Début d’année difficile pour les SI de santé à Singapour : trois incidents majeurs en trois mois

Les données personnelles de plus de 800 000 donneurs de sang sont restées en accès libre sur Internet pendant deux mois [2]. En effet, un chercheur en sécurité aurait réussi à accéder à la base de données contenant, les nom, prénom, NIR, groupe sanguin, nombre de dons, dates des trois derniers dons, sexe, taille et poids de toutes les personnes ayant effectué un don de sang entre 1986 et janvier 2019. L’article ne révèle pas le SGBDR utilisé, mais précise que les données n’étaient pas accessibles depuis un navigateur Web, et que le chercheur ayant exploité une vulnérabilité a pu accéder à la base à l’aide du client du SGBDR en question.
Si les moteurs de recherche classiques n’ont pas pu référencer ces données, des moteurs de recherche d’appareils connectés à Internet tels que Shodan ont très probablement dû orienter le chercheur vers cette base vulnérable, car Shodan, en plus de référencer l’ensemble des services et des applications (numéro de version compris) qu’il détecte pour une adresse IP publique donnée, révèle également les vulnérabilités qu’il est possible d’exploiter sur les services découverts.
Que les donneurs soient rassurés, le D^r Choong, directrice générale de la Health Sciences Authority (HSA), homologue de notre EFS en France, a indiqué qu’une seule connexion « externe » (celle du chercheur ayant donné l’alerte) avait été détectée sur cette base de données hébergée chez le prestataire Secur Solutions Group. Un hébergeur chanceux ou hypocrite, à vous de choisir, dont le nom n’est pas facile à assumer après un incident de cette envergure. Comme aurait pu dire un certain Michel Colucci : « C’était un mec, il nous vendait de la sécurité, il avait pas un échantillon sur lui. »

L’article nous renvoie à deux autres documents relatant deux incidents récents en lien avec les SI de santé. Le 16 février, le ministre de la Santé singapourien annonçait qu’un « bug » informatique dans le système d’information de la Community Health Assist Scheme (CHAS), « équivalente » de notre Cnam, aurait provoqué des erreurs de calcul dans les remboursements d’environ 7 700 patients [3]. Environ 1 300 d’entre eux n’auraient pas assez perçu, et la CHAS sera alors obligée de débourser 400 000 dollars pour régulariser la situation, alors que les 6 400 personnes ayant trop perçu ne seront pas tenues de rembourser les 2 millions de dollars de subventions allouées par erreur. Cet incident ne creusera pas le « trou de la sécu » car, contractuellement, la société NCS qui administre le SI de la CHAS est tenue de rembourser l’intégralité du préjudice.
La déclaration du prestataire précise qu’il s’agit d’une erreur humaine de mise en production d’une mauvaise version du logiciel en cours de migration et nous rappelle que ce fameux « bug informatique » est toujours d’origine humaine.

Le dernier incident auquel l’article fait référence concerne la publication sur le Web des données de santé de 14 200 patients atteints du virus du sida [4]. Le 28 janvier, le ministère de la Santé révélait que cette fuite de données avait été orchestrée par un ressortissant américain, Mikhy Farrera-Brochez, lui-même séropositif, qui s’était vu condamner pour avoir présenté un échantillon de sang de son petit ami, médecin singapourien, afin de cacher à son employeur qu’il était porteur du VIH.

Si vous songez à une reconversion professionnelle, je vous déconseille vivement la fonction de ministre de la Santé à Singapour.

[1] 

[2] 

[3] 

[4]