CAN U17 : Le Maroc affronte l'Afrique du Sud en quarts de finale    CAN U17/Nabil Baha : Il faut plus d'efforts pour espérer glaner le titre    Coupe du Trône: Les résultats des huitièmes de finale    Le cheikh de la Tariqa Qadiriya Boutchichiya hospitalisé à Rabat    Les tarifs américains au centre d'entretiens entre Starmer et Macron    Tarifs américains : la Bourse saoudienne recule de 6,78%, plus forte baisse en cinq ans    Le nombre de personnes respirant un air très pollué peut être réduit de moitié d'ici à 2040 (Banque mondiale)    Tarifs américains : Starmer s'engage à protéger l'industrie britannique    Trump, l'Occident et nous !    Finances : Les banques et le BTP, locomotives du marché boursier    Export : L'ASMEX explore les opportunités du marché égyptien    Extension de la LGV Kenitra-Marrakech. Un contrat de 200 millions d'euros attribué à l'italien Generale Costruzioni Ferroviarie    Dans un ton ferme, le ministre des Affaires étrangères malien : Les pays de la coalition du Sahel dénoncent l'acte hostile algérien et ce qu'a fait l'Algérie est considéré comme une agression contre toute la coalition    Affaire du drone malien : Mali, Niger et Burkina Faso rappellent leurs ambassadeurs à Alger    Crash d'un drone de l'armée malienne... Les enquêtes révèlent qu'il a été abattu par une attaque de missile de l'armée algérienne    Le gouvernement malien porte plainte contre l'Algérie devant des instances internationales spécialisées pour atteinte à la souveraineté malienne    L'AES fustige une «agression délibérée» de l'Algérie après la destruction d'un drone malien à Kidal    Rabat : Manifestation massive contre les génocides à Gaza    Le chef de la diplomatie française annonce "une nouvelle phase" entre Paris et Alger    Le Maroc réaffirme son engagement au sein du réseau parlementaire du Mouvement des non-alignés lors d'un échange de haut niveau avec l'Azerbaïdjan    UIP : Les parlements des pays non-alignés adoptent la Déclaration de Tachkent    L'Agence météorologique espagnole inclut la carte complète du Maroc avec son Sahara dans ses cartes officielles    CAN U17/ Les Lionceaux filent vers les quarts et la CDM Qatar 25    Morocco dominates opening stage of 39th Marathon des Sables    Basket A L / Conférence Kalahari - Rabat 25 : Programme de ce dimanche    CAN U17 : Aujourd'hui, Maroc-Tanzanie pour la qualification : Horaire ? Chaines ?    FUS Rabat sufre segunda derrota en la Liga africana de baloncesto frente a Rivers Hoopers    CAN U17: Marruecos vence a Tanzania 3-0 y avanza a cuartos de final    Expulsión de un marroquí tras cumplir condena en España: prohibición de regreso por 7 años    Safi: Deux individus interpellés pour port d'arme blanche sans motif légitime et menace de commettre des crimes    Espagne : Démantèlement d'un vaste réseau de trafic de drogue opérant via le port de Valence    Sahara : L'Algérie réitère à De Mistura son «statut d'observateur»    Tunisie : l'ALECSO appelle à la préservation et la numérisation du manuscrit arabe    MAGAZINE : Yves Boisset, l'homme dégagé    Le Maroc promet une riposte ferme après l'échec d'une tentative terroriste dans la zone tampon    Un Marocain condamné pour vols violents expulsé d'Espagne en vertu de l'article 89 du code pénal    Au Maroc, les loueurs de voitures scrutent un assainissement progressif du secteur et les effets régulateurs du nouveau cahier des charges    ONMT : ouverture des travaux de la convention Welcome Travel Group    Délocalisation vers le Maroc : la CGT s'oppose aux suppressions d'emplois chez JTEKT France    Maroc : remaniement législatif en vue dans les secteurs de l'énergie et des ressources    À Guelmim, le président du conseil communal affilié au RNI Hassan Talbi et dix-huit personnes condamnés pour détournement de fonds publics    Séisme en Birmanie : le bilan grimpe à près de 3.500 morts    L'Université Al Akhawayn rend hommage à Izza Génini, figure du documentaire marocain    Au cœur de Paris, la culture marocaine s'empare de l'emblématique Place Saint-Michel    Festivals de cinéma: plus de 6,7 MDH octroyés par le CCM pour 29 projets    La mort de l'ancien international marocain Bouhlal à l'âge de 54 ans    Festivals cinématographiques : 29 manifestations soutenues pour un montant global de 6,8 millions de dirhams    La session printanière du 46e Moussem culturel international d'Assilah du 5 au 20 avril    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité
Mohamed Ezzouak Publié dans Yabiladi le 25 - 01 - 2020

Les données personnelles, notamment de santé et les salaires, de plus de 3,5 millions d'assurés de la Caisse nationale de sécurité sociale (CNSS) étaient accessibles. Des vertus de la complémentarité entre lanceurs d'alerte, médias, et organismes publics.
Nos récentes révélations sur les failles de sécurité dans les systèmes d'information d'Autoroutes du Maroc (ADM) et la Caisse mutualiste interprofessionnelle marocaine (CMIM) ont mis en appétit les lanceurs d'alerte. Amusés par l'étonnante facilité d'accès des fichiers de logs avec email et mot de passe des adhérents de la CMIM, certains nous ont proposé un dossier bien plus volumineux et aussi inquiétant quant à nos données de santé.
«Les données des assurés CNSS sont accessibles à tout le monde sans aucune sécurité», nous a interpellé un lanceur d'alerte. C'est ainsi qu'a débuté notre enquête sur une faille de sécurité mettant à disposition les données personnelles de 3,5 millions d'assurés du secteur privé, ainsi que de leurs ayant droit. Le numéro de CIN, adresse postale, numéro de compte bancaire, historique des remboursements de santé avec descriptif détaillé, entre autres, nous ont été fourni comme preuve de l'existence de la faille de sécurité. Mieux encore, on a eu eu la possibilité d'accéder aux documents d'état des salaires. Ainsi, l'historique sur quatre ans des salaires de l'ensemble des assurés CNSS était également disponible.
Autoroutes du Maroc : Les données personnelles de 800 000 comptes Jawaz en libre accès
Face à l'ampleur du scandale, nous avons très vite contacté le responsable sécurité des systèmes d'information (RSSI) de la CNSS, Mohamed Hemrati, qui a été très réactif en nous aiguillant vers la responsable communication, Souad El Aoud, qui a demandé que nos questions soient adressées par email. Quelques jours après, un troisième responsable, Reda Benamar, nous appelle pour investiguer plus en profondeur sur la faille de sécurité avant de pouvoir répondre en détails. L'enchaînement a été très professionnel, à la hauteur de la prise de conscience de l'importance du sujet par la direction de la CNSS.
Etait-ce le résultat des premières révélations par Yabiladi des de sécurité chez ADM et la CMIM, ou bien la prudence et le professionnalisme de l'équipe de la CNSS ? En tout état de cause, les réponses à nos questions ont été à la hauteur des enjeux. Nous avons en outre pris le soin d'alerter le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) qui a toujours été très réactif sur nos précédentes révélations. Omar Seghrouchni a pris nos informations avec beaucoup de sérieux et nous a informé que l'institution qu'il dirige allait enquêter sur la faille en question.
Maroc : Les données de santé de 115 000 assurés en libre service [Enquête exclusive]
Une alerte prise très au sérieux par la CNSS
Confirmant implicitement notre alerte sur une grave faille de sécurité, la CNSS a quant à elle assuré qu'elle avait été identifiée et corrigée. «La CNSS a récemment déployé une nouvelle version de son site web, cette opération a connu un bug, qui a été détecté et corrigé suite à un audit de sécurité du système d'information réalisé par un cabinet spécialisé», précise ainsi le RSSI dans sa réponse, reçue vendredi 24 janvier 2020. Une affirmation que nos sources dans le domaine du hacking ont pu nous confirmer dans la soirée.
«Consciente des risques de sécurité et de la 'Cyber-menace' qui ne cessent de s'intensifier, la CNSS mène régulièrement des audits de sécurité et des tests d'intrusions de l'ensemble de ses plates-formes et applications, et ce en application des directives et orientations en vigueur. En parallèle, une supervision 24/7 de son infrastructure est garantie par un SOC (Security Operation Center) en coordination avec une entité interne des experts en charge de la sécurité du système d'information de la CNSS.»
Mohamed Hemrati, RSSI de la CNSS
Si aucun système informatique ne peut être considéré comme infaillible, le rôle des responsables est de rester vigilants et à l'écoute des alertes qui peuvent provenir de l'extérieur. C'est ainsi que la CNSS a pu éviter la situation de crise dans laquelle sont plongés ADM et la CMIM, en faisant des journalistes et des hackers des lanceurs d'alerte et non des ennemis. Une belle illustration de ce que pourrait être la collaboration entre lanceurs d'alerte et organisations publiques et privées au Maroc, avec des alternatives au tout répressif de la législation actuelle, comme la divulgation responsable (responsible disclosure) ou des systèmes de bug bounty.
Article modifié le 2020/01/25 à 17h51

Cliquez ici pour lire l'article depuis sa source.