Votre assureur est censé vous couvrir en cas d'accident, de maladie ou autres pépins de la vie courante. Mais que dire quand ce même assureur ne garantit pas la confidentialité de vos données personnelles ? En 1954, vous n'étiez probablement pas encore nés, les assurances Lyazidi si. Historiquement, c'est le plus vieil assureur conseil du Maroc via la création du cabinet Lyazidi & fils. A l'époque, pas d'ordinateur, ni de loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Mais depuis quelques années, les assureurs, agents généraux et courtiers en assurance ont informatisé puis numérisé leur process à marche forcée. Sur l'autoroute de la «digitalisation», les accès sécurisés servent en quelque sorte de péage de contrôle. Sauf pour certains assureurs qui fournissent eux-mêmes aux resquilleurs un pass Jawaz. Chez Assurances Lyazidi, on vous demande un login, facile à deviner, et on vous donne le mot de passe par défaut, qui fonctionne avec tous les comptes qui ne l'ont toujours pas changé. Cette erreur de débutant donne accès à toutes les données de l'assuré : nom, prénom, CIN, numéro de téléphone, adresse... On peut dès lors modifier les informations de l'assuré. Les données personnelles de 800 000 comptes Jawaz en libre accès Plus grave encore, les défauts de conceptions du site permettent de passer d'un compte assuré à l'autre, sans aucune barrière de sécurité. C'est ainsi que nous avons pu comptabiliser plus de 141 000 comptes assurés pour le client SNTL (Société nationale du transport et de la logistique). Ainsi, les données personnelles des clients de l'entreprise à capitaux publics (héritière de l'Office national du Transport, aussi ancien que Assurances Lyazidi) sont accessibles via cette faille de sécurité. Nous avons tenté de contacter la SNTL, en vain. Le cadenas et la clé pour l'ouvrir Du côté de Lyazidi Assurances, ils ont été surpris d'apprendre qu'une telle faille existait. Contacté le 22 avril, Rachid Belarbi, directeur du système d'information, déclare «ne pas être au courant de cette faille de sécurité. Nous n'avons pas eu de réclamations dans ce sens». CMIM : Les données de santé de 115 000 assurés en libre service Confiant dans la sécurité du système d'information, il nous déclare que «le site est hébergé chez un prestataire de service connu de la place (MTDS selon nos vérifications), qui s'occupe aussi de la partie sécurité. Il dispose ainsi des bases de données sur ses serveurs. Normalement, il a une panoplie d'outils pour veiller à ce que le site soit sécurisé». Une panoplie d'outils qui ne peuvent pas grand chose, face à une erreur de conception du site qui laisse la clé juste à côté du cadenas. Mais nos révélations ont fini par inquiéter le responsable. «Nous allons contacter notre prestataire, car la faille doit être réparée au plus vite et il doit nous fournir des explications sur ce qui s'est passé.» Rachdi Belarbi Le 27 avril, nous avons recontacté le DSI de Lyazidi Assurances. «Le site est en train d'être audité et nous effectuons des tests, mais nous n'avons pas encore trouvé la faille», nous a répondu Rachid Belarbi. Pourtant, après vérification, nous avons constaté que tout le site a été mis hors service, puis relancé mais sans accès aux comptes clients. Ainsi, les fonctionnaires de l'Etat qui utilisent les véhicules fournis par la SNTL, mais aussi tous les clients particuliers et entreprises de Lyazidi Assurances, n'ont plus accès à l'espace assuré. Une solution radicale qui au moins a le mérite de ne plus laisser les données personnelles en libre accès. AFMA, faille similaire mais plus réactif L'autre courtier en assurance historique, AFMA, fondé en 1953, est également victime d'une faille de sécurité donnant accès aux données personnelles des clients. La société cotée à la bourse de Casablanca depuis décembre 2015 est une filiale de Tenor Group. Une conception imprudente du système de consultation de l'historique des remboursements permettait d'accéder aux données personnelles des fonctionnaires de la douane, de Barid Al Maghrib, entreprises privées et particuliers. Contacté par Yabiladi, la direction de AFMA s'est montrée très soucieuse de la faille remontée. Mohcine Touzani, directeur général, a déclaré «porter une attention particulière aux questions de sécurité des systèmes d'information». Aussitôt alertée, la CNSS corrige une inquiétante faille de sécurité Là aussi, la solution a été radicale : le site a été remplacé quelques jours après par une nouvelle version qui était en préparation. Une nouvelle interface qui corrige la faille de sécurité, évitant ainsi à des individus mal intentionnés d'accéder aux données personnelles des assurés. Sur ce point, M. Touzani s'est montré reconnaissant : «Merci de nous avoir alerté au préalable. Cela nous a permis de corriger le problème rapidement.» Les autres intermédiaires d'assurance, ainsi que les compagnies d'assurance au Maroc, saisiront sûrement cette alerte pour auditer la sécurité des systèmes d'information. La protection des données personnelles des assurés devient d'autant plus stratégique en cette période de pandémie, que la majorité de la relation client s'effectue via le canal numérique.
