Fuite du registre VIH de Singapour
Les dossiers confidentiels de 14 200 personnes séropositives issus du registre national VIH de Singapour ont été dérobés et divulgués en ligne par un étranger qui les avait obtenus via son partenaire, un médecin du ministère de la Santé disposant d'un accès privilégié.
- Victime
- Ministère de la Santé de Singapour (MOH)
- données
- 14.2K
- utilisateurs
- 14.2K
Le 28 janvier 2019, le ministère de la Santé (MOH) de Singapour a révélé que les dossiers confidentiels de 14 200 personnes diagnostiquées séropositives avaient été dérobés du registre national VIH et divulgués en ligne. Il ne s'agissait pas d'un piratage à distance mais d'un vol de données facilité par un initié : les données ont été obtenues via un médecin du ministère disposant d'un accès légitime et privilégié, puis exfiltrées et publiées par son partenaire étranger.
Ce qui s'est passé
Le registre VIH est une base de données confidentielle du MOH recensant toute personne diagnostiquée séropositive à Singapour. Ler Teck Siang, un médecin singapourien, a dirigé l'Unité nationale de santé publique du MOH de 2012 à 2013 et disposait d'un accès autorisé au registre. Son partenaire, Mikhy Farrera-Brochez, un citoyen américain résidant à Singapour, est entré en possession des données.
Brochez était un fraudeur récidiviste — il avait falsifié son propre test VIH (en utilisant le sang de Ler) pour obtenir un permis de travail — et avait été condamné pour fraude et infractions liées à la drogue en 2017, puis expulsé. Même après son expulsion, il a conservé des copies du registre. En janvier 2019, il a publié les dossiers en ligne, apparemment dans le cadre d'une campagne teintée de chantage contre le gouvernement singapourien. Le MOH a déterminé que Ler n'avait pas su protéger les données, permettant à Brochez de les copier.
Impact
- 14 200 personnes ont été exposées : 5 400 Singapouriens diagnostiqués entre 1985 et janvier 2013, et 8 800 étrangers diagnostiqués entre 1985 et 2011.
- Les champs divulgués comprenaient noms, numéros NRIC/passeport, coordonnées, résultats de tests VIH et informations médicales associées — parmi les catégories de données personnelles les plus stigmatisantes.
- Pour 2 400 de ces dossiers, les coordonnées des partenaires et des familles ont également été exposées.
Attribution
Il s'agissait d'un cas d'initié et de complice, et non d'une intrusion externe. Brochez est celui qui a dérobé et publié les données ; Ler Teck Siang a été condamné en vertu de la loi sur les secrets officiels (Official Secrets Act) pour n'avoir pas pris soin de manière raisonnable du registre, en plus de condamnations antérieures pour complicité dans la fraude de Brochez et pour infractions liées à la drogue. Brochez a été condamné séparément aux États-Unis à 24 mois de prison en 2019 pour fraude et usurpation d'identité aggravée.
Pourquoi c'est important
La fuite est devenue un cas déterminant en matière de gouvernance des données et de risque d'initié. Comme l'information ne pouvait plus être retirée une fois publiée, le MOH ne pouvait que désactiver l'accès et surveiller Internet à la recherche de re-divulgations — illustrant la permanence des données sensibles divulguées. Singapour a réagi en renforçant les contrôles du registre : il a réduit le nombre d'agents disposant d'un accès, mis en place une approbation à deux personnes et des contrôles de téléchargement, et désactivé la possibilité de télécharger ou d'imprimer les données du registre. Le cas est régulièrement cité à travers l'Asie comme un exemple édifiant de la manière dont l'accès privilégié d'un initié, et non la sécurité périmétrique, est souvent le maillon le plus faible dans la protection des données de santé hautement sensibles.
Chronologie
Mikhy Farrera-Brochez commence à vivre à Singapour ; son partenaire Ler Teck Siang dirige l'Unité nationale de santé publique du MOH avec accès au registre VIH.
Le MOH découvre que Brochez détient des informations confidentielles du registre et le signale à la police ; l'accès est réexaminé.
Brochez, expulsé de Singapour, se révèle à nouveau détenir des données du registre ; la police est alertée.
Le MOH confirme que les dossiers de 14 200 personnes séropositives ont été divulgués en ligne par Brochez.
Le MOH divulgue publiquement la fuite et commence à notifier les personnes concernées.
Un tribunal américain condamne Brochez à 24 mois de prison pour fraude et usurpation d'identité.
Sources
- statnews.comhttps://www.statnews.com/2019/01/28/singapore-says-american-leaked-hiv-records/
- aljazeera.comhttps://www.aljazeera.com/news/2019/1/28/american-leaked-records-of-14200-hiv-patients-says-singapore
- vice.comhttps://www.vice.com/en/article/a-data-breach-in-singapore-leaked-the-details-of-14200-people-with-hiv/
- feeds.bbci.co.ukhttps://feeds.bbci.co.uk/news/world-asia-48523308
- thejakartapost.comhttps://www.thejakartapost.com/seasia/2019/01/29/data-of-14200-hiv-positive-people-leaked-in-singapore.html