RamadanIA Hackathon : quand la jeunesse marocaine transforme l'IA en moteur économique    Des transformations en Amérique latine... le recul du soutien de Cuba et du Venezuela au Polisario reflète un changement du rapport de forces en faveur du Maroc    De l'Iran à l'Algérie... comment le Maroc a choisi la confrontation diplomatique avec ses adversaires    LdC de la CAF: La RSB and Al Hilal Omdurman se neutralisent    King Mohammed VI Holds Phone Call with Mohammed bin Zayed on Regional Developments, Reaffirms Morocco's Solidarity with the UAE    Casablanca: DS Automobiles lance le "DS café culturel"    Football. Ayoub Bouaddi jouera pour le Maroc    Guerre en Iran: le PJD demande la comparution de deux ministres au Parlement    Port de Tan-Tan: Forte affluence tout le long du mois de Ramadan    Toyota N°1 mondial pour la sixième année consécutive    Coupe de la CAF : Le duel Olympic Safi contre Wydad Casablanca pour une place en demi-finale    Les Émirats annoncent une attaque au drone contre leur consulat à Erbil    Détroit d'Ormuz: Donald Trump annonce le déploiement de bâtiments de guerre de plusieurs pays    Maroc : hausse attendue du prix du gasoil dans les prochains jours    Lions de l'Atlas : la piste Issa Diop refait surface    Vahid Halilhodzic pleure toujours : « On m'a volé la Coupe du Monde »    L'Egypte accorde aux Marocains un visa à entrées multiples valable 5 ans    US Senators submit new bill to designate Polisario Front as terrorist group    Egypt offers 5-year multiple-entry visas to Moroccan travelers    Issa Diop to represent Morocco in international football switch    Royal Air Maroc prolonge la suspension de ses vols vers Dubaï et Doha jusqu'à fin mars    Salah-Eddine, Saibari et Driouech proches du titre avec le PSV    Le Sénat américain s'empare du dossier du polisario et envisage sa désignation comme organisation terroriste    Plus de 1,6 billion de dollars pour l'économie maritime chinoise    Maroc-Espagne : un iftar au pavillon Hassan II pour célébrer le dialogue des cultures    Intégration professionnelle des jeunes : Lancement du dispositif Idmaj pour les non-diplômés    AGR : Consensus des investisseurs en faveur d'un taux directeur inchangé    Revue de presse de ce samedi 14 mars 2026    Propriété industrielle : Le Maroc confirme son leadership en Afrique et dans les pays arabes    Ligue des champions CAF: Les FAR font match nul avec Pyramids    André Azoulay à la Fondation des Trois Cultures : un appel au respect de l'altérité    Stand-up : les Nuits de l'Humour francophone font escale à Marrakech, Casablanca et Rabat    Photographie : « L'appel du large », les jeunes talents invités à exposer leur regard    Cannabis médical. L'AMMPS et l'ANRAC s'accordent sur les procédures d'enregistrement    Ministère public : Une nouvelle circulaire sur la protection des catégories vulnérables    À Paris.. le Maroc met en avant son expérience en matière de souveraineté alimentaire devant l'Assemblée parlementaire du Conseil de l'Europe    UE : Les flux migratoires depuis le Maroc baissent, ceux depuis l'Algérie augmentent    Ayoub El Kaabi prolonge l'aventure avec l'Olympiakos    Festival Gnaoua. Berklee College of Music revient pour sa 3e édition à Essaouira    Jazzablanca 2026 : la Scène 21 célèbre le jazz et les explorations musicales    Désarmement chimique : le Maroc élu à la présidence du Conseil exécutif de l'OIAC    Une première en Afrique : à Casablanca, Oncorad Group réalise un traitement de tumeur inédit    Nicole Kidman partage l'impact de son séjour au Maroc sur l'éducation de ses enfants    Transport de devises. Important rappel de la Guardia Civil aux Marocains se rendant à Ceuta    Le Maroc prépare un plan pour rapatrier ses ressortissants liés à l'Etat islamique depuis l'Irak    Espagne: L'artisanat marocain primé à Séville    Agressions iraniennes: les appels téléphoniques de SM le Roi avec plusieurs dirigeants des pays du CCG, une expression de la solidarité fraternelle constante du Maroc avec ces Etats (Bourita)    Les températures attendues ce vendredi 13 mars 2026    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité
Mohamed Ezzouak Publié dans Yabiladi le 25 - 01 - 2020

Les données personnelles, notamment de santé et les salaires, de plus de 3,5 millions d'assurés de la Caisse nationale de sécurité sociale (CNSS) étaient accessibles. Des vertus de la complémentarité entre lanceurs d'alerte, médias, et organismes publics.
Nos récentes révélations sur les failles de sécurité dans les systèmes d'information d'Autoroutes du Maroc (ADM) et la Caisse mutualiste interprofessionnelle marocaine (CMIM) ont mis en appétit les lanceurs d'alerte. Amusés par l'étonnante facilité d'accès des fichiers de logs avec email et mot de passe des adhérents de la CMIM, certains nous ont proposé un dossier bien plus volumineux et aussi inquiétant quant à nos données de santé.
«Les données des assurés CNSS sont accessibles à tout le monde sans aucune sécurité», nous a interpellé un lanceur d'alerte. C'est ainsi qu'a débuté notre enquête sur une faille de sécurité mettant à disposition les données personnelles de 3,5 millions d'assurés du secteur privé, ainsi que de leurs ayant droit. Le numéro de CIN, adresse postale, numéro de compte bancaire, historique des remboursements de santé avec descriptif détaillé, entre autres, nous ont été fourni comme preuve de l'existence de la faille de sécurité. Mieux encore, on a eu eu la possibilité d'accéder aux documents d'état des salaires. Ainsi, l'historique sur quatre ans des salaires de l'ensemble des assurés CNSS était également disponible.
Autoroutes du Maroc : Les données personnelles de 800 000 comptes Jawaz en libre accès
Face à l'ampleur du scandale, nous avons très vite contacté le responsable sécurité des systèmes d'information (RSSI) de la CNSS, Mohamed Hemrati, qui a été très réactif en nous aiguillant vers la responsable communication, Souad El Aoud, qui a demandé que nos questions soient adressées par email. Quelques jours après, un troisième responsable, Reda Benamar, nous appelle pour investiguer plus en profondeur sur la faille de sécurité avant de pouvoir répondre en détails. L'enchaînement a été très professionnel, à la hauteur de la prise de conscience de l'importance du sujet par la direction de la CNSS.
Etait-ce le résultat des premières révélations par Yabiladi des de sécurité chez ADM et la CMIM, ou bien la prudence et le professionnalisme de l'équipe de la CNSS ? En tout état de cause, les réponses à nos questions ont été à la hauteur des enjeux. Nous avons en outre pris le soin d'alerter le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) qui a toujours été très réactif sur nos précédentes révélations. Omar Seghrouchni a pris nos informations avec beaucoup de sérieux et nous a informé que l'institution qu'il dirige allait enquêter sur la faille en question.
Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Une alerte prise très au sérieux par la CNSS
Confirmant implicitement notre alerte sur une grave faille de sécurité, la CNSS a quant à elle assuré qu'elle avait été identifiée et corrigée. «La CNSS a récemment déployé une nouvelle version de son site web, cette opération a connu un bug, qui a été détecté et corrigé suite à un audit de sécurité du système d'information réalisé par un cabinet spécialisé», précise ainsi le RSSI dans sa réponse, reçue vendredi 24 janvier 2020. Une affirmation que nos sources dans le domaine du hacking ont pu nous confirmer dans la soirée.
«Consciente des risques de sécurité et de la 'Cyber-menace' qui ne cessent de s'intensifier, la CNSS mène régulièrement des audits de sécurité et des tests d'intrusions de l'ensemble de ses plates-formes et applications, et ce en application des directives et orientations en vigueur. En parallèle, une supervision 24/7 de son infrastructure est garantie par un SOC (Security Operation Center) en coordination avec une entité interne des experts en charge de la sécurité du système d'information de la CNSS.»
Mohamed Hemrati, RSSI de la CNSS
Si aucun système informatique ne peut être considéré comme infaillible, le rôle des responsables est de rester vigilants et à l'écoute des alertes qui peuvent provenir de l'extérieur. C'est ainsi que la CNSS a pu éviter la situation de crise dans laquelle sont plongés ADM et la CMIM, en faisant des journalistes et des hackers des lanceurs d'alerte et non des ennemis. Une belle illustration de ce que pourrait être la collaboration entre lanceurs d'alerte et organisations publiques et privées au Maroc, avec des alternatives au tout répressif de la législation actuelle, comme la divulgation responsable (responsible disclosure) ou des systèmes de bug bounty.
Article modifié le 2020/01/25 à 17h51

Cliquez ici pour lire l'article depuis sa source.