Le rapport public sur la cyberattaque du système de santé singapourien révèle d’importants dysfonctionnements internes

Entre août 2017 et juillet 2018,  une cyberattaque a été menée à l’encontre de la base de données des patients de Singapore Health Services Private Limited ("SingHealth"), le plus grand groupe d'établissements de santé publiques de Singapour. La base de données a fait l’objet d’un accès illégal et  d'une exfiltration des données à caractère personnel de santé de près de 1,5 million de patients, incluant leur nom, prénom, numéro d’identification national, origine ethnique. Parmi les dossiers transférés, environ 159 000 d’entre eux, dont celui du Premier Ministre singapourien, contenaient des informations relatives aux médicaments délivrés en ambulatoire.

Pour récupérer ces données, les attaquants ont obtenu un accès au système d'information de l’un des établissements de santé par le biais d’une attaque de type « hameçonnage » sur un utilisateur de l’un des postes de travail d'un établissement (« Poste de travail A »). En effet, les journaux de connexion de ce poste ont laissé apparaître qu’un logiciel malveillant de type "cheval de Troie" s’est très probablement installé sur l’ordinateur cible pour en extraire les mots de passe, stockés en clair dans les journaux. Contrôlable à distance, le logiciel a ensuite réutilisé ces identifiants/ mots de passe sur le réseau et a réussi à escalader ses privilèges jusqu’a atteindre un second poste de travail (Poste de travail B ») dans un autre établissement. Cette élévation est attestée par la multiplication observée de logiciels malveillants infectant les machines du réseau les unes après les autres . Le rapport révèle par ailleurs que l'attaquant a probablement compromis le système d'authentification Windows et obtenu les identifiants/mots de passe "utilisateur" et "administrateur" des contrôleurs de domaine pour l'ensemble des serveurs, applications et postes de travail hébergées sur le réseau hospitalier.

Résumé de la cyberattaque

L’exfiltration des données au sein du réseau n’a en réalité débuté qu’en juin 2018, compromettant notamment les serveurs Citrix de SingHealth, eux-mêmes connectés à la base de dossiers médicaux Sunrise Clinical Manager (SCM). Après avoir été informée de l'attaque, la direction de SingHealth, en consultation avec le ministère de la Santé, l'IHiS, l'ASC et le ministère des Communications et de l'Information, ont pris la décision de communiquer publiquement sur l'information et la sensibilisation des patients. Les conclusions du rapport révèlent que les principaux impacts auraient pu être limités voire évités. En effet, il a été constaté que :

  • Le personnel de l'IHiS n'avait ni les connaissances ni la formation ou les ressources nécessaires en matière de cybersécurité pour évaluer les observations et leur impact tout au long du déroulement de l’attaque ;
  • Le réseau SingHealth et le système SCM présentaient un certain nombre de vulnérabilités, de faiblesses et d'erreurs de configuration connues par les équipes techniques qui ont contribué à la réussite des attaquants dans la collecte et le transfert des données ;
  • Certains membres du personnel de l'IHiS en charge des signalements d'incidents de sécurité n'ont pas pris les mesures appropriées, efficaces ou opportunes, en raison d’une réticence observée à escalader une potentielle fausse alerte, susceptible de donner à la structure une mauvaise image.

Enfin, l’autorité de contrôle pour la protection des données à caractère personnel de Singapour (la Personal Data Protection Commission ou PDPC) a, le 15 janvier, infligé plusieurs amendes d'un montant total d’un million de dollars singapouriens (740 000 dollars américains) aux prestataires en charge de l’hébergement et du fonctionnement du service, au titre du vol des dossiers médicaux d'environ un quart de la population. Il s’agit à ce jour de la plus haute amende de ce type infligée pour la cité-Etat.