Home NouvellesSLA : données de 70 000 personnes exposées via faille IBM dans système de test

SLA : données de 70 000 personnes exposées via faille IBM dans système de test

Les détails de l'incident impliquant IBM et la SLA

La Singapore Land Authority (SLA) a confirmé, ce vendredi 3 juillet 2026, qu’une faille de sécurité dans un environnement cloud géré par IBM a compromis les données personnelles de 70 000 personnes. L’incident, survenu dans un système de test, a exposé des noms, des numéros NRIC et des adresses de propriété datant de 1998.

Les détails de l’incident impliquant IBM et la SLA

L’autorité foncière singapourienne, la Singapore Land Authority, a révélé que la violation de données concerne un environnement de développement et de test utilisé par son fournisseur, IBM. Ce prestataire est chargé de la maintenance du Singapore Titles Automated Registration System (STARS) et de l’eLodgment System (ELS). Selon les informations relayées par CNA, IBM a informé la SLA d’un « incident de sécurité » le 12 juin, suivi d’une notification concernant l’accès non autorisé à des données personnelles le 15 juin.

Les détails de l'incident impliquant IBM et la SLA
Photo: AsiaOne

L’enquête préliminaire indique que les pirates ont accédé à un ensemble de données créé en 1998, initialement destiné à contenir des informations fictives et anonymisées pour des tests système. Contrairement aux protocoles de sécurité attendus, cet ensemble contenait des données réelles. Comme l’a souligné la Business Times, le constat est sans équivoque : « This information should have been anonymised but was not. Investigations are ongoing to determine how this occurred. » (Ces informations auraient dû être anonymisées, mais ne l’ont pas été. Des enquêtes sont en cours pour déterminer comment cela s’est produit.)

Contexte et enjeux de la gestion des données à Singapour

À Singapour, la gestion des données publiques est encadrée par des protocoles stricts, notamment au sein des agences gouvernementales qui traitent des informations sensibles comme les numéros NRIC (National Registration Identity Card). Le NRIC est un identifiant unique essentiel pour accéder à presque tous les services publics et privés du pays. En raison de cette centralité, les fuites impliquant ces numéros sont traitées avec une sévérité particulière par les autorités.

Contexte et enjeux de la gestion des données à Singapour
Photo: The Business Times

L’utilisation de systèmes de test pour le développement logiciel est une pratique courante dans le secteur technologique, permettant de simuler des charges de travail réelles sans affecter les services en production. Cependant, la présence de données réelles — dites « en clair » — dans ces environnements constitue une violation majeure des directives de sécurité informatique du gouvernement singapourien, qui imposent systématiquement l’anonymisation ou le masquage des données personnelles avant toute utilisation hors des serveurs de production sécurisés.

État des systèmes opérationnels et mesures correctives

Face aux inquiétudes concernant l’intégrité du système foncier national, la SLA a tenu à rassurer le public. L’environnement touché est strictement séparé des systèmes opérationnels vivants. « There is no connection or compromise to the live systems used for operations of STARS, ELS or any other SLA systems, » a précisé l’agence, comme le rapporte AsiaOne.

État des systèmes opérationnels et mesures correctives
Photo: CNA

La SLA a confirmé que les dossiers de propriété et de dépôt dans STARS et ELS restent sécurisés. Pour limiter les risques, IBM a révoqué l’accès à l’environnement de test concerné. L’autorité a également entamé la notification des 70 000 personnes concernées. Pour ces individus, les risques sont toutefois atténués par l’ancienneté des données : « As the data set was created in 1998, the majority of the addresses are not the current place of residence of the affected individuals, » a indiqué la SLA dans son communiqué officiel.

Enquêtes en cours et vigilance publique

Le gouvernement singapourien a mobilisé plusieurs instances, dont la Government Technology Agency (GovTech) et la Cyber Security Agency, pour collaborer avec IBM sur cet incident. Un rapport de police a été déposé et la Personal Data Protection Commission a été notifiée, conformément à la loi sur la protection des données personnelles (PDPA) qui oblige les organisations à signaler les violations de données significatives.

Enquêtes en cours et vigilance publique

De son côté, IBM a maintenu une position réservée sur les détails techniques, un porte-parole déclarant : « As this investigation is ongoing, we will not be able to provide any additional details at this time. » (Comme cette enquête est en cours, nous ne serons pas en mesure de fournir de détails supplémentaires pour le moment.)

Les autorités recommandent aux citoyens dont les informations ont été exposées de rester vigilants face à d’éventuelles tentatives d’ingénierie sociale. Bien que les adresses datent de 1998, les numéros NRIC restent valides à vie. Le risque principal identifié par les experts en cybersécurité, dans ce type d’incident, est l’utilisation croisée de ces données pour des campagnes de phishing ciblées, où des attaquants pourraient se faire passer pour des institutions bancaires ou gouvernementales en utilisant les noms et numéros d’identification exposés pour gagner la confiance des victimes.

La SLA a affirmé qu’elle poursuivrait sa coopération étroite avec les autorités compétentes pour finaliser l’audit de sécurité des systèmes tiers. Aucune échéance n’a été communiquée quant à la fin des investigations, mais l’agence s’est engagée à tenir le public informé de tout développement ultérieur jugé nécessaire pour la protection des citoyens.

Find more reporting in our Nouvelles section.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.