Des acteurs de la cybersécurité indiquent que le groupe de ransomware Stormous affirme avoir ciblé l’infrastructure numérique de Marjane, avec un focus sur le nom de domaine marjane.ma. Dans un message public, le groupe a averti : « La fuite complète sera publiée prochainement, à moins qu’un représentant de l’entreprise ne nous contacte via les canaux fournis. »
Cette revendication intervient alors que Marjane traverse une transition au sommet. En octobre, Mourad Alem a été nommé président-directeur général, succédant à Ayoub Azami, qui a dirigé l’entreprise pendant dix ans avant de rejoindre de nouvelles fonctions au sein d’Al Mada, actionnaire de référence de Marjane. Ce changement de direction donne un contexte délicat à une « menace de publication » qui vise explicitement marjane.ma.
Stormous s’est fait connaître par une série d’attaques médiatisées depuis son apparition sur Telegram en avril 2021. Il y a eu une réelle montée d’activité à partir de février 2022. Après le déclenchement de la guerre en Ukraine, le groupe a déclaré soutenir Moscou et a même menacé directement la France. Entre le 21 mars et le 3 avril 2023, Stormous a « revendiqué environ 30 attaques » en quelques jours, un rythme qui augmente la visibilité du collectif.
Cependant, des chercheurs ont exprimé des doutes sur la solidité de ces annonces. En février 2022, la société ZeroFox notait que le groupe « revendiquait des déploiements de ransomware réussis contre des victimes dont les données avaient déjà fuité sur des places de marché du dark web », et indiquait qu’aucune intrusion n’était alors vérifiée. Ce rappel invite à considérer avec prudence les déclarations actuelles, tant que des éléments techniques indépendants n’étayent pas l’impact réel sur les systèmes de Marjane.
Le mode opératoire attribué à Stormous repose sur la « double extorsion » : vol de données puis chiffrement des systèmes compromis avec son propre ransomware. Un représentant du groupe a déjà affirmé « mener des opérations régulièrement, en ciblant des organisations choisies chaque semaine ». Le collectif dit éviter « les institutions essentielles telles que les hôpitaux », même s’il a reconnu avoir annoncé puis retiré une revendication visant un hôpital américain, et maintient exclure les cibles russes, en « soutien au gouvernement de Moscou ».
Face à ce type de menaces, des spécialistes recommandent de surveiller en continu les identifiants compromis, conduire des évaluations de compromission, de valider les sauvegardes, d’appliquer du renseignement sur la menace, renforcer les défenses des employés et mobiliser des équipes de réponse, avant toute interaction avec des groupes de ransomware.
Marjane, fondée en 1990 avec un premier hypermarché à Rabat, est devenue la principale chaîne de distribution du pays, avec plus de 130 magasins dans plus de 30 villes. L’annonce de Stormous reste une revendication de groupe et doit être lue en tenant compte d’un historique où « l’attribution et la preuve restent essentielles », insistent les chercheurs, dans l’attente d’éléments techniques vérifiés.