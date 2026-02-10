La Corée du Sud attribue la violation de données de Coupang à une erreur de gestion et non à une attaque sophistiquée

((Traduction automatisée par Reuters à l'aide de l'apprentissage automatique et de l'IA générative, veuillez vous référer à l'avertissement suivant: https://bit.ly/rtrsauto))

Une enquête révèle que la violation de données de Coupang a touché 33,7 millions de clients

Un ancien ingénieur accusé d'avoir exploité des failles d'authentification

La police et l'organisme de surveillance des données poursuivent des enquêtes distinctes sur la fuite de données

(Ajout de détails et de commentaires issus de la réunion d'information du ministère de la science) par Heekyong Yang et Hyunjoo Jin

Les autorités sud-coréennes ont attribué la fuite massive de données survenue l'année dernière chez Coupang à une erreur de gestion plutôt qu'à une cyberattaque sophistiquée, et ont exhorté le géant du commerce électronique à corriger les vulnérabilités de ses systèmes de sécurité.

Annonçant les premières conclusions d'une enquête menée par le gouvernement, le ministère des sciences a déclaré mardi qu'un ancien ingénieur de Coupang, qui connaissait les failles du processus d'authentification, s'était introduit dans le système en avril, une brèche qui a duré jusqu'en novembre. La même personne avait tenté d'accéder au système en janvier.

Coupang Korea, exploité par la société américaine Coupang Inc CPNG.N , a été confronté à une réaction négative du public et des législateurs à la suite de cette intrusion. L'incident a aggravé les frictions commerciales avec Washington en raison de préoccupations selon lesquelles les autorités coréennes auraient outrepassé l'application normale de la réglementation dans leur traitement de la société cotée en bourse aux États-Unis.

"Il s'agit davantage d'un problème de gestion que d'une attaque avancée", a déclaré Choi Woo-hyuk, vice-ministre de la cybersécurité et de la politique des réseaux, lors d'une conférence de presse, citant la surveillance laxiste des systèmes d'authentification.

Le ministère a déclaré que la fuite avait exposé les données personnelles d'environ 33,7 millions de clients et qu'une page de liste d'adresses de livraison, contenant des noms et des numéros de téléphone, avait été consultée environ 150 millions de fois.

"Le pirate a exploité les vulnérabilités des systèmes d'authentification des utilisateurs pour accéder à leurs comptes sans se connecter correctement et a provoqué des fuites d'informations non autorisées à grande échelle", a déclaré le ministère.

Il a également demandé à la police d'enquêter sur Coupang pour avoir tenté de "restreindre" l'enquête en supprimant certaines données, accusant l'entreprise d'avoir défié un ordre du gouvernement de préserver les données.

Coupang n'a pas répondu immédiatement à une demande de commentaire.

La société a précédemment déclaré que la fuite concernait des coordonnées de contact, mais qu'aucune information de paiement ou de connexion n'avait été compromise. Elle a également indiqué que les utilisateurs avaient été avertis conformément aux instructions du gouvernement.

COUPANG A BESOIN D'UNE SÉCURITÉ PLUS STRICTE

Le ministère a accusé l'ancien employé, qui a quitté l'entreprise en novembre 2024, d'avoir volé une clé de sécurité interne, connue sous le nom de clé de signature, qui, selon lui, a été utilisée pour générer de faux jetons de connexion et obtenir un accès non autorisé aux comptes des clients.

Le ministère a déclaré que le membre du personnel avait conçu et développé des parties du système d'authentification des utilisateurs de Coupang, et que l'entreprise n'avait pas invalidé la clé de signature du développeur après le départ de la personne, ce qui, selon le ministère, n'était pas un système de sécurité adéquat.

"Coupang doit mettre en place un système de détection et de blocage des cartes d'accès électroniques qui ne passent pas par le processus normal d'émission", a déclaré le ministère.

Il a ajouté qu'il ne pouvait pas dire si plus d'une personne était impliquée dans la violation et qu'il devait attendre les résultats d'une enquête de police.

Le ministre sud-coréen de la justice, Jung Sung-ho, a déclaré en janvier qu'un mandat d'arrêt avait été délivré en décembre à l'encontre d'un ressortissant chinois qui avait travaillé chez Coupang.

MANDAT D'ARRÊT

L'enquête de la police est en cours et l'organisme de surveillance des données personnelles enquête également sur l'incident.

Coupang fait l'objet d'un contrôle fiscal en Corée du Sud et d'une plainte déposée par le parlement sud-coréen contre son fondateur et ses anciens dirigeants, qui ne se sont pas présentés à des auditions parlementaires l'année dernière.

Le ministère a accusé Coupang d'avoir enfreint la loi sur les réseaux d'information en ne signalant pas la violation dans le délai requis de 24 heures et a prévu d'imposer une amende administrative pouvant aller jusqu'à 30 millions de wons (20 596 $) en vertu de la loi.

Coupang a signalé la violation de données à son responsable de la sécurité de l'information à 16 heures, heure locale, le 17 novembre, et l'a signalée aux autorités à 21 h 35 le 19 novembre, a déclaré le ministère, ce qui représente un délai de plus de 53 heures.