Skip to content
Cyber Breaches
Recherche
EspionnageContenu

Violation de données SingHealth

Des acteurs attribués à l'État chinois ont exfiltré les données personnelles et les dossiers de médication ambulatoire de 1,5 million de patients de SingHealth — dont le Premier ministre Lee Hsien Loong — dans le plus grave incident cyber de Singapour.

Victime
Singapore Health Services (SingHealth)
Perte
$7.5M
données
1.5M
utilisateurs
1.5M
SecteurSanté
PaysSingapour
GroupeWhitefly (Symantec designation)Suspected Chinese state actor

Le 20 juillet 2018, le ministère de la Santé de Singapour a révélé publiquement qu'un acteur « avancé, sophistiqué et très délibéré » avait exfiltré les données personnelles et les dossiers de médication ambulatoire de 1,5 million de patients de SingHealth, avec une attention particulière portée aux dossiers médicaux du Premier ministre Lee Hsien Loong. Ce fut, et cela demeure, le plus grave incident cyber de Singapour.

Ce qui s'est passé

L'intrusion a débuté en août 2017 avec la compromission d'un poste de travail d'utilisateur final chez le prestataire de services informatiques de SingHealth, Integrated Health Information Systems (IHiS). À partir de ce point d'ancrage, les opérateurs ont passé onze mois à cartographier l'environnement et à récolter des identifiants, avec pour objectif d'accéder à Sunrise Clinical Manager (SCM) — le système de dossiers médicaux électroniques contenant les données ambulatoires.

La Committee of Inquiry (COI) post-incident a reconstitué l'opération en détail :

  • Les opérateurs étaient sélectifs et ciblés plutôt qu'opportunistes. Ils cherchaient spécifiquement à accéder aux dossiers du PM Lee et à ceux d'autres hauts responsables.
  • Ils ont fait preuve d'un savoir-faire avancé : personnalisation d'outils, préparation minutieuse des identifiants, nettoyage anti-forensique et reconnaissance suggérant une connaissance préalable de l'environnement informatique de santé de Singapour.
  • De multiples requêtes contre la base de données SCM portant sur les dossiers ambulatoires du PM Lee ont été retrouvées dans les journaux de la base de données.

Un administrateur de base de données d'IHiS a remarqué des schémas de requêtes inhabituels le 4 juillet 2018 et a désactivé le compte compromis, mettant fin à l'exfiltration active. Les données quittaient le réseau depuis au moins une semaine à ce moment-là.

Impact

  • 1,5 million de patients de SingHealth ont eu leurs données personnelles exposées : numéros NRIC, noms, adresses, sexe, origine ethnique, dates de naissance.
  • 160 000 patients ont en outre eu leurs dossiers de délivrance de médicaments ambulatoires exfiltrés — révélant les diagnostics de toute affection traitée par médicament sur ordonnance.
  • Le PM Lee Hsien Loong personnellement ciblé ; ses dossiers figuraient parmi ceux dont l'accès a été confirmé.
  • Amendes de la PDPC en janvier 2019 : 750 000 SGD pour IHiS, 250 000 SGD pour SingHealth — les plus fortes amendes de protection des données jamais infligées à Singapour à l'époque.

Le cadrage du gouvernement singapourien fut délibérément mesuré : « un acteur lié à un État » a été attribué publiquement, mais aucun pays spécifique n'a été nommé dans le rapport officiel de la COI. Les analyses sectorielles (Symantec, FireEye) ont rattaché l'opération au groupe d'acteurs Whitefly, lié par ailleurs aux intérêts de l'État chinois, bien que le gouvernement singapourien n'ait ni confirmé ni démenti publiquement cette attribution.

La Committee of Inquiry

Le processus de la COI — présidé par le juge senior à la retraite Richard Magnus — était inhabituel par son ampleur et sa transparence pour un incident cyber étatique :

  • Rapport public de 454 pages publié le 10 janvier 2019.
  • Audiences publiques où des personnels nommés d'IHiS et de SingHealth ont témoigné des défaillances techniques.
  • Personnels spécifiques sanctionnés : les agents d'IHiS qui avaient omis de remonter les alertes ont été nommés et sanctionnés. Les dirigeants seniors de SingHealth et d'IHiS ont été mis en cause mais non sanctionnés financièrement à titre personnel.
  • 16 recommandations couvrant des réformes techniques, opérationnelles et de gouvernance.

Le gouvernement singapourien a mis en œuvre l'ensemble des 16 recommandations, notamment :

  • L'élévation du National Cybersecurity Centre au statut opérationnel avec des responsabilités sectorielles.
  • Une politique d'isolement d'Internet pour le secteur public : un cloisonnement obligatoire et controversé d'Internet par air-gap pour les postes de travail des 143 000 fonctionnaires singapouriens. La politique est entrée en vigueur par étapes de 2017 à 2019 et reste en place à l'heure où ces lignes sont écrites — la réponse singapourienne distinctive au cyber-risque de la fonction publique.
  • Des socles d'hygiène cyber obligatoires pour les opérateurs de santé disposant d'un accès aux dossiers des patients.

Pourquoi c'est important

SingHealth est le cas canonique du cyberespionnage étatique contre un système de santé national ciblant un chef de gouvernement. Il a établi :

  • Que les dossiers de médication ambulatoire constituent une cible de collecte de renseignement — ils révèlent des affections médicales susceptibles d'influer sur la prise de décision d'un dirigeant, sa planification de succession ou sa vulnérabilité à l'influence.
  • Que l'isolement d'Internet pour les postes de travail du secteur public est une réponse politique nationale viable lorsque les défenses conventionnelles échouent. La politique d'air-gap de Singapour reste la réponse structurelle la plus visible à une violation unique dans toute juridiction de niveau équivalent au G20.
  • Que des enquêtes publiques menées par des juges avec des personnels nommés peuvent coexister avec des enjeux sensibles d'attribution étatique. La COI a rendu publiques des défaillances techniques détaillées sans contraindre le gouvernement à nommer formellement un acteur étatique.

L'affaire SingHealth est une lecture incontournable en cybersécurité de la santé et demeure la référence d'incident cyber étatique asiatique la plus citée.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
7.5M
USD · 7 500 000 $US
  • Perte d’exploitation$2.0M
  • Remédiation$4.5M
  • Amendes & règlements$1.0M

Chronologie

  1. Intrusion initiale dans le réseau Integrated Health Information Systems (IHiS) de SingHealth via un poste de travail d'utilisateur final compromis.

  2. Les opérateurs mènent une reconnaissance, récoltent des identifiants et identifient la base de données Sunrise Clinical Manager (SCM) utilisée pour stocker les dossiers médicaux électroniques ambulatoires.

  3. Les opérateurs commencent à interroger la base de données SCM, en se concentrant sur le dossier médical du Premier ministre. De multiples requêtes ciblées sur les données du PM Lee Hsien Loong sont retrouvées dans les journaux.

  4. Un administrateur de base de données d'IHiS détecte des requêtes inhabituelles et désactive le compte compromis.

  5. IHiS confirme que des données ont été exfiltrées.

  6. Le ministère de la Santé révèle publiquement la violation affectant 1,5 million de patients, dont le PM Lee.

  7. Singapour convoque une Committee of Inquiry (COI), présidée par le juge senior à la retraite Richard Magnus.

  8. La COI publie un rapport final de 454 pages identifiant des défaillances systémiques et recommandant des réformes du personnel et des processus.

  9. IHiS condamné à une amende de 750 000 SGD et SingHealth de 250 000 SGD par la Personal Data Protection Commission (PDPC) — à l'époque les plus fortes amendes jamais infligées par la PDPC.

Sources

  1. mci.gov.sghttps://www.mci.gov.sg/coi-report
  2. mha.gov.sghttps://www.mha.gov.sg/mediaroom/press-releases/cyber-attack-on-singhealth-database
  3. straitstimes.comhttps://www.straitstimes.com/singapore/16-things-we-learnt-from-the-coi-report-on-singhealth-attack

Incidents liés

EspionnageRésolu

Violation du système I-net du MINDEF

Une intrusion ciblée dans le système de navigation Internet I-net du ministère de la Défense de Singapour a dérobé les numéros NRIC, numéros de téléphone et dates de naissance de 850 appelés et membres du personnel, lors de la première violation publiquement divulguée d'un réseau de défense gouvernemental du pays.

Victim
Ministère de la Défense de Singapour (MINDEF)
Records
850
EspionnageRésolu

Violation de données Anthem Inc.

Des acteurs attribués à l'État chinois ont exfiltré les données personnelles de 78,8 millions de clients actuels et anciens de l'assureur santé Anthem — à l'époque la plus grande violation du secteur de la santé de l'histoire des États-Unis.

Victim
Anthem Inc.
Loss
$260.0M
Records
78.8M
data-leakRésolu

Fuite du registre VIH de Singapour

Les dossiers confidentiels de 14 200 personnes séropositives issus du registre national VIH de Singapour ont été dérobés et divulgués en ligne par un étranger qui les avait obtenus via son partenaire, un médecin du ministère de la Santé disposant d'un accès privilégié.

Victim
Ministère de la Santé de Singapour (MOH)
Records
14.2K
EspionnageRésolu

Violation de données clients Marriott / Starwood

Des opérateurs attribués à l'État chinois sont restés présents sans être détectés sur la base de données de réservation des clients de Starwood depuis 2014, survivant à l'acquisition de 2016 par Marriott. Révélation en 2018 : 500 millions d'enregistrements clients exposés, dont 5,25 millions de numéros de passeport non chiffrés.

Victim
Marriott International / Starwood Hotels & Resorts
Loss
$200.0M
Records
500.0M