L’épidémie de phishing : 13 millions d’attaques révèlent l’angle mort numérique de l’Algérie

L’ampleur de la menace

La télémétrie de cybersécurité de Kaspersky pour 2024 a révélé un tableau alarmant pour l’Algérie : 13 millions de tentatives de phishing bloquées, auxquelles s’ajoutent près de 750 000 pièces jointes malveillantes interceptées. Ces chiffres représentent une hausse de 17 % par rapport à 2023 et placent l’Algérie parmi les cibles principales du continent africain.

Le contexte général amplifie l’inquiétude. L’Algérie a enregistré environ 70 millions de cyberattaques au total en 2024, toutes catégories confondues, la classant au 17e rang mondial des nations les plus ciblées. Le phishing représente à lui seul près d’une attaque détectée sur cinq — la catégorie la plus importante et la principale porte d’entrée pour des compromissions plus sophistiquées.

Le rapport mondial de Kaspersky a documenté 893 millions de tentatives de phishing à l’échelle planétaire en 2024, soit une augmentation de 26 % par rapport à l’année précédente. L’Afrique a connu l’un des taux de croissance les plus rapides de toutes les régions, avec 66 millions de clics sur des liens de phishing détectés sur le continent. Les 33,5 millions d’internautes algériens — une population qui a progressé de 3,9 % en une seule année — représentent une surface d’attaque en expansion que les groupes cybercriminels exploitent à échelle industrielle.

Ces chiffres de détection ne reflètent que la base d’utilisateurs de Kaspersky. Le volume réel de tentatives de phishing atteignant les boîtes de réception, les téléphones et les navigateurs algériens est certainement plus élevé, aucun fournisseur ne couvrant l’ensemble de la population connectée.

Anatomie des campagnes de phishing algériennes

Le vecteur BaridiMob

Le service de paiement mobile BaridiMob d’Algérie Poste, comptant environ 4,5 millions d’abonnés en septembre 2024, est devenu la marque la plus usurpée dans les campagnes de phishing algériennes. Le schéma d’attaque suit un mode opératoire constant : les victimes reçoivent un SMS ou voient une publicité sur les réseaux sociaux les dirigeant vers une page imitant l’interface de connexion BaridiMob. La page collecte les identifiants et, dans de nombreux cas, capture le mot de passe SMS à usage unique par relais en temps réel — l’attaquant utilise les identifiants volés immédiatement pendant que la victime est encore sur la fausse page.

La sophistication des campagnes s’est considérablement accrue. En 2024, les attaquants ont commencé à utiliser des attaques par domaines homographes avec des caractères visuellement similaires, à déployer des certificats HTTPS valides pour éliminer les avertissements du navigateur, et à reproduire l’intégralité du parcours post-connexion, y compris l’affichage du solde et les confirmations de transactions.

Le ministère de la Poste et des Télécommunications a reconnu la gravité de la situation et a lancé une campagne nationale de sensibilisation du 10 au 30 mai 2025, utilisant le réseau d’agences, les réseaux sociaux et les notifications SMS pour alerter les clients sur les fausses pages BaridiMob et les arnaques à la carte Edahabia. La campagne constituait une réponse institutionnelle significative, bien que sa durée de trois semaines ait inhéremment limité sa portée face à une menace permanente.

Les vagues d’attaques saisonnières

Les données de Kaspersky révèlent des schémas saisonniers prononcés dans l’activité de phishing algérienne, avec des pics entre mai et juillet. Ce calendrier est corrélé à l’augmentation des dépenses en ligne pendant le Ramadan et l’Aïd, aux périodes d’inscription et d’examens universitaires générant des campagnes de vol d’identifiants imitant le ministère de l’Enseignement supérieur, aux réservations de voyages estivaux via de faux sites de compagnies aériennes et d’hôtels, et aux échéances de services gouvernementaux pour la déclaration fiscale et l’immatriculation des véhicules.

L’amplificateur des réseaux sociaux

L’écosystème de phishing algérien est fortement amplifié par Facebook, qui reste la plateforme sociale dominante avec environ 25,6 millions d’utilisateurs algériens. Les liens de phishing circulent via de fausses pages imitant des opérateurs télécoms avec des offres de « data gratuite », des arnaques sur Facebook Marketplace redirigeant vers des sites de vol d’identifiants, et des campagnes via Messenger où des comptes compromis envoient des liens de phishing à l’ensemble de leurs listes de contacts.

Le vecteur Facebook est particulièrement dangereux car il exploite la confiance sociale. Un lien de phishing provenant d’un contact connu via Messenger a beaucoup plus de chances d’être cliqué qu’un courriel anonyme.

Pourquoi l’Algérie reste particulièrement vulnérable

Le déficit de sensibilisation

La transformation numérique de l’Algérie a dépassé sa sensibilisation à la cybersécurité. Le pays a ajouté des millions de nouveaux internautes au cours des cinq dernières années, nombre d’entre eux via des smartphones abordables avec une exposition préalable limitée aux concepts de sécurité numérique. La formation formelle en cybersécurité reste minimale — les programmes spécialisés dans des institutions comme l’ESI ne touchent qu’une infime fraction de la population. La formation à la sensibilisation sécuritaire en entreprise est tout aussi rare parmi les PME qui constituent l’essentiel du tissu économique algérien.

La Stratégie nationale de cybersécurité 2025-2029, validée par décret présidentiel en décembre 2025, prévoit de développer des ressources humaines qualifiées par la formation structurée et l’éducation. Toutefois, traduire cette stratégie en sensibilisation à l’échelle nationale reste un défi pluriannuel.

La faiblesse de l’authentification

L’écosystème des services numériques algériens repose massivement sur l’authentification à deux facteurs par SMS. BaridiMob, les vérifications de cartes CIB, les confirmations de transactions bancaires et les services gouvernementaux électroniques utilisent quasi exclusivement le SMS comme second facteur. La 2FA par SMS est particulièrement vulnérable au phishing : des kits de phishing en temps réel, disponibles sur les places de marché cybercriminelles, relaient les identifiants et codes SMS volés vers le service légitime avant l’expiration du mot de passe à usage unique.

La norme mondiale s’est orientée vers les authentificateurs par application et les clés matérielles FIDO2, résistants au phishing par conception. Les principaux services numériques algériens tardent à proposer ces alternatives.

Le déficit d’infrastructure

Les FAI et fournisseurs de messagerie algériens manquent généralement de capacités avancées de filtrage d’e-mails et de détection de phishing en temps réel déployées par les grands fournisseurs mondiaux. Les protections au niveau DNS telles que les protocoles d’authentification d’e-mails DMARC, DKIM et SPF — qui empêchent l’usurpation de domaine — restent faiblement adoptées par les organisations algériennes. Sans authentification de messagerie appropriée, les attaquants peuvent facilement usurper des e-mails semblant provenir d’institutions algériennes légitimes.

Ce qui doit changer

La lutte contre l’épidémie de phishing en Algérie nécessite une action coordonnée sur les plans technique, institutionnel et éducatif.

Standards nationaux d’authentification des e-mails. Le gouvernement devrait imposer l’application du DMARC pour tous les domaines .dz, en commençant par les agences gouvernementales et les opérateurs d’infrastructures critiques. Les pays ayant imposé le DMARC pour les domaines gouvernementaux ont constaté des réductions significatives du phishing par usurpation.

Un mécanisme de signalement et de retrait du phishing. L’Algérie a besoin d’un système centralisé et facile d’utilisation pour signaler le phishing — un numéro court dédié pour les rapports par SMS et un bouton « signaler le phishing » dans les principales applications — alimentant un pipeline automatisé de retrait. Le NCSC britannique exploite un tel système et a supprimé des millions d’URL frauduleuses depuis son lancement.

Simulations de phishing obligatoires pour les secteurs critiques. Les banques, les télécoms, les opérateurs énergétiques et les agences gouvernementales devraient mener régulièrement des exercices de simulation de phishing. Les organisations qui mettent en œuvre des programmes de simulation soutenus voient généralement les taux de clics de leurs employés chuter de plus de 30 % à moins de 5 % en 12 mois.

Migration vers l’authentification par application. Algérie Poste, les banques et les services gouvernementaux électroniques doivent proposer et promouvoir activement l’authentification par application. La Banque d’Algérie devrait émettre des directives exigeant que les institutions financières réglementées offrent des options d’authentification résistantes au phishing dans un délai défini.

Sensibilisation publique soutenue. La campagne d’Algérie Poste de mai 2025 était un début, mais la sensibilisation au phishing nécessite un effort continu tout au long de l’année, via la télévision, la radio, les réseaux sociaux et les canaux communautaires pour atteindre les populations que les courtes campagnes numériques ne touchent pas.

Sources et lectures complémentaires

• Kaspersky Reports Nearly 900 Million Phishing Attempts in 2024 — Kaspersky
• Cybersecurity: Over 13 Million Phishing Attempts Blocked in Algeria in 2024 — Algeria Invest
• Awareness Campaign for Safe Use of Edahabia Card and BaridiMob — Ministry of Post and Telecommunications
• Nigeria, South Africa, Algeria Top Targets for Cyber Attacks in 2024 — Cyber Security Review
• Algeria Adopts 2025-2029 National Cybersecurity Strategy — We Are Tech Africa
• Algeria Orders Cybersecurity Units in Public Sector — Ecofin Agency
• Kaspersky Spam and Phishing Report 2024 — Securelist