La pire violation de données en Corée du Sud depuis plus d’une décennie soulève des inquiétudes quant à une mauvaise gestion des clés d’authentification et à une potentielle menace interne.
On pense que le manque prolongé de gestion des clés d’authentification valides pour les jetons d’accès signés délivrés aux authentificateurs est à l’origine de l’exposition externe de plus de 30 millions de comptes par le géant du commerce électronique Coupang. Une analyse en cours suggère que ces clés auraient pu être exploitées même après le départ de l’employé responsable de l’entreprise.
Le 29 novembre, Coupang a publié une déclaration confirmant l’exposition non autorisée d’informations personnelles provenant d’environ 4 500 comptes le 18 novembre. La société a également noté que la violation avait été signalée à l’Agence nationale de police, à l’Agence coréenne de sécurité de l’Internet et à la Commission de protection des informations personnelles. Des enquêtes ultérieures ont toutefois révélé que les dégâts concernaient environ 33,7 millions de comptes.
Les informations divulguées comprenaient des noms, des adresses e-mail, des listes d’adresses de livraison et certaines informations de commande. Coupang a déclaré que les informations de paiement, les numéros de carte de crédit et les informations de connexion n’étaient pas inclus. Il semblerait qu’un accès non autorisé ait eu lieu via des serveurs étrangers à partir du 24 juin 2025. La société a également déclaré qu’elle coopérait actuellement avec les autorités compétentes pour enquêter sur la cause de la violation.
Le ministère des Sciences et des TIC, la police métropolitaine de Séoul et d’autres agences compétentes ont mené une enquête sur place après avoir reçu un rapport de violation le 19 novembre et un rapport de fuite d’informations personnelles le 20 novembre. L’enquête a confirmé que l’attaquant a exploité une vulnérabilité d’authentification dans les serveurs de Coupang, contournant le processus de connexion normal et divulguant les informations des clients.
Le gouvernement a lancé une équipe d’enquête conjointe public-privé le 30 novembre, et la Commission de protection des informations personnelles enquête pour savoir si Coupang a violé ses mesures de sécurité en matière de protection des informations personnelles – contrôle d’accès, gestion des autorisations d’accès, cryptage, etc. En tant que service avec une base d’utilisateurs si élevée qu’il est souvent appelé « l’Amazonie de Corée », Coupang a publié un avis de sécurité publique le 29 novembre pour éviter des dommages secondaires. Par ailleurs, une période de trois mois, à compter du 30 novembre, sera consacrée au renforcement de la surveillance des fuites d’informations personnelles et de la diffusion illégale en ligne.
Dans le même temps, Choi Min-hee, présidente de la commission des sciences, des TIC, de la radiodiffusion et des communications de l’Assemblée nationale, a publié le 30 novembre les résultats d’une analyse des causes spécifiques de l’incident dans un communiqué de presse. Selon les informations reçues de Coupang, la société aurait répondu que « la période de validité de la clé de signature du jeton est souvent fixée à 5 à 10 ans », ajoutant que « la période de rotation est longue et varie considérablement selon le type de clé ».
Le côté du président Choi a expliqué cet incident en utilisant une analogie avec un système de contrôle d’accès. Si le « jeton » nécessaire à la connexion est une carte d’accès à usage unique, la « clé de signature » s’apparente au cachet d’authentification utilisé pour émettre la carte d’accès. Si l’accès est impossible sans le cachet d’authentification, même avec la carte d’accès, si la clé de signature est laissée sans surveillance pendant une période prolongée, elle peut faire l’objet d’une exploitation continue.
Selon le bureau du représentant Choi Min-hee, le système de connexion de Coupang est conçu pour supprimer immédiatement les jetons après leur création, mais les informations de signature requises pour la création du jeton ont été supprimées ou n’ont pas été mises à jour lorsque l’employé responsable a quitté l’entreprise, et ont donc été exploitées par les employés internes.
Dans un communiqué de presse, le président Choi Min-hee a déclaré : « Coupang n’a pas suivi la procédure de sécurité interne la plus élémentaire consistant à renouveler la clé de signature » et « l’abandon d’une clé d’authentification valide à long terme n’était pas simplement une déviation de la part d’un employé interne, mais le résultat de problèmes organisationnels et structurels chez Coupang qui ont négligé le système d’authentification ».
Les victimes de cette violation ont été informées par e-mail ou SMS. Des informations connexes peuvent également être trouvées sur une page d’informations distincte.
Le PDG de Coupang, Park Dae-joon, a publié une déclaration distincte le 30 novembre, déclarant : « Nous nous excusons sincèrement d’avoir causé de grands désagréments et inquiétudes au public » et « Coupang fera de son mieux pour éviter de nouveaux dommages en coopérant étroitement avec l’équipe d’enquête conjointe public-privé comprenant le ministère de la Science et des TIC, la Commission de protection des informations personnelles, l’Agence coréenne de sécurité de l’Internet et de la police nationale. »
Le président sud-coréen Lee Jae Myung a fait référence cette semaine à la violation de données chez Coupang en appelant à des sanctions plus sévères en cas de négligence des entreprises dans de tels scénarios. Cette violation serait la pire que la Corée du Sud ait connue depuis plus d’une décennie. Bloomberg rapporte que cette violation pourrait constituer un cas historique pour la Corée du Sud. Cela pourrait entraîner une amende record, pouvant atteindre 1 200 milliards de wons (814 millions de dollars).
Le principal suspect est un ancien ingénieur de Coupang qui avait travaillé sur les systèmes d’authentification. La police enquête pour savoir si l’ancien employé a agi seul ou a collaboré avec d’autres personnes lors de cette infraction.
