Les données confidentielles de 14.200 personnes contaminées par le VIH, dont beaucoup d’étrangers, ont été volées et publiées sur internet, ont annoncé les autorités singapouriennes lundi, la deuxième faille de sécurité informatique majeure pour la cité-Etat en quelques mois.
Selon le ministère de la Santé, les données ont été publiées par un Américain plusieurs fois condamné par la justice, qui les aurait obtenues via son compagnon, un docteur singapourien ayant accès au registre national des personnes porteuses du VIH.
Lors d’une autre attaque informatique majeure en juin et juillet, les données médicales de 1,5 million de Singapouriens avaient déjà été dérobées.
« Une personne non autorisée est entrée en possession des informations confidentielles de 14.200 individus porteurs du VIH jusqu’en 2013 et des coordonnées de 2.400 d’entre elles », a indiqué le ministère dans un communiqué.
« Ces informations ont été publiées en ligne », a précisé le ministère en présentant des excuses « pour les inquiétudes et la détresse » subies par les victimes.
Les données publiées comprennent des noms, des identifiants, des coordonnées, des résultats de tests VIH et d’autres informations médicales.
Les personnes concernées sont 5.400 Singapouriens diagnostiqués comme infectés par le virus jusqu’en janvier 2013 ainsi que 8.800 étrangers diagnostiqués comme porteur du VIH jusqu’en décembre 2011.
Singapour, riche cité-Etat de l’Asie du Sud-Est, compte de nombreux expatriés parmi ses 5,6 millions d’habitants.
Le ministère a identifié un ressortissant américain, Mikhy K. Farrera Brochez, qui a vécu à Singapour de 2008 à 2016, comme l’individu à l’origine de la fuite de données.
Il avait été condamné pour fraude et pour des crimes liés à la drogue en mars 2017 puis expulsé de Singapour après avoir purgé sa peine. Il ne se trouve pas actuellement dans la cité-Etat, ont précisé les autorités singapouriennes qui ont demandé l’aide d’autres pays pour le retrouver.
M. Brochez était en couple avec Ler Teck Siang, un docteur singapourien qui avait accès au registre des personnes infectées par le VIH dans le cadre de son travail. Ce dernier a été condamné en septembre à 24 mois de prison pour avoir aidé son compagnon dans ses activités criminelles. Il a fait appel.
Le ministre de la Santé Gan Kim Yong s’est confondu en excuses dans les médias.
Son ministère avait reçu des informations de la police selon lesquelles M. Brochez détenait des informations confidentielles issues du registre des personnes porteuses du VIH dès 2016.
Depuis leur publication en ligne, « nous avons collaboré avec la police et d’autres organismes pour désactiver l’accès à ces données en ligne depuis le 25 janvier. Nous prenons les choses très au sérieux », a indiqué le ministre interrogé par Channel News Asia.
A la mi-janvier, le gendarme des données personnelles de Singapour a imposé des amendes d’un montant d’un million de dollars singapouriens (645.000 euros) à l’encontre de deux organismes de santé singapouriens.
A l’été 2018, des hackers ont eu accès à une base de données contenant les dossiers médicaux de 1,5 million de Singapouriens — plus du quart de la population –, y compris celui du Premier ministre Lee Hsien Loong.
Les autorités singapouriennes considèrent qu’un Etat est le commanditaire de cette attaque de l’été dernier, mais n’ont pas désigné de coupable.