis répartis dans le monde entier : caméras de surveillance, routeurs, objets connectés dont les propriétaires ignorent totalement qu'ils participent à l'attaque.
Une attaque multi-vecteurs
L'attaque combinait plusieurs techniques simultanées : une inondation UDP sur les liens réseau pour saturer la bande passante, une attaque DNS amplification exploitant des serveurs DNS mal configurés pour amplifier le trafic, et une attaque HTTP flood ciblant spécifiquement les sites web des institutions publiques et des banques. Cette approche multi-vecteurs rendait la mitigation plus complexe car chaque vecteur d'attaque nécessite des contre-mesures spécifiques.
Les conséquences : un pays au ralenti
Les services bancaires perturbés
Les applications de banque en ligne des principales banques marocaines sont devenues inaccessibles pendant 2 à 4 heures. Les distributeurs automatiques fonctionnant via le réseau Internet ont connu des dysfonctionnements. Les paiements par carte dans certains commerces ont été refusés. La panique a brièvement gagné les réseaux sociaux avant que les banques ne communiquent que les fonds des clients n'étaient pas menacés.
Les services publics en ligne hors service
Les portails de e-gouvernement, y compris Idarati et les services de la DGI, ont été inaccessibles pendant plusieurs heures. Le portail de la CNSS, déjà fragilisé par la cyberattaque d'avril, a été parmi les premiers à tomber.
La riposte : mobilisation générale
Le maCERT en première ligne
Le maCERT (centre d'alerte de la DGSSI) a détecté l'attaque dans les premières minutes et activé ses procédures de crise. Les opérateurs télécom ont été alertés et ont commencé à déployer des mesures de mitigation. Les équipes techniques ont travaillé toute la nuit pour filtrer le trafic malveillant tout en préservant l'accès des utilisateurs légitimes.
La collaboration internationale
Le Maroc a fait appel à ses partenariats avec des fournisseurs de sécurité internationaux — notamment Cloudflare et Akamai — pour absorber et filtrer une partie du trafic malveillant en amont, avant qu'il n'atteigne les frontières numériques du pays. Cette collaboration a été déterminante pour accélérer la mitigation de l'attaque.
Le retour à la normale
Après 6 heures d'intervention intensive, le trafic Internet marocain est revenu à la normale aux alentours de 4h du matin. Les services bancaires et publics ont été progressivement restaurés dans la matinée du 6 octobre. L'attaque n'a causé aucune perte de données ni compromission de systèmes — son objectif était uniquement de perturber la disponibilité des services.
Les leçons tirées
La résilience Internet du Maroc doit être renforcée
L'incident a révélé que malgré les investissements réalisés, les capacités de mitigation DDoS du Maroc restent insuffisantes face aux attaques de très grande ampleur. Les opérateurs ont depuis annoncé des investissements massifs dans des solutions anti-DDoS de dernière génération et la diversification des points d'interconnexion internationaux.
La menace IoT est réelle
Le botnet utilisé était composé majoritairement d'objets connectés compromis. Des milliers d'entre eux se trouvaient au Maroc même — des caméras de surveillance et des routeurs avec des mots de passe par défaut. Sécuriser l'IoT n'est plus seulement une question de protection individuelle mais de sécurité nationale.
Comment les entreprises peuvent se protéger
Les entreprises marocaines doivent intégrer le risque DDoS dans leur stratégie de cybersécurité. L'utilisation d'un CDN (Content Delivery Network) avec protection DDoS intégrée, la mise en place de plans de basculement vers des infrastructures alternatives, et les tests réguliers de résilience sont essentiels. Ealison accompagne les entreprises dans l'évaluation de leur résilience face aux attaques DDoS et la mise en place de solutions de protection adaptées.
Questions fréquentes
Qu'est-ce qu'une attaque DDoS ?
Une attaque DDoS (Distributed Denial of Service) consiste à submerger un serveur ou une infrastructure réseau avec un volume massif de trafic provenant de milliers ou millions d'appareils compromis (botnet). L'objectif est de rendre le service inaccessible aux utilisateurs légitimes, comme un embouteillage artificiel qui bloque une autoroute.
Le Maroc peut-il perdre totalement son Internet suite à une cyberattaque ?
Une coupure totale est très improbable car le Maroc dispose de plusieurs points d'interconnexion internationaux et de câbles sous-marins redondants. Cependant, une attaque DDoS massive peut significativement ralentir l'ensemble du réseau et rendre inaccessibles des services critiques pendant des heures.
Qui était derrière l'attaque DDoS d'octobre 2025 ?
L'attribution définitive d'une attaque DDoS est difficile. Plusieurs groupes hacktivistes ont revendiqué l'attaque sur Telegram, mais les analyses techniques suggèrent l'utilisation d'un botnet commercial loué sur le dark web. Le contexte géopolitique régional tendu est considéré comme un facteur déclencheur probable.
Comment le Maroc se protège-t-il contre les attaques DDoS ?
Les opérateurs télécom marocains et la DGSSI disposent de systèmes de mitigation DDoS capables d'absorber et filtrer le trafic malveillant. Des partenariats avec des fournisseurs CDN internationaux (Cloudflare, Akamai) renforcent cette protection. L'incident d'octobre 2025 a conduit à un renforcement significatif de ces capacités.
Besoin d'aide en cybersécurité ?
Nos experts Ealison vous accompagnent pour protéger votre entreprise et vos données personnelles au Maroc.
Contactez-nous Urgence Cyber