Etats-Unis: Une délégation diplomatique et militaire attendue à Laayoune    Le drapeau du Polisario hissé et des slogans séparatistes scandés dans un cimetière à Guelmim    Incendies en Espagne: le gouvernement annonce un « pacte national pour l'urgence climatique »    Le ministère de la défense du Bahreïn reçoit l'ambassadeur du Maroc à Manama    Le Maroc capte 17% des exportations ouzbèkes vers l'Afrique, derrière l'Egypte qui en concentre 57%    Tabacs manufacturés : le Maroc porte ses importations à 269 millions de dirhams et ses exportations à 37 millions de dollars en 2024    Le Roi Mohammed VI félicite le président gabonais    CHAN 2024 : Le Maroc bat la RDC et se qualifie pour les quarts de finale    Hassan Baraka accomplit le tour de Manhattan à la nage    5 000 cultivateurs marocains, 5 800 hectares et 4 000 tonnes consacrent l'essor du cannabis légal au Maroc en 2025    Le coordinateur de la Fondation Mohammed-V pour la solidarité Mohamed El Azami explore à Gênes la coopération avec l'autorité portuaire de la mer Ligure occidentale    Palestina: Ahmed Raissouni insta a los países árabes a entregar sus armas a «la resistencia»    «El Gran Israel»: Marruecos firma una condena a las declaraciones de Netanyahu    Un centro marroquí solicita una investigación sobre los actos terroristas del Polisario    Hatim Ammor enflamme M'diq et réunit 180 000 spectateurs au Festival des plages    Foire internationale du livre de Panama : Abderrahman El Fathi réclame une académie de la langue espagnole au Maroc    L'Algérie arme la migration clandestine... Un nouveau chantage politique envers l'Europe    CHAN 2024: les Lions de l'Atlas battent la RDC et se qualifient pour le quart de finale    El Jadida : Clap de fin des festivités du Moussem Moulay Abdallah Amghar    Sous les feux d'artifice: Clôture triomphale du Moussem Moulay Abdallah Amghar    Affaire Potasse au CIRDI : Zachary douglas nommé arbitre à la demande du Maroc    Attaquer Hammouchi, c'est agresser l'Etat marocain    Le Sud de la France en alerte face à un danger élevé de feux de forêts    «Le grand Israël» : Le Maroc signe une condamnation des propos de Netanyahu    Palestine : Ahmed Raissouni appelle les pays arabes à rendre leurs armes à «la résistance»    Grève à Air Canada: Ottawa ordonne la reprise des vols    Liban : Le Hezbollah jure de ne pas céder son arsenal    Espagne: Un centre marocain demande une enquête sur les actes terroristes du Polisario    Les dirigeants européens veulent collaborer en vue d'un accord de paix global en Ukraine    Le régime algérien muselle la presse : de nouvelles sanctions frappent des chaînes locales après la couverture du drame de l'autocar    CHAN 2024 : Dimanche de qualification pour les Lions botolistes face aux Léopards congolais ?    CHAN 2024 / Groupe B : Madagascar double la Mauritanie et rejoint les quarts    Prépa CDM Futsal féminin : Les Lionnes vers le Brésil    SM le Roi félicite le Président de la République gabonaise à l'occasion de la fête nationale de son pays    MAGAZINE : « Carte de Séjour », le livre qui métisse des liens    Le temps qu'il fera ce dimanche 17 août 2025    Le temps qu'il fera ce dimanche 17 août 2025    EUA: Trump confirme et applique son choix protectionniste et unilatéraliste    Bilan de la Bourse de Casablanca cette semaine    Tourisme. Six mois de bonheur pour la destination Maroc    ONP: repli des recettes de pêche côtière et artisanale    CHAN-2024 : Le Maroc déterminé à gagner le match contre la RD Congo    Feux de forêts : le Nord du Royaume sous la menace d'un risque extrême    L'ambassade de Chine à Rabat commémore le 80e anniversaire de la victoire des Alliés avec la projection d'un documentaire chinois    Le dirham s'apprécie de 1,3% face au dollar    Le Maroc désigne l'agence Rooster pour représenter son tourisme au Royaume-Uni et en Irlande    Le duo fraternel Belmir captive Martil lors du Festival des plages Maroc Telecom    Reportage - Moussem Moulay Abdallah Amghar : un formidable catalyseur économique et social pour toute une région    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité
Mohamed Ezzouak Publié dans Yabiladi le 25 - 01 - 2020

Les données personnelles, notamment de santé et les salaires, de plus de 3,5 millions d'assurés de la Caisse nationale de sécurité sociale (CNSS) étaient accessibles. Des vertus de la complémentarité entre lanceurs d'alerte, médias, et organismes publics.
Nos récentes révélations sur les failles de sécurité dans les systèmes d'information d'Autoroutes du Maroc (ADM) et la Caisse mutualiste interprofessionnelle marocaine (CMIM) ont mis en appétit les lanceurs d'alerte. Amusés par l'étonnante facilité d'accès des fichiers de logs avec email et mot de passe des adhérents de la CMIM, certains nous ont proposé un dossier bien plus volumineux et aussi inquiétant quant à nos données de santé.
«Les données des assurés CNSS sont accessibles à tout le monde sans aucune sécurité», nous a interpellé un lanceur d'alerte. C'est ainsi qu'a débuté notre enquête sur une faille de sécurité mettant à disposition les données personnelles de 3,5 millions d'assurés du secteur privé, ainsi que de leurs ayant droit. Le numéro de CIN, adresse postale, numéro de compte bancaire, historique des remboursements de santé avec descriptif détaillé, entre autres, nous ont été fourni comme preuve de l'existence de la faille de sécurité. Mieux encore, on a eu eu la possibilité d'accéder aux documents d'état des salaires. Ainsi, l'historique sur quatre ans des salaires de l'ensemble des assurés CNSS était également disponible.
Autoroutes du Maroc : Les données personnelles de 800 000 comptes Jawaz en libre accès
Face à l'ampleur du scandale, nous avons très vite contacté le responsable sécurité des systèmes d'information (RSSI) de la CNSS, Mohamed Hemrati, qui a été très réactif en nous aiguillant vers la responsable communication, Souad El Aoud, qui a demandé que nos questions soient adressées par email. Quelques jours après, un troisième responsable, Reda Benamar, nous appelle pour investiguer plus en profondeur sur la faille de sécurité avant de pouvoir répondre en détails. L'enchaînement a été très professionnel, à la hauteur de la prise de conscience de l'importance du sujet par la direction de la CNSS.
Etait-ce le résultat des premières révélations par Yabiladi des de sécurité chez ADM et la CMIM, ou bien la prudence et le professionnalisme de l'équipe de la CNSS ? En tout état de cause, les réponses à nos questions ont été à la hauteur des enjeux. Nous avons en outre pris le soin d'alerter le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) qui a toujours été très réactif sur nos précédentes révélations. Omar Seghrouchni a pris nos informations avec beaucoup de sérieux et nous a informé que l'institution qu'il dirige allait enquêter sur la faille en question.
Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Une alerte prise très au sérieux par la CNSS
Confirmant implicitement notre alerte sur une grave faille de sécurité, la CNSS a quant à elle assuré qu'elle avait été identifiée et corrigée. «La CNSS a récemment déployé une nouvelle version de son site web, cette opération a connu un bug, qui a été détecté et corrigé suite à un audit de sécurité du système d'information réalisé par un cabinet spécialisé», précise ainsi le RSSI dans sa réponse, reçue vendredi 24 janvier 2020. Une affirmation que nos sources dans le domaine du hacking ont pu nous confirmer dans la soirée.
«Consciente des risques de sécurité et de la 'Cyber-menace' qui ne cessent de s'intensifier, la CNSS mène régulièrement des audits de sécurité et des tests d'intrusions de l'ensemble de ses plates-formes et applications, et ce en application des directives et orientations en vigueur. En parallèle, une supervision 24/7 de son infrastructure est garantie par un SOC (Security Operation Center) en coordination avec une entité interne des experts en charge de la sécurité du système d'information de la CNSS.»
Mohamed Hemrati, RSSI de la CNSS
Si aucun système informatique ne peut être considéré comme infaillible, le rôle des responsables est de rester vigilants et à l'écoute des alertes qui peuvent provenir de l'extérieur. C'est ainsi que la CNSS a pu éviter la situation de crise dans laquelle sont plongés ADM et la CMIM, en faisant des journalistes et des hackers des lanceurs d'alerte et non des ennemis. Une belle illustration de ce que pourrait être la collaboration entre lanceurs d'alerte et organisations publiques et privées au Maroc, avec des alternatives au tout répressif de la législation actuelle, comme la divulgation responsable (responsible disclosure) ou des systèmes de bug bounty.
Article modifié le 2020/01/25 à 17h51

Cliquez ici pour lire l'article depuis sa source.