À Alger, Washington rappelle sa ligne sur le dossier du Sahara marocain    Akhannouch : le succès sportif du Maroc, fruit d'une vision stratégique et non d'un hasard    Tourisme. L'Afrique attire le monde    Renault Maroc: plus de 82 % de sa production exportée en 2025    TPME. Bank Of Africa déploie une nouvelle offre d'appui à l'investissement    Finances publiques 2025. Les recettes ordinaires explosent    La France a délivré près de 400.000 titres de séjour en 2025    Maroc-Sénégal : M. Sonko pour un partenariat économique fondé sur l'intégration des chaînes de valeur    L'Espagne prépare une vaste régularisation pouvant concerner près de 500 000 migrants    Ligue des champions: Hakimi présent à l'entrainement avant le choc contre Newcastle    L'OMS exhorte les écoles à promouvoir une alimentation saine chez les enfants    "Ce geste vient d'ailleurs", une exposition collective au Palais Bahia, dans le programme "What's On" de 1:54    Lobbying aux Etats-Unis : le Maroc et l'Algérie intensifient leurs dépenses    Sáhara: En el Consejo de Seguridad, Estados Unidos reitera su apoyo a la solución de autonomía    CAN 2025 : la Fédération sénégalaise auditionnée par la CAF après la finale face au Maroc    Akhannouch : 1,2 million d'élèves bénéficient des activités sportives scolaires    Akhannouch : «Le Maroc déterminé à ériger le sport en levier de rayonnement continental»    CV c'est vous ! Ep 89. Mohammed Amine Jemoumkh, le marketing manager à plusieurs casquettes    Festival MOGA : Un modèle à fort impact socio-économique    L'Algérie considère l'ambassadeur de France comme persona non grata [Médias]    Mexique : Intense lutte d'influence entre le Maroc et le Polisario    Un ministre espagnol cite le référendum au Sahara comme solution en contradiction avec la position de l'Espagne    Suspensión temporal del tráfico marítimo en Tánger Med debido a las condiciones meteorológicas    Tanger : Arrestation d'un ressortissant français recherché par les autorités judiciaires de son pays    Ceuta : La police espagnole neutralise un engin explosif près de la frontière marocaine    Rayane Bounida proche du Maroc : le Real et le Barça déjà dessus    Les Lionceaux et Lioncelles raflent les trophées UNAF qualificatifs à la CAN scolaire    L'AMMC présente ses priorités d'actions pour 2026    Mondial 2030 : Le président de la RFEF affirme que la finale aura lieu en Espagne, la FIFA temporise    Royaume-Uni : L'AS FAR aux phases finales de la première Coupe des Champions Féminine de la FIFA    Mondial des clubs 2029 : le Brésil se positionne officiellement comme candidat    AMDIE : plus de 55 milliards de DH de projets approuvés au premier semestre 2025    France: l'Assemblée nationale adopte l'interdiction des réseaux sociaux aux moins de 15 ans    Détroit de Gibraltar : Une intervention d'urgence évite une pollution maritime    Le dispositif juridique marocain d'accompagnement des manifestations sportives mis en avant à Doha    Rabat lance la 2e édition du programme "Video Game Creator"    Mer fortement agitée et vagues dangereuses sur l'Atlantique et la Méditerranée à partir de mercredi    Averses, fortes pluies et rafales de vent de mardi à jeudi dans plusieurs Provinces    La NASA décerne au Dr Kamal Ouddghiri la Médaille du leadership exceptionnel    Hammouchi s'entretient à Rabat avec le directeur de la police, chef de l'unité nationale spécialisée dans la lutte contre la criminalité organisée au Danemark    Communiqué. Le Sénégal réitère son soutien ferme et constant à la souveraineté du Maroc sur son Sahara    Les barrages du bassin de Sebou affichent un taux de remplissage de 66,1%    Kech El Oudaïa accueille une soirée de dégustation chinoise avec le soutien de l'OFPPT    Afric'Artech : Casablanca accueille le premier grand rendez-vous continental de la créativité numérique africaine    Mode : Le boubou à l'ère de la modernité    MOBO Awards : la scène africaine brille parmi les nominations 2026    Ramadan : le ministère des Habous renforce ses efforts pour de meilleures conditions    Le journaliste marocain Najib Salmi n'est plus    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité
Mohamed Ezzouak Publié dans Yabiladi le 25 - 01 - 2020

Les données personnelles, notamment de santé et les salaires, de plus de 3,5 millions d'assurés de la Caisse nationale de sécurité sociale (CNSS) étaient accessibles. Des vertus de la complémentarité entre lanceurs d'alerte, médias, et organismes publics.
Nos récentes révélations sur les failles de sécurité dans les systèmes d'information d'Autoroutes du Maroc (ADM) et la Caisse mutualiste interprofessionnelle marocaine (CMIM) ont mis en appétit les lanceurs d'alerte. Amusés par l'étonnante facilité d'accès des fichiers de logs avec email et mot de passe des adhérents de la CMIM, certains nous ont proposé un dossier bien plus volumineux et aussi inquiétant quant à nos données de santé.
«Les données des assurés CNSS sont accessibles à tout le monde sans aucune sécurité», nous a interpellé un lanceur d'alerte. C'est ainsi qu'a débuté notre enquête sur une faille de sécurité mettant à disposition les données personnelles de 3,5 millions d'assurés du secteur privé, ainsi que de leurs ayant droit. Le numéro de CIN, adresse postale, numéro de compte bancaire, historique des remboursements de santé avec descriptif détaillé, entre autres, nous ont été fourni comme preuve de l'existence de la faille de sécurité. Mieux encore, on a eu eu la possibilité d'accéder aux documents d'état des salaires. Ainsi, l'historique sur quatre ans des salaires de l'ensemble des assurés CNSS était également disponible.
Autoroutes du Maroc : Les données personnelles de 800 000 comptes Jawaz en libre accès
Face à l'ampleur du scandale, nous avons très vite contacté le responsable sécurité des systèmes d'information (RSSI) de la CNSS, Mohamed Hemrati, qui a été très réactif en nous aiguillant vers la responsable communication, Souad El Aoud, qui a demandé que nos questions soient adressées par email. Quelques jours après, un troisième responsable, Reda Benamar, nous appelle pour investiguer plus en profondeur sur la faille de sécurité avant de pouvoir répondre en détails. L'enchaînement a été très professionnel, à la hauteur de la prise de conscience de l'importance du sujet par la direction de la CNSS.
Etait-ce le résultat des premières révélations par Yabiladi des de sécurité chez ADM et la CMIM, ou bien la prudence et le professionnalisme de l'équipe de la CNSS ? En tout état de cause, les réponses à nos questions ont été à la hauteur des enjeux. Nous avons en outre pris le soin d'alerter le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) qui a toujours été très réactif sur nos précédentes révélations. Omar Seghrouchni a pris nos informations avec beaucoup de sérieux et nous a informé que l'institution qu'il dirige allait enquêter sur la faille en question.
Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Une alerte prise très au sérieux par la CNSS
Confirmant implicitement notre alerte sur une grave faille de sécurité, la CNSS a quant à elle assuré qu'elle avait été identifiée et corrigée. «La CNSS a récemment déployé une nouvelle version de son site web, cette opération a connu un bug, qui a été détecté et corrigé suite à un audit de sécurité du système d'information réalisé par un cabinet spécialisé», précise ainsi le RSSI dans sa réponse, reçue vendredi 24 janvier 2020. Une affirmation que nos sources dans le domaine du hacking ont pu nous confirmer dans la soirée.
«Consciente des risques de sécurité et de la 'Cyber-menace' qui ne cessent de s'intensifier, la CNSS mène régulièrement des audits de sécurité et des tests d'intrusions de l'ensemble de ses plates-formes et applications, et ce en application des directives et orientations en vigueur. En parallèle, une supervision 24/7 de son infrastructure est garantie par un SOC (Security Operation Center) en coordination avec une entité interne des experts en charge de la sécurité du système d'information de la CNSS.»
Mohamed Hemrati, RSSI de la CNSS
Si aucun système informatique ne peut être considéré comme infaillible, le rôle des responsables est de rester vigilants et à l'écoute des alertes qui peuvent provenir de l'extérieur. C'est ainsi que la CNSS a pu éviter la situation de crise dans laquelle sont plongés ADM et la CMIM, en faisant des journalistes et des hackers des lanceurs d'alerte et non des ennemis. Une belle illustration de ce que pourrait être la collaboration entre lanceurs d'alerte et organisations publiques et privées au Maroc, avec des alternatives au tout répressif de la législation actuelle, comme la divulgation responsable (responsible disclosure) ou des systèmes de bug bounty.
Article modifié le 2020/01/25 à 17h51

Cliquez ici pour lire l'article depuis sa source.