ZATAZ » Fuite massive chez Coupang, 33,7 millions de comptes exposés

Une violation majeure chez le géant sud-coréen Coupang expose des données clients à l’échelle du pays et relance le débat sur les failles structurelles de la protection des données.

La fuite de données touchant Coupang, surnommé « l’Amazon sud-coréen », expose potentiellement les informations de 33,7 millions de comptes et met en lumière la vulnérabilité systémique des grands acteurs numériques du pays. Noms, coordonnées et historiques d’achats auraient été compromis, tandis que les autorités soupçonnent une menace interne impliquant un ancien employé désormais hors du territoire. Dans un contexte marqué par d’autres fuites massives chez SK Telecom et Lotte Card, Séoul convoque des réunions d’urgence et reconnaît les limites de son régime de sanctions. L’affaire Coupang devient ainsi un cas d’école pour comprendre comment une plateforme centrale du quotidien peut se transformer en cible stratégique pour cybercriminels, insiders et chantage autour de données clients à très grande échelle.

Un géant du e-commerce frappé au cœur

Coupang, principal détaillant en ligne de Corée du Sud et souvent décrit comme l’équivalent local d’Amazon, a confirmé une violation de données affectant 33,7 millions de comptes clients. La plateforme a présenté des excuses publiques dimanche, admettant l’ampleur de l’incident après avoir, dans un premier temps, parlé de 4 500 comptes seulement compromis en novembre. L’enquête interne a fait exploser ce chiffre, révélant une surface d’exposition qui représente environ 65 % des 51,7 millions d’habitants du pays, même si tous ces comptes ne correspondent pas nécessairement à des personnes distinctes.

Les données concernées incluraient les noms, les adresses électroniques, les coordonnées postales, les numéros de téléphone et les historiques de commandes. Coupang assure que les informations de paiement, ainsi que les identifiants de connexion, n’ont pas été touchés. Pour les enquêteurs comme pour les spécialistes du renseignement économique, ce type de fuite reste pourtant extrêmement sensible. Les historiques d’achats et les coordonnés complètes permettent de dresser un profil précis des habitudes de consommation, de la localisation et parfois des centres d’intérêt des utilisateurs. Ces profils peuvent ensuite servir à du chantage ciblé, à des campagnes de phishing hautement personnalisées ou à du social engineering plus élaboré.

Cette affaire s’inscrit dans une série noire pour les entreprises sud-coréennes. Plus tôt cette année, 27 millions de clients de SK Telecom et 3 millions de clients de Lotte Card ont déjà été touchés par des incidents de sécurité majeurs. La répétition de ces fuites, à des échelles démographiques massives, suggère que des acteurs malveillants ciblent désormais les géants sud-coréens comme des réservoirs de données stratégiques, comparables à des registres quasi nationaux d’identités numériques.

Coupang est au cœur de la vie quotidienne de millions de Coréens grâce à son service de livraison express Rocket Delivery, qui propose des livraisons le jour même ou à l’aube. L’entreprise déclare des revenus annuels de plusieurs dizaines de milliards de dollars, soit des montants d’un ordre de grandeur comparable en euros compte tenu d’un taux de change proche de la parité. Ce poids économique et logistique fait de la plateforme un actif critique du pays, et donc une cible de choix. La fuite d’une telle base de données dépasse la simple atteinte à la vie privée pour entrer dans le champ du risque systémique : exploitation criminelle de masse, campagnes de fraude coordonnées ou encore constitution de bases d’enrichissement pour d’autres attaques cyber.

Face à l’ampleur de la violation, Coupang affirme avoir « immédiatement signalé » l’incident à l’Agence nationale de police, à la Commission de protection des renseignements personnels et à l’Agence coréenne de l’Internet et de la sécurité. Cette notification rapide est un élément clé du volet réglementaire, mais la chronologie – entre premiers accès non autorisés et mise au jour complète de l’ampleur de la fuite – montrera si les mécanismes internes de détection et de réponse étaient réellement à la hauteur d’un acteur de cette taille.

Un ancien employé au centre des soupçons

Très vite, l’enquête a pris une tournure particulière. Selon plusieurs médias sud-coréens, aucun code malveillant n’a été détecté sur les systèmes internes de Coupang, ce qui a déplacé les soupçons vers une possible menace interne. Les regards se tournent vers un ancien salarié, présenté par l’agence Yonhap comme un ressortissant chinois ayant quitté la Corée du Sud. La police n’a pas officiellement confirmé ces éléments, mais indique travailler sur cette hypothèse.

Un responsable de la police métropolitaine de Séoul a expliqué que les enquêteurs analysent actuellement les journaux de serveur transmis par Coupang. Ils affirment avoir sécurisé l’adresse IP utilisée par le suspect présumé et être engagés dans sa traque. Dans une logique de renseignement technique, l’exploitation de ces journaux doit permettre de reconstituer les séquences d’accès, les actions effectuées sur les systèmes internes et l’éventuel exfiltration de données à grande échelle, tout en distinguant ce qui relève d’un usage légitime des droits d’un employé et ce qui relève d’un abus.

Un autre élément intrigue les enquêteurs : Yonhap rapporte que la police vérifie si le suspect est la même personne que celle qui a adressé un courriel à Coupang, menaçant de révéler la faille de sécurité. Selon la police, ce message ne comportait pas de demande de rançon. Si ces informations se confirmaient, le scénario se distinguerait des modèles classiques de cyberextorsion, pour se rapprocher d’une logique de dénonciation ou de pression non financière, voire d’un conflit interne ou d’une action de vengeance individuelle.

L’absence de code malveillant détecté renforce l’hypothèse d’un abus d’accès légitime, typique des menaces internes. Dans ce type de configuration, la frontière entre incident technique et fuite orchestrée de l’intérieur est ténue. Un employé ou ex-employé disposant de droits élevés peut exfiltrer massivement des données sans nécessairement installer de logiciels malveillants. Pour les équipes de sécurité, cela oblige à aller au-delà des signatures de malware et à renforcer l’analyse comportementale, les contrôles d’accès, la ségrégation des droits et les revues régulières de comptes à privilèges.

Pour un acteur comme Coupang, dont les systèmes concentrent des années d’historiques de commandes et de données clients, la gestion des accès internes devient une question stratégique autant technique que RH. Traçabilité fine des actions, rotation des droits, audits ciblés sur les administrateurs, revues des comptes d’anciens employés : ce sont autant de couches de défense qui peuvent limiter l’impact d’un insider malveillant ou négligent. L’enquête de la police sud-coréenne servira d’indicateur pour mesurer à quel point ces mécanismes étaient déjà en place au moment de la fuite.

Un cadre juridique sud-coréen sous pression

La réaction des autorités à la fuite Coupang a été immédiate. Dimanche, le gouvernement a réuni en urgence plusieurs hauts responsables, dont le vice-premier ministre, le ministre des Sciences et des TIC et le commissaire général par intérim de l’Agence nationale de police. Le ministère des Sciences et des TIC a déclaré que, compte tenu du volume de données personnelles impliqué, la Commission de protection des renseignements personnels mènerait une enquête rapide et pourrait imposer des sanctions sévères si une violation des obligations de sécurité prévues par la loi sur la protection était constatée.

Cette posture volontariste s’inscrit toutefois dans un contexte de critiques croissantes du cadre juridique sud-coréen. L’amende record de 134 milliards de wons infligée à SK Telecom pour une fuite touchant des dizaines de millions de clients illustre l’ampleur des enjeux. Cette somme est présentée comme équivalant à 91 millions de dollars, soit environ 83,7 millions d’euros en retenant un taux indicatif de 1 dollar pour 0,92 euro. L’opérateur a reconnu ne pas avoir détecté près de 25 types de logiciels malveillants présents dans ses systèmes pendant près de trois ans, ce qui souligne de graves lacunes dans la surveillance continue des environnements critiques.

Malgré ces sanctions spectaculaires, un responsable de la présidence sud-coréenne a estimé que le système de dommages-intérêts punitifs du pays restait largement inopérant. Selon les propos rapportés par Yonhap, le chef de cabinet de la résidence présidentielle Kang Hoon-sik considère que ce dispositif montre ses limites pour prévenir les fuites massives de données. Les incidents récents illustrent, selon lui, des « faiblesses structurelles » du régime juridique en matière de protection des données personnelles.

Cette critique rejoint un constat fréquent dans le domaine de la cybersécurité : des sanctions élevées, isolées, ne suffisent pas si elles n’entraînent pas une transformation durable des pratiques internes. Dans le cas de Coupang, comme de SK Telecom ou Lotte Card, l’enjeu est moins de cocher la case « amende payée » que de s’assurer que les investissements dans la sécurité, la gouvernance des données et la gestion des risques sont réellement à la hauteur de la taille de ces acteurs. Des géants de la tech nationale qui exposent, en cas de faille, une part considérable de la population.

Kang a indiqué que le ministère des Sciences et des TIC, ainsi que la Commission de protection des renseignements personnels, avaient reçu pour instruction de remettre un rapport sur les mesures à prendre pour renforcer le cadre. On peut s’attendre à ce que ce rapport aborde les obligations de notification, le niveau des audits indépendants, la responsabilité des dirigeants et la manière de rendre les sanctions plus dissuasives, y compris lorsque les fuites sont liées à des menaces internes difficiles à détecter. Pour les services de renseignement et les autorités cyber, la priorité sera d’éviter que les bases de données des géants nationaux ne deviennent des cibles récurrentes, utilisées comme matière première par les cybercriminels pour alimenter, en boucle, de nouvelles campagnes d’attaques.