La Corée du Sud déclare que Coupang doit résoudre les failles de sécurité lors de l'enquête sur la violation de données

Par Heekyong Yang et Hyunjoo Jin

SÉOUL, 10 février (Reuters) - Les autorités sud-coréennes ont déclaré mardi que le géant du commerce électronique Coupang devait corriger les vulnérabilités de ses systèmes de sécurité, qu'elles ont accusées d'être à l'origine d'une fuite massive de données au sein de l'entreprise.

Annonçant les premiers résultats d'une enquête menée par le gouvernement sur l'incident, le ministère des Sciences a attribué la fuite à un ancien ingénieur de Coupang, précisant qu'il était au courant des vulnérabilités dans le système d'authentification, en se référant à des enregistrements qui montrent qu'il a tenté d'accéder au système en janvier 2025, soit trois mois avant la violation de données survenue en avril et qui a duré jusqu'en novembre.

Coupang Korea, exploitée par Coupang Inc cotée aux États-Unis, a subi l'une des pires violations de données de Corée du Sud, ce qui a accru les tensions commerciales avec Washington après que des responsables américains ont exprimé leur inquiétude concernant le traitement réservé aux entreprises technologiques américaines.

Le ministère a indiqué que l'enquête avait confirmé que les données personnelles d'environ 33,7 millions de clients avaient été divulguées.

"L'attaquant a exploité des vulnérabilités d'authentification des utilisateurs pour accéder aux comptes sans connexion appropriée et a provoqué des fuites massives d'informations non autorisées", a déclaré le ministère.

Le ministère a accusé l'ancien employé d'avoir volé une clé de sécurité interne, connue sous le nom de clé de signature, qui aurait été utilisée pour générer de faux jetons de connexion et obtenir un accès non autorisé aux comptes clients.

Il a précisé que l'ancien ingénieur avait conçu et développé des parties du système d'authentification des utilisateurs de Coupang, et que l'entreprise n'avait pas détecté la connexion frauduleuse ni renouvelé les clés de signature après le départ du développeur.

"Le système de vérification des cartes d'accès électroniques falsifiées ou modifiées était inadéquat, rendant difficile la détection ou le blocage des attaques à l'avance", a expliqué le ministère.

"Coupang doit mettre en place un système de détection et de blocage des cartes d'accès électroniques qui ne passent pas par le processus normal d'émission", a-t-il ajouté.

D'autres enquêtes sur la fuite de données, menées par la police et l'autorité nationale de protection des données personnelles, sont en cours.

Le ministère a accusé Coupang d'avoir enfreint la loi sur les réseaux d'information en ayant signalé la violation au-delà du délai requis de 24 heures, ajoutant qu'il prévoyait d'imposer une amende administrative pouvant aller jusqu'à 30 millions de wons (20 596 dollars) en vertu de la loi. Coupang a pris connaissance de la fuite de données à 16h00 le 17 novembre et l'a signalée aux autorités à 21h35 le 19 novembre, a précisé le ministère.

Il a également accusé Coupang de ne pas avoir respecté un ordre de préservation des données destiné à analyser la cause de la fuite, et a transmis l'affaire aux autorités pour enquête.