Le badge Jawaz vous permet de passer le péage d'autoroute plus facilement. Ce que Autoroutes du Maroc (ADM) ne nous a pas dit, c'est qu'il permet surtout de dévoiler avec une extrême simplicité vos données personnelles. On n'arrête pas le progrès. Depuis 2016, ADM a généralisé le télépéage sur les 1 800 kilomètres d'autoroutes du pays. Un vrai confort pour les 800 000 clients possédant le badge Jawaz, ce petit appareil muni d'une puce RFID que vous rechargez et qui vous permet de passer le péage de manière automatique, en évitant les longues files d'attente sur les voies de péage manuel. Bien qu'il y ait eu quelques geeks ou influenceurs qui ont tenté de ternir l'image du pass Jawaz, ni ADM, ni les clients n'ont connu de souci sérieux au niveau sécurité et massif jusqu'ici. Car pour hacker la puce RFID, il faut tout de même être proche du badge Jawaz et maîtriser quelques éléments technologiques. Pourtant, la faille de sécurité se trouve moins dans le badge que dans le site internet d'autoroute du Maroc. En effet, il suffit de connaître le numéro du badge Jawaz pour pouvoir récupérer toutes les données personnelles du client, via le site internet ADM. Ainsi, par une faille technique de débutant, la société anonyme à capitaux publics offre potentiellement accès à l'ensemble des données personnelles de ses 800 000 clients Jawaz. En plus du nom, prénom, adresse et téléphone, nous avons pu obtenir aussi le numéro de CIN et l'intégralité de l'historique des trajets payés via le pass Jawaz. Un gruyère informatique au Maroc Si pour de nombreuses personnes la fuite de ces données reste anodine, certains clients pourront s'inquiéter de voir leurs trajets scrutés par leur conjoint par exemple. - Ahmed, ta réunion de travail à Agadir s'est bien passée ? - Oui Najat, fatiguantes les 5 heures de route. - J'imagine oui. Mais pourquoi tu es passé par le télépéage de Tanger à 18h57 ? Ce dialogue est la version 2019 de la célèbre chanson de Najat Aatabou, «Kedba bayna» (flagrant délit de mensonge), qui vous est offerte par Autoroutes du Maroc. Blague à part, ce laxisme au niveau de la sécurité des systèmes d'information est inquiétant pour la protection des données personnelles. ADM s'engage pourtant dans cette protection et le rappelle sur toutes les pages de son site : Le site Autoroutes du Maroc est conforme à la loi 09-08 relative à la protection des personnes physiques à l´égard du traitement des données à caractère personnel Autorisation du CNDP(A-IN-130/2013). Si pour le cas du pass Jawaz, les dégâts restent limités, d'autres failles dans la protection des systèmes d'information sur lesquelles nous enquêtons témoignent de l'urgence d'une vraie prise de conscience de la sécurité information au Maroc. Disclaimer Nous avons tenté de joindre à plusieurs reprises ADM pour les alerter sur cette faille. Aucun membre de la direction contacté n'a répondu à nos appels. Conformément à la loi, nous ne divulguons pas la méthode pour accéder aux données des 800 000 clients que nous avons pu reproduire sans avoir d'expertise en sécurité informatique. Nous nous tenons à la disposition des équipes ADM afin de leur communiquer les détails de cette faille pour qu'ils puissent la corriger.
