À Genève, le Maroc salue les engagements de l'Egypte pour les droits humains    Rabat prolonge jusqu'au 30 septembre le délai de dépôt des demandes d'aide aux secteurs de la presse et de l'édition    Maroc-Tchéquie: coopération stratégique pour le déploiement de la technologie de production d'eau à partir de l'air    Alerte météo au Maroc : Jusqu'à 46° et averses orageuses, de mercredi à samedi    Larache : décès d'un détenu impliqué dans l'affaire de la "cellule de Chamharouch"    Les fintechs marocaines à l'honneur lors de l'édition 2025 de l'Immersive Fintech Day by AWB & KPMG    Démantèlement d'une cellule terroriste affiliée à la soi-disant organisation "Etat islamique" s'activant entre Tétouan et Chefchaouen    UE : Les énergies renouvelables, principale source d'électricité en 2024    Italie : 500 000 travailleurs étrangers d'ici 2028 pour répondre à la pénurie de main-d'œuvre    Spartak recalé : Ounahi pourrait privilégier un retour en Grèce    Le PSV Eindhoven fixe le prix pour libérer Ismael Saibari    Liga : Un club courtise Munir El Haddadi    Relever les défis du développement social requiert une vision régionale et internationale unifiée    Nadia Hai : Une Franco-Marocaine au cœur des enjeux méditerranéens    Prévisions météorologiques pour le jeudi 3 juillet 2025    Sécurité pénitentiaire : Peut-on atteindre le modèle « prison safe » ? [INTEGRAL]    Sidi Bennour : Une Unité Médicale Mobile Connectée en mission à Khmiss Ksiba    Office des Changes : Nouvelle stratégie pour la période 2025-2029    Le Maroc et l'Azerbaïdjan approfondissent leur concertation dans les domaines sociaux    Bourse de Casablanca : ouverture en baisse    Sécheresse. Kamal Aberkani : "Il faut développer une planification agricole adaptée au stress hydrique durable"    Espagne : Deux Marocains arrêtés pour avoir organisé l'entrée et l'abandon d'un mineur    Ahmed El Yacoubi: bras armé de MHE pour la transformation de Saham Bank    Ecomondo 2025 en route : trois étapes internationales vers la prochaine édition au parc des expositions en Italie    Classement hôtelier : Les premières évaluations pour bientôt    CGEM : nouveau cap stratégique avec l'Asie du Sud-Est    Maroc : Mohamed Boudrika condamné à 5 ans de prison    Moroccan women's football team ready for CAN 2024 kickoff with high spirits    La FMEJ denuncia su exclusión de las consultas sobre las leyes de regulación del sector de la prensa    Le Bureau central d'investigations judiciaires démantèle une cellule acquise à l'Etat islamique entre Tétouan et Chefchaouen    Le Polisario apparaît comme nouveau vecteur de déstabilisation téléguidé par l'Iran, selon The Telegraph    CAN (F) 2024 : La CAF dévoile aujourd'hui le nouveau trophée à Casablanca    J-3. CAN (F) 2024 : le Maroc, pilier du football féminin africain    Le Maroc renforce sa position en tant que partenaire fiable dans la lutte contre l'exploitation sexuelle au sein des opérations de l'ONU    CAN féminine (Maroc-2024): « les joueuses ont hâte d'entamer la compétition » (Jorge Vilda)    CDM 2025 : Dortmund défiera le Real en quarts    El Jadida : Le nouveau procureur du Roi sonne la charge contre les entorses à la sacralité de la Justice ...!    El Jadida : Le Parc Mohammed V, un joyau en péril, attend sa renaissance !    Mawazine : Des cachets en or, un drapeau en option    France : Plusieurs vols annulés jeudi en raison d'une grève des contrôleurs aériens    Doha : 15 ouvrages marocains en lice pour le Prix Katara du roman arabe    Mawazine 2025: Plus de 3,75 millions de festivaliers pour la 20e édition    Syrie : Un parti appelle le président Al-Charaa à désigner le Polisario une organisation terroriste.    Sahara : Pour freiner la dynamique marocaine, l'Algérie promet 1 MM $ aux pays africains    Fiasco Mawazine : Sherine menace de poursuites judiciaires pour atteinte à son honneur    Boualem Sansal condamné à cinq ans de prison en appel à Alger dans un procès scandaleux    Marrakech inaugure l'année de la jeunesse du monde islamique    Trafic des biens culturels : Bensaid expose les mesures prises par le Maroc    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité
Mohamed Ezzouak Publié dans Yabiladi le 25 - 01 - 2020

Les données personnelles, notamment de santé et les salaires, de plus de 3,5 millions d'assurés de la Caisse nationale de sécurité sociale (CNSS) étaient accessibles. Des vertus de la complémentarité entre lanceurs d'alerte, médias, et organismes publics.
Nos récentes révélations sur les failles de sécurité dans les systèmes d'information d'Autoroutes du Maroc (ADM) et la Caisse mutualiste interprofessionnelle marocaine (CMIM) ont mis en appétit les lanceurs d'alerte. Amusés par l'étonnante facilité d'accès des fichiers de logs avec email et mot de passe des adhérents de la CMIM, certains nous ont proposé un dossier bien plus volumineux et aussi inquiétant quant à nos données de santé.
«Les données des assurés CNSS sont accessibles à tout le monde sans aucune sécurité», nous a interpellé un lanceur d'alerte. C'est ainsi qu'a débuté notre enquête sur une faille de sécurité mettant à disposition les données personnelles de 3,5 millions d'assurés du secteur privé, ainsi que de leurs ayant droit. Le numéro de CIN, adresse postale, numéro de compte bancaire, historique des remboursements de santé avec descriptif détaillé, entre autres, nous ont été fourni comme preuve de l'existence de la faille de sécurité. Mieux encore, on a eu eu la possibilité d'accéder aux documents d'état des salaires. Ainsi, l'historique sur quatre ans des salaires de l'ensemble des assurés CNSS était également disponible.
Autoroutes du Maroc : Les données personnelles de 800 000 comptes Jawaz en libre accès
Face à l'ampleur du scandale, nous avons très vite contacté le responsable sécurité des systèmes d'information (RSSI) de la CNSS, Mohamed Hemrati, qui a été très réactif en nous aiguillant vers la responsable communication, Souad El Aoud, qui a demandé que nos questions soient adressées par email. Quelques jours après, un troisième responsable, Reda Benamar, nous appelle pour investiguer plus en profondeur sur la faille de sécurité avant de pouvoir répondre en détails. L'enchaînement a été très professionnel, à la hauteur de la prise de conscience de l'importance du sujet par la direction de la CNSS.
Etait-ce le résultat des premières révélations par Yabiladi des de sécurité chez ADM et la CMIM, ou bien la prudence et le professionnalisme de l'équipe de la CNSS ? En tout état de cause, les réponses à nos questions ont été à la hauteur des enjeux. Nous avons en outre pris le soin d'alerter le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) qui a toujours été très réactif sur nos précédentes révélations. Omar Seghrouchni a pris nos informations avec beaucoup de sérieux et nous a informé que l'institution qu'il dirige allait enquêter sur la faille en question.
Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Une alerte prise très au sérieux par la CNSS
Confirmant implicitement notre alerte sur une grave faille de sécurité, la CNSS a quant à elle assuré qu'elle avait été identifiée et corrigée. «La CNSS a récemment déployé une nouvelle version de son site web, cette opération a connu un bug, qui a été détecté et corrigé suite à un audit de sécurité du système d'information réalisé par un cabinet spécialisé», précise ainsi le RSSI dans sa réponse, reçue vendredi 24 janvier 2020. Une affirmation que nos sources dans le domaine du hacking ont pu nous confirmer dans la soirée.
«Consciente des risques de sécurité et de la 'Cyber-menace' qui ne cessent de s'intensifier, la CNSS mène régulièrement des audits de sécurité et des tests d'intrusions de l'ensemble de ses plates-formes et applications, et ce en application des directives et orientations en vigueur. En parallèle, une supervision 24/7 de son infrastructure est garantie par un SOC (Security Operation Center) en coordination avec une entité interne des experts en charge de la sécurité du système d'information de la CNSS.»
Mohamed Hemrati, RSSI de la CNSS
Si aucun système informatique ne peut être considéré comme infaillible, le rôle des responsables est de rester vigilants et à l'écoute des alertes qui peuvent provenir de l'extérieur. C'est ainsi que la CNSS a pu éviter la situation de crise dans laquelle sont plongés ADM et la CMIM, en faisant des journalistes et des hackers des lanceurs d'alerte et non des ennemis. Une belle illustration de ce que pourrait être la collaboration entre lanceurs d'alerte et organisations publiques et privées au Maroc, avec des alternatives au tout répressif de la législation actuelle, comme la divulgation responsable (responsible disclosure) ou des systèmes de bug bounty.
Article modifié le 2020/01/25 à 17h51

Cliquez ici pour lire l'article depuis sa source.