Violation du système I-net du MINDEF

Le 28 février 2017, le ministère de la Défense (MINDEF) de Singapour a révélé que des attaquants avaient pénétré son système I-net et dérobé les données personnelles de 850 appelés du service national et membres du personnel du ministère. C'était la première fois que le gouvernement singapourien reconnaissait publiquement une cyber-intrusion ciblée dans un réseau de défense, ce qui a donné le ton à la refonte ultérieure de la cybersécurité du secteur public.

Ce qui s'est passé

I-net est un système dédié qui offre aux appelés du service national et aux employés du MINDEF un accès Internet à usage personnel via des milliers de terminaux situés dans les bâtiments du MINDEF et les camps des forces armées de Singapour (SAF). Élément crucial, I-net est physiquement séparé des réseaux classifiés qui hébergent les données opérationnelles militaires et la messagerie interne.

Lors de contrôles de sécurité de routine début février 2017, le MINDEF a détecté un accès non autorisé à I-net. L'analyse forensique a conclu que des attaquants avaient pénétré la couche externe du système et exfiltré les numéros NRIC, numéros de téléphone et dates de naissance de 850 utilisateurs. Aucune information classifiée n'était stockée sur I-net, et les enquêteurs n'ont trouvé aucune preuve que les intrus aient atteint des systèmes plus profonds et sécurisés.

Impact

• 850 personnes — appelés du service national et personnel du MINDEF — ont vu leurs numéros de carte d'identité, numéros de téléphone et dates de naissance dérobés.
• Aucune donnée militaire classifiée ou opérationnelle n'a été compromise, ces systèmes fonctionnant sur des réseaux isolés (air-gapped).
• Le MINDEF a qualifié l'attaque de « ciblée et soigneusement planifiée », suggérant un acteur délibéré plutôt qu'un crime opportuniste.

Attribution

Le MINDEF a déclaré que l'attaque « semblait ciblée et soigneusement planifiée » et que son véritable objectif pouvait être d'accéder à des secrets officiels, mais il n'a désigné aucun auteur. Aucun acteur malveillant n'a jamais été publiquement attribué, et aucune arrestation n'a été annoncée. Le Council on Foreign Relations a ensuite répertorié l'incident parmi les opérations soupçonnées d'être parrainées par un État contre Singapour, compte tenu du ciblage d'un ministère de la Défense et de la nature limitée, pertinente pour le renseignement, des données dérobées.

Pourquoi c'est important

La violation du MINDEF a sonné l'alarme : même un système exposé à Internet et peu sensible pouvait servir de point d'appui à de l'espionnage contre un établissement de défense. Elle a accéléré la posture de sécurité plus large de Singapour : en quelques mois, le gouvernement a séparé les ordinateurs de la fonction publique de tout accès Internet direct (la politique controversée de « séparation de la navigation Internet ») et le MINDEF a lancé le premier programme de prime aux bogues gouvernemental de la région, invitant des pirates accrédités à sonder ses systèmes exposés au public. L'épisode a posé le cadre du débat sur la sécurité nationale qui s'intensifierait l'année suivante lorsque la violation bien plus vaste de SingHealth exposerait 1,5 million de dossiers de patients, consacrant la cybersécurité comme une préoccupation de premier ordre pour l'État singapourien.