L’application mobile MyTT, exploitée par Tunisie Télécom, a été la cible d’une cyberattaque le samedi 23 mai 2026. Au-delà de l’incident lui-même, que l’opérateur affirme avoir rapidement contenu, l’affaire offre un exemple classique de deux problématiques de plus en plus centrales pour les entreprises et institutions tunisiennes : la sécurité de leurs canaux numériques et leur manière de communiquer en temps de crise.
Ce qui s’est passé
Dans la journée du 23 mai, de nombreux abonnés de Tunisie Télécom ont reçu, via l’application MyTT, une notification dont le contenu n’avait aucun rapport avec la finalité habituelle de la plateforme, habituellement dédiée aux offres commerciales, aux services internet et aux relances de facturation. Les captures d’écran de la notification se sont rapidement répandues sur les réseaux sociaux, suscitant de nombreuses réactions.
Dans un premier temps, l’exploitant a évoqué de simples travaux de maintenance et des améliorations des performances de l’application.
Puis, dans un deuxième communiqué publié le soir même, Tunisie Télécom a reconnu que l’application MyTT avait été la cible d’une cyberattaque. L’entreprise a déclaré que l’attaque avait été détectée dès les premiers instants et neutralisée grâce à ses systèmes de protection et de surveillance. Elle a également assuré aux utilisateurs que l’attaque n’avait eu aucun impact sur l’intégrité des données ni sur la continuité des services fournis aux clients. L’opérateur a en outre précisé que les notifications reçues par certains clients n’avaient aucun lien avec son activité ni avec la finalité de l’application.
A ce stade, l’appréciation de l’incident s’appuie sur les déclarations de l’exploitant. Aucune source technique indépendante n’a publié de conclusions permettant de confirmer ou de clarifier l’ampleur exacte de l’attaque, son origine ou la manière dont elle a été menée.
Une cible logique, une menace croissante
Le fait qu’un opérateur national puisse être la cible de tentatives d’attaque n’est pas en soi inhabituel. Les infrastructures de télécommunications comptent parmi les cibles les plus recherchées au monde, en raison du nombre d’utilisateurs qu’elles touchent et de la sensibilité des services qu’elles exploitent.
Les grandes organisations sont ciblées presque continuellement et la question qui se pose n’est généralement pas de savoir si une attaque se produira, mais plutôt de savoir comment elle sera détectée et contenue.
Cet incident s’inscrit dans une tendance plus large clairement documentée par les chiffres officiels. Selon l’Agence nationale de sécurité informatique, la Tunisie a enregistré 57 430 cyberattaques au cours du seul premier semestre 2025, alors que près de 150 000 ont été enregistrées pour l’ensemble de l’année 2023.
La tendance à long terme est encore plus révélatrice : le nombre d’incidents signalés à l’agence avait déjà bondi de plus de 146 % en 2022, passant de 63 000 en 2021 à plus de 155 000. Sur le plan financier, les pertes subies par les entreprises tunisiennes à la suite des cyberattaques étaient estimées, dès 2020, à plus d’un milliard de dinars.
Les prestataires de sécurité internationaux confirment également cette intensification. Le rapport 2024 de Kaspersky a recensé plus de 23 millions de menaces détectées et bloquées en Tunisie sur l’année, avec une hausse de 140 % des ransomwares, passant de 15 411 attaques en 2023 à 37 076 en 2024.
Ces indicateurs couvrent différentes réalités – attaques enregistrées, incidents signalés et menaces automatiquement bloquées – et ne doivent pas être additionnés. Mais ils vont tous dans la même direction : une exposition croissante qui touche aussi bien les grandes institutions, les PME que les particuliers. La Tunisie n’est donc pas un cas isolé, et l’incident MyTT n’est pas sorti de nulle part.
La vraie leçon : le canal de notification comme point de vulnérabilité
L’aspect le plus instructif de cet épisode est probablement technique. Une application mobile que les utilisateurs associent à des tâches de routine – vérifier une facture ou activer une offre – a en réalité accès à un canal puissant : les notifications push, capables d’atteindre instantanément des centaines de milliers d’appareils. Ce canal, précieux pour le service client, devient un risque dès qu’il peut être utilisé à mauvais escient.
C’est précisément là que l’épisode MyTT soulève une question importante. Pour un opérateur national, faire face aux tentatives d’intrusion fait partie des opérations quotidiennes : l’enjeu est de les détecter, les contenir et les bloquer avant qu’elles ne produisent un effet visible pour les utilisateurs. Dans le cas de MyTT, l’incident a cependant eu un impact concret : une notification inhabituelle est bel et bien arrivée sur les écrans de nombreux abonnés.
Tunisie Télécom affirme avoir détecté et neutralisé l’attaque dès les premiers instants.
Un point reste néanmoins à clarifier publiquement : comment ce message a-t-il pu être diffusé malgré les systèmes de protection et de surveillance évoqués par l’opérateur ? En l’absence d’un rapport technique indépendant, l’ampleur réelle de l’incident – simple dysfonctionnement rapidement corrigé, accès limité à un outil de notification ou compromis plus grave du canal de distribution – ne peut être établie publiquement.
Pour toute organisation exploitant une application destinée aux consommateurs, la leçon est claire : les systèmes de notification et de messagerie doivent être protégés avec le même niveau de rigueur que les bases de données clients. Cela nécessite des contrôles d’accès stricts, une authentification plus forte pour les comptes d’administrateur, la journalisation des actions sensibles et la possibilité de fermer rapidement un canal compromis.
La valeur d’une vulnérabilité ne se mesure pas seulement par les données qu’elle expose, mais aussi par la portée du message qu’elle permet de diffuser.
L’autre leçon : la gestion de crise
L’incident MyTT illustre un deuxième enseignement souvent sous-estimé : lorsqu’un incident est visible, la communication compte presque autant que la réponse technique.
La séquence en deux étapes – une première explication axée sur la maintenance, suivie de la reconnaissance d’une cyberattaque – a alimenté les commentaires et la diffusion d’informations sur les réseaux sociaux. L’expérience en Tunisie et ailleurs montre qu’un incident largement visible du public est très difficile à minimiser : les captures d’écran circulent en quelques minutes, et un écart entre la première version et les faits perçus par les utilisateurs tend à nuire à la confiance encore plus que l’incident lui-même.
Les meilleures pratiques en gestion de crise convergent autour de quelques principes : reconnaître rapidement ce qui est observable, communiquer de manière factuelle et cohérente, éviter d’affirmer ce qui n’est pas encore établi et tenir le public informé de l’évolution de la situation. Une réponse claire et responsable protège mieux la réputation d’une organisation qu’une explication initiale perçue comme incomplète.
Ce que les utilisateurs doivent retenir
Pour le grand public, cet épisode est l’occasion de rappeler quelques réflexes simples applicables à tout service en ligne.
La première précaution est de se méfier des notifications, messages ou emails au contenu inhabituel, même lorsqu’ils semblent provenir d’une source fiable, et de ne jamais cliquer sur un lien suspect.
Viennent ensuite les mesures de sécurité de base : activez l’authentification à deux facteurs sur les comptes sensibles lorsqu’elle est disponible, maintenez les applications et les systèmes d’exploitation à jour (les correctifs de sécurité restent l’une des meilleures défenses contre les vulnérabilités connues) et utilisez des mots de passe distincts pour les services les plus importants.
Aucune de ces mesures n’est spectaculaire, mais ensemble, elles réduisent considérablement la surface exploitable par un attaquant.
L’incident MyTT, tel que décrit par l’opérateur, n’a pas entraîné de fuite de données ni de perturbation durable des services. À cet égard, il s’agit davantage d’un signal d’alarme que d’un choc majeur.
Dans un contexte où les cybermenaces augmentent d’année en année, la résilience numérique du pays dépendra autant de la robustesse technique des systèmes que de la culture de gestion et de sécurité des organisations et des citoyens.
