Présidentielle en Guinée-Bissau. 2,4 millions de bulletins livrés    Justice : le parquet lance un suivi des plaintes par SMS    Résilience climatique. Le Burkina renforce son arsenal financier    Tunisie. Le taux de chômage augmente    Forces Royales Air : Airbus Helicopters va fournir 10 appareils H225M    Investissements dans les startups : le Maroc s'allie au Keiretsu Forum MENA    Produits frais : un nouveau corridor maritime Maroc–Europe voit le jour    Attaques jihadistes. Alerte maximale au Nigeria    Coupe du Monde U17. Maroc-Brésil, ça va suer des deux côtés    CAF Awards. Les Marocains raflent la mise    Classement FIFA: le Maroc reprend la 11e place mondiale    Eswatini, premier pays d'Afrique à adopter l'injection préventive du VIH    Edito. Juger l'enfant ou réparer la société ?    Paris accueillera officiellement la proclamation de l'indépendance de la Kabylie le 14 décembre 2025    Terres rares : Washington "espère" finaliser l'accord avec Pékin d'ici fin novembre    La chute du dernier masque : le régime militaire algérien vote là où son peuple ne voulait pas    Chlorure de potassium : le ministre de la Santé réfute tout conflit d'intérêts devant le Parlement    La Gambie réaffirme son appui au Plan d'autonomie    Moroccan Ghizlaine Chebbak crowned Player of the Year at CAF Awards 2025    CAF Awards 2025 : L'équipe du Maroc U20 désignée sélection masculine de l'année    Ministère public : Un service numérique pour renforcer la communication avec les usagers    Sortie de Sanae Takaichi sur Taiwan : mépris de textes ou provocation    Azzedine El Midaoui: «Nadie tocará la gratuidad de la educación superior pública»    Azzedine El Midaoui : «Personne ne touchera à la gratuité de l'enseignement supérieur public»    Be Magazine : Rabat se fait une place méritée dans les grandes tendances du voyage    Festival International du Film de Marrakech : La composition du jury dévoilée    Marrakech : l'UCA inaugure l'exposition « L'Afrique aux origines de la vie »    Jameel Motors renforce sa présence au Maroc avec la distribution des véhicules utilitaires JMC    Qualifs CDM 26 : Mardi décisif en Europe    A Washington, le Prince héritier d'Arabie Saoudite annonce 1.000 milliards de dollars d'investissements aux Etats-Unis    L'ambassadrice de Chine en visite à la Commune de Marrakech pour explorer les perspectives de coopération    Le Maroc redessine son modèle agricole grâce à une ingénierie financière de nouvelle génération    Rabat accueille jeudi la Conférence ministérielle africaine sur le Désarmement, la Démobilisation et la Réintégration des enfants soldats    Kénitra: Les informations sur un prétendu mariage par "la Fatiha" d'une mineure dénuées de tout fondement    Hammouchi préside la cérémonie d'excellence annuelle organisée par la Fondation Mohammed VI pour les oeuvres sociales du personnel de la Sûreté nationale    Regragui after 4–0 win : «We must arrive at AFCON as a united group»    PAM: Pas moins de 318 millions de personnes pourraient être confrontées à une crise alimentaire en 2026    Mafia : Le Maroc arrête le chef du clan d'Aprilia, activement recherché par l'Italie    CAF Awards 2025 : Ce mercredi, c'est "Soirée Cérémonie" !    Festival International du Film de Marrakech: la composition du jury de la 22e édition dévoilée    Marrakech Film Festival 2025 jury unites global cinema icons    Mélita Toscan du Plantier : Le FIFM soutient «l'émergence de nouvelles écritures autour du cinéma» [Interview]    FIFM 2025 : un jury cosmopolite et intergénérationnel    La Bourse de Casablanca ouvre en grise mine    Le ministère de la Santé assure l'évacuation sanitaire urgente d'un nouveau-né de Laâyoune vers Rabat    L'ambassadrice de Chine visite le Centre de langue chinoise "Mandarin" à Marrakech    Pressée par Trump, l'Algérie lâche les Palestiniens à l'ONU    L'artisanat marocain s'expose à Séville pour renforcer les liens culturels avec l'Andalousie    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité
Mohamed Ezzouak Publié dans Yabiladi le 25 - 01 - 2020

Les données personnelles, notamment de santé et les salaires, de plus de 3,5 millions d'assurés de la Caisse nationale de sécurité sociale (CNSS) étaient accessibles. Des vertus de la complémentarité entre lanceurs d'alerte, médias, et organismes publics.
Nos récentes révélations sur les failles de sécurité dans les systèmes d'information d'Autoroutes du Maroc (ADM) et la Caisse mutualiste interprofessionnelle marocaine (CMIM) ont mis en appétit les lanceurs d'alerte. Amusés par l'étonnante facilité d'accès des fichiers de logs avec email et mot de passe des adhérents de la CMIM, certains nous ont proposé un dossier bien plus volumineux et aussi inquiétant quant à nos données de santé.
«Les données des assurés CNSS sont accessibles à tout le monde sans aucune sécurité», nous a interpellé un lanceur d'alerte. C'est ainsi qu'a débuté notre enquête sur une faille de sécurité mettant à disposition les données personnelles de 3,5 millions d'assurés du secteur privé, ainsi que de leurs ayant droit. Le numéro de CIN, adresse postale, numéro de compte bancaire, historique des remboursements de santé avec descriptif détaillé, entre autres, nous ont été fourni comme preuve de l'existence de la faille de sécurité. Mieux encore, on a eu eu la possibilité d'accéder aux documents d'état des salaires. Ainsi, l'historique sur quatre ans des salaires de l'ensemble des assurés CNSS était également disponible.
Autoroutes du Maroc : Les données personnelles de 800 000 comptes Jawaz en libre accès
Face à l'ampleur du scandale, nous avons très vite contacté le responsable sécurité des systèmes d'information (RSSI) de la CNSS, Mohamed Hemrati, qui a été très réactif en nous aiguillant vers la responsable communication, Souad El Aoud, qui a demandé que nos questions soient adressées par email. Quelques jours après, un troisième responsable, Reda Benamar, nous appelle pour investiguer plus en profondeur sur la faille de sécurité avant de pouvoir répondre en détails. L'enchaînement a été très professionnel, à la hauteur de la prise de conscience de l'importance du sujet par la direction de la CNSS.
Etait-ce le résultat des premières révélations par Yabiladi des de sécurité chez ADM et la CMIM, ou bien la prudence et le professionnalisme de l'équipe de la CNSS ? En tout état de cause, les réponses à nos questions ont été à la hauteur des enjeux. Nous avons en outre pris le soin d'alerter le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) qui a toujours été très réactif sur nos précédentes révélations. Omar Seghrouchni a pris nos informations avec beaucoup de sérieux et nous a informé que l'institution qu'il dirige allait enquêter sur la faille en question.
Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Une alerte prise très au sérieux par la CNSS
Confirmant implicitement notre alerte sur une grave faille de sécurité, la CNSS a quant à elle assuré qu'elle avait été identifiée et corrigée. «La CNSS a récemment déployé une nouvelle version de son site web, cette opération a connu un bug, qui a été détecté et corrigé suite à un audit de sécurité du système d'information réalisé par un cabinet spécialisé», précise ainsi le RSSI dans sa réponse, reçue vendredi 24 janvier 2020. Une affirmation que nos sources dans le domaine du hacking ont pu nous confirmer dans la soirée.
«Consciente des risques de sécurité et de la 'Cyber-menace' qui ne cessent de s'intensifier, la CNSS mène régulièrement des audits de sécurité et des tests d'intrusions de l'ensemble de ses plates-formes et applications, et ce en application des directives et orientations en vigueur. En parallèle, une supervision 24/7 de son infrastructure est garantie par un SOC (Security Operation Center) en coordination avec une entité interne des experts en charge de la sécurité du système d'information de la CNSS.»
Mohamed Hemrati, RSSI de la CNSS
Si aucun système informatique ne peut être considéré comme infaillible, le rôle des responsables est de rester vigilants et à l'écoute des alertes qui peuvent provenir de l'extérieur. C'est ainsi que la CNSS a pu éviter la situation de crise dans laquelle sont plongés ADM et la CMIM, en faisant des journalistes et des hackers des lanceurs d'alerte et non des ennemis. Une belle illustration de ce que pourrait être la collaboration entre lanceurs d'alerte et organisations publiques et privées au Maroc, avec des alternatives au tout répressif de la législation actuelle, comme la divulgation responsable (responsible disclosure) ou des systèmes de bug bounty.
Article modifié le 2020/01/25 à 17h51

Cliquez ici pour lire l'article depuis sa source.