Afrique : La Mauritanie partage les ambitions atlantiques du Maroc    Après le Polisario, Alger flirte avec un parti néonazi breton [Edito]    «Un club d'origine marocaine» fait polémique à Ceuta    Le Maroc sacré meilleure nation africaine de tennis pour la 7e année consécutive    Regragui contraint à une révolution pour les matchs de juin    Fenerbahçe : la situation paradoxale de Youssef En-Nesyri malgré ses stats    Morocco crowned Best African Tennis Nation for the 7th consecutive year    Marrakech: La financiación de los proyectos de los MRE en el centro de los debates del FEMM    Boosting Moroccan diaspora investment : Key insights from the World Moroccan Economic Forum    Doha : 287 candidats en lice pour la 11e édition du Prix Cheikh Hamad pour la traduction    IA : Des recommandations pour son l'intégrer dans les secteurs de la santé et l'éducation    Enquêtes... Accusations directes contre Tebboune et son régime d'implication dans un scandale d'espionnage en France    La France renforce sa présence en matière de développement dans les villes du Sahara marocain par un investissement massif    CAN U20 : Maroc – Sierra Leone, où et quand suivre le match    Marrakech: Le défilé de la "Caftan Week 2025" célèbre le Sahara marocain et consacre le Maroc comme référence mondiale du caftan    Partenariats stratégiques maroco-chinois pour renforcer la coopération industrielle et financière    L'Afrique a-t-elle une place dans la nouvelle route des Indes ? Décryptage avec Yasmina Asrarguis    Le nouveau livre percutant de Xavier Driencourt sur les relations franco-algériennes : une radioscopie sans fard d'un face-à-face toxique et inégal    Le dirham s'apprécie de 0,6% face à l'euro du 2 au 7 mai (BAM)    Botola D1 / J30 : Ce soir, le lever des dernières incertitudes de la saison 24-25 !    Marketplace. Alibaba avance encore ses pions au Maroc    Maroc–Mauritanie : une synergie sahélo-africaine au service des échanges intercontinentaux    Comment le Maroc, grâce à la Coupe du monde 2030, est devenu le fer de lance d'un arrimage transméditerranéen et catalyseur d'un arc ferroviaire atlantique euro-africain    Le Belem, voilier légendaire du 19è siècle, fait escale à Tanger    USA: le secrétaire au Trésor demande le relèvement du plafond de la dette fédérale    Liverpool : Arne Slot évoque Hakimi en parlant du successeur d'Alexander-Arnold    Cristiano Ronaldo pose ses conditions pour rester à Al-Nassr    Donald Trump salue des avancées majeures dans les négociations commerciales avec la Chine    Donald Trump signe un décret établissant « l'auto-expulsion » des illégaux    Plus de 160.000 personnes confinées en Catalogne en raison d'un nuage toxique de chlore    Le Club des magistrats du Maroc s'apprête à renouveler ses instances dirigeantes lors d'un congrès national à Rabat    Près de 6 918 comprimés psychotropes saisis à Oujda : un couple interpellé    Formation professionnelle : la Mauritanie souhaite bénéficier davantage de l'expérience marocaine    Températures prévues pour le lundi 12 mai 2025    Plus de 50 millions de personnes en Afrique de l'Ouest et du Centre risquent la famine, avertit l'ONU    L'Egyptien Ahmed Wadi dévoile les contours de l'implantation de sa plateforme de tontine en ligne « Daret » au Maroc    L'AFD annonce des investissements de 150 millions d'euros au Sahara    MAGAZINE : Mohamed Choubi, la mort ne ment pas    Polisario : Depuis Tindouf, des appels au départ de Brahim Ghali    Riyad : le Maroc prend part au Forum de dialogue des villes arabo-européennes    Cinéma d'animation et jeu vidéo : le grand croisement au FICAM    Le Pavillon Temporaire : un nouveau chapitre s'ouvre au Jardin Majorelle    Biennale de Venise : SM le Roi a accordé à la culture et aux arts la place qui leur échoit dans un Maroc moderne (Mehdi Qotbi)    Le Président mauritanien reçoit le président de la Chambre des représentants    Le Directeur Général de l'AFD en visite dans les provinces du Sud    Le temps qu'il fera ce samedi 10 mai 2025    Signature d'une convention-cadre entre l'Académie du Royaume et la Fondation Mohammed VI des Sciences et de la Santé    Caftan Week : La jeunesse taille sa place dans la haute couture marocaine    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité
Mohamed Ezzouak Publié dans Yabiladi le 25 - 01 - 2020

Les données personnelles, notamment de santé et les salaires, de plus de 3,5 millions d'assurés de la Caisse nationale de sécurité sociale (CNSS) étaient accessibles. Des vertus de la complémentarité entre lanceurs d'alerte, médias, et organismes publics.
Nos récentes révélations sur les failles de sécurité dans les systèmes d'information d'Autoroutes du Maroc (ADM) et la Caisse mutualiste interprofessionnelle marocaine (CMIM) ont mis en appétit les lanceurs d'alerte. Amusés par l'étonnante facilité d'accès des fichiers de logs avec email et mot de passe des adhérents de la CMIM, certains nous ont proposé un dossier bien plus volumineux et aussi inquiétant quant à nos données de santé.
«Les données des assurés CNSS sont accessibles à tout le monde sans aucune sécurité», nous a interpellé un lanceur d'alerte. C'est ainsi qu'a débuté notre enquête sur une faille de sécurité mettant à disposition les données personnelles de 3,5 millions d'assurés du secteur privé, ainsi que de leurs ayant droit. Le numéro de CIN, adresse postale, numéro de compte bancaire, historique des remboursements de santé avec descriptif détaillé, entre autres, nous ont été fourni comme preuve de l'existence de la faille de sécurité. Mieux encore, on a eu eu la possibilité d'accéder aux documents d'état des salaires. Ainsi, l'historique sur quatre ans des salaires de l'ensemble des assurés CNSS était également disponible.
Autoroutes du Maroc : Les données personnelles de 800 000 comptes Jawaz en libre accès
Face à l'ampleur du scandale, nous avons très vite contacté le responsable sécurité des systèmes d'information (RSSI) de la CNSS, Mohamed Hemrati, qui a été très réactif en nous aiguillant vers la responsable communication, Souad El Aoud, qui a demandé que nos questions soient adressées par email. Quelques jours après, un troisième responsable, Reda Benamar, nous appelle pour investiguer plus en profondeur sur la faille de sécurité avant de pouvoir répondre en détails. L'enchaînement a été très professionnel, à la hauteur de la prise de conscience de l'importance du sujet par la direction de la CNSS.
Etait-ce le résultat des premières révélations par Yabiladi des de sécurité chez ADM et la CMIM, ou bien la prudence et le professionnalisme de l'équipe de la CNSS ? En tout état de cause, les réponses à nos questions ont été à la hauteur des enjeux. Nous avons en outre pris le soin d'alerter le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) qui a toujours été très réactif sur nos précédentes révélations. Omar Seghrouchni a pris nos informations avec beaucoup de sérieux et nous a informé que l'institution qu'il dirige allait enquêter sur la faille en question.
Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Une alerte prise très au sérieux par la CNSS
Confirmant implicitement notre alerte sur une grave faille de sécurité, la CNSS a quant à elle assuré qu'elle avait été identifiée et corrigée. «La CNSS a récemment déployé une nouvelle version de son site web, cette opération a connu un bug, qui a été détecté et corrigé suite à un audit de sécurité du système d'information réalisé par un cabinet spécialisé», précise ainsi le RSSI dans sa réponse, reçue vendredi 24 janvier 2020. Une affirmation que nos sources dans le domaine du hacking ont pu nous confirmer dans la soirée.
«Consciente des risques de sécurité et de la 'Cyber-menace' qui ne cessent de s'intensifier, la CNSS mène régulièrement des audits de sécurité et des tests d'intrusions de l'ensemble de ses plates-formes et applications, et ce en application des directives et orientations en vigueur. En parallèle, une supervision 24/7 de son infrastructure est garantie par un SOC (Security Operation Center) en coordination avec une entité interne des experts en charge de la sécurité du système d'information de la CNSS.»
Mohamed Hemrati, RSSI de la CNSS
Si aucun système informatique ne peut être considéré comme infaillible, le rôle des responsables est de rester vigilants et à l'écoute des alertes qui peuvent provenir de l'extérieur. C'est ainsi que la CNSS a pu éviter la situation de crise dans laquelle sont plongés ADM et la CMIM, en faisant des journalistes et des hackers des lanceurs d'alerte et non des ennemis. Une belle illustration de ce que pourrait être la collaboration entre lanceurs d'alerte et organisations publiques et privées au Maroc, avec des alternatives au tout répressif de la législation actuelle, comme la divulgation responsable (responsible disclosure) ou des systèmes de bug bounty.
Article modifié le 2020/01/25 à 17h51

Cliquez ici pour lire l'article depuis sa source.