Une semaine après nos premières révélations sur la faille du système d’information permettant l’accès très facile aux données personnelles des 800 000 abonnés du badge Jawaz, Autoroutes du Maroc restreint toujours l’accès aux comptes sur leur site internet le temps de corriger leurs erreurs de conception. Cette lenteur pour une situation d’urgence ne les a pas empêché d’affirmer toute honte bue que leur système ne souffrait d’aucune faille dès lundi. Les faits étant têtus, nous continuons notre vaste enquête sur le gruyère informatique d’une partie des entreprises et institutions au Maroc.
La Caisse mutualiste interprofessionnelle marocaine (CMIM) est l’une des mutuelles les plus importantes du secteur privé au Maroc. Si vous ne connaissez pas cette entreprise, c’est probablement parce que vous ne travaillez dans le secteur bancaire ou pétrolier.
Cela représente plus de 115 000 personnes couvertes pour un montant de cotisations de 495 millions de dirhams et 381 millions de dirhams de prestations versées, selon les chiffres de 2015 publiés par la CMIM. Cet organisme mutualiste est également des plus anciens puisqu’il a été fondé en 1977 sur les acquis de la Caisse française interprofessionnelle de prévoyance des cadres (CIPC) qui avait débuté ses activités au Maroc en 1947. Une ancienneté qui n’a pas empêché la CMIM d’opérer son virage numérique initié en 2016, via la société partenaire française CEGEDIM. Mieux encore, une opération de numérisation de tous les dossiers médicaux a été lancée en juillet 2018 pour s’achever en juillet 2020. Une entreprise qui se veut donc à la pointe de la technologie comme l’indique la conférence qu’elle a organisée le 20 décembre 2018 sur l’intelligence artificielle.
«Notre site est statique, sans base de données derrière»
Enfin, tous ces jolis discours sont en réalité de la poudre aux yeux quand on s’intéresse un peu à la sécurité informatique de la CMIM. Alors que leur système d’information contient des données extrêmement sensibles liées à la santé, les accès aux comptes personnels de l’ensemble de leurs adhérents sont en libre accès sur leur site internet. La sécurité informatique de la CMIM pourrait être comparée à la blouse qu’on refile aux patients dans les établissements hospitaliers : tout semble normal de face, mais derrière tout est à l’air libre.
Dès la découverte du «dos nu» de la CMIM, nous avons tenté de les avertir qu’une faille très sensible de leur système d’information exposait les données personnelles de leurs clients. Il y a environ une semaine, l’entreprise nous a mis en relation avec Mounir Khal, chef de projet organisation et qualité de la CMIM, et qui a supervisé la mise en place du site internet. A l’exposé de notre alerte, il se contente de répondre en mode automatique : «Nous ne sommes pas informés (d’une éventuelle faille, ndlr)». C’était pourtant exactement l’objet de notre appel. Mais au lieu de prendre note et d’auditer le système, il se lance dans une réfutation tout azimut : «Nous n’avons pas de données sur notre site web. Les données de nos clients sont sur un autre serveur. Je suis sûr et certain. Notre site est statique, sans base de données derrière.»
Malgré un nouvel appel cette semaine afin de demander à parler au DSI ou un membre de la direction, Mounir Khal est resté intraitable : «Il n’y a pas de faille chez nous. Nous travaillons directement avec le service SI et nous faisons quotidiennement des tests.»
Toutes les données médicales de Mehdi* à nue
Face à une telle assurance, et pour ne pas enfreindre la loi, nous avons appelé des connaissances travaillant dans le secteur bancaire et adhérents de la CMIM, afin d’avoir une autorisation écrite. Lorsque nous leur avons annoncé pouvoir accéder à leurs comptes, ils sont tombés des nues. L’expérience a été menée avec Mehdi* au téléphone pour lui lire l’ensemble des données personnelles auxquelles nous avions accès (nom, prénom, adresse postale, date de naissance), à lui ainsi que tous les membres de sa famille ayant droit. Nous lui avons également donné son numéro de compte bancaire, ainsi que les différents montants de remboursements de soins avec leurs dates respectives. Mehdi* est resté estomaqué face aux détails auxquels nous avions accès.
«Mais si vous avez accès à mon compte sur l’interface assurés, vous pouvez donc obtenir les documents comportant les détails des remboursements avec mes traitements médicamenteux et les spécialistes consultés ?», s’inquiéta Mehdi*. En effet, chaque ligne de remboursement donne accès à un document pdf détaillant les médicaments remboursés, les analyses effectuées, ainsi que le type de médecin consulté. Il est ainsi facile d’identifier les maladies chroniques dont souffrent les assurés de la CMIM (diabète, hypertension, allergies, ...), les maladies graves (cancer, Sida, ...), mais aussi les dépressions ou maladies mentales. On comprend mieux pourquoi la Commission nationale des données personnelles (CNDP) impose une procédure plus drastique pour les déclarations de fichiers comportant des données relatives à la santé des individus.
Les personnes adhérentes de la CMIM, contactées par Yabiladi, ont été unanimes dans leurs condamnations et leur volonté de saisir les responsables au sein de leurs entreprises respectives afin de demander des explications à la mutuelle. «Si ni mon syndicat, ni la DRH de la banque ne bouge, je porterais plainte personnellement contre la CMIM», a assuré Mehdi*. L’ensemble des assurés de la CMIM sont en effet en mesure d’ester en justice en s’appuyant sur les articles 23 et 24 de la loi 09-08 relative à la protection des données personnelles.
En attendant, le conseil que nous pourrions donner aux adhérents c’est de changer votre mot de passe (qu’il ait été fourni automatiquement par la CMIM ou si vous l’aviez modifié). Quoique, ce conseil ne servirait qu’à l’unique condition que la CMIM referme la blouse d’hôpital qui lui sert de sécurité informatique.
* Le prénom a été modifié