La société Coupang, souvent qualifiée d’« Amazon coréen », a subi une fuite de données massive ayant exposé environ 33,7 millions de comptes utilisateurs incluant leurs noms, numéros de téléphone, adresses électroniques, adresses postales et informations de commande. Fondée en 2010, Coupang est l’un des géants du e-commerce en Corée du Sud, avec un écosystème très développé incluant la livraison ultra-rapide (« Rocket Delivery »), le streaming, le paiement et des services logistiques fortement intégrés.
Cette attaque constitue la troisième cyberattaque majeure de l’année visant un grand groupe sud-coréen, après celles ayant touché SK Telecom, premier opérateur mobile du pays, et Lotte Card, acteur majeur de l’émission de cartes de crédit.
L’ampleur de cette nouvelle fuite de données a contraint les autorités sud-coréennes à se réunir en urgence. Elle met en évidence les vulnérabilités persistantes des grandes infrastructures numériques nationales et pousse Séoul à reconnaître les limites actuelles de son dispositif de cybersécurité face à des attaques de plus en plus fréquentes et sophistiquées.
Quel acteur ?
L’attaque n’a été revendiquée par aucun groupe en particulier et semble même être d’origine interne. Bien que l’entreprise n’ait communiqué aucune information sur l’identité des responsables, aucun code malveillant n’a été détecté à ce stade. L’enquête privilégie donc l’hypothèse d’une attaque interne potentielle, impliquant un ressortissant chinois ayant quitté le territoire sud-coréen.
Quelle type d’attaque ?
Comme indiqué précédemment, la fuite de données subie par Coupang semble, dans un premier temps, d’origine interne. Aucune trace de code malveillant n’ayant été détectée, l’hypothèse d’un abus d’accès légitime peut être envisagée. Toutefois, certains éléments suggèrent que l’attaque aurait pu résulter d’une compromission d’identifiants ou d’une campagne de hameçonnage.
Le code de preuve de concept (PoC) a notamment mis en évidence des injections SQL exploitant des failles de validation des entrées afin d’extraire des données. Parmi les indicateurs de compromission relevés figurent des adresses IP suspectes, des horodatages de connexion inhabituels ainsi qu’un trafic réseau révélant une exfiltration de données.
En définitive, malgré certaines déclarations évoquant une attaque interne, plusieurs éléments laissent penser à une attaque d’origine externe, bien qu’elle puisse apparaître comme interne du fait de l’utilisation d’accès légitimes. Deux hypothèses restent donc à ce stade envisageables.
Quelle réaction de la part de Coupang
Coupang a été contraint de réagir dans l’urgence à la suite de cette attaque, considérée localement comme une véritable honte pour une enseigne de cette envergure.
Dans un premier temps, le gouvernement sud-coréen a réagi immédiatement en réunissant plusieurs hauts responsables, dont le vice-Premier ministre, le ministre des Sciences et des Technologies de l’information et de la communication (TIC), ainsi que le commissaire général par intérim de l’Agence nationale de police.
De son côté, Coupang a recommandé aux utilisateurs de modifier leurs mots de passe, a procédé au blocage des adresses IP suspectes, lancé un audit de sécurité approfondi, déployé des correctifs et activé l’authentification multifacteur.
Malgré ces mesures, l’entreprise s’expose à une lourde sanction financière, étant tenue pour responsable de la fuite de données de millions de personnes.
Conclusion
L’attaque contre Coupang met en évidence la vulnérabilité des grandes plateformes numériques, désormais centrales dans la vie quotidienne. Elle rappelle que la cybersécurité dépasse les seules mesures techniques et repose aussi sur la gestion des accès et le facteur humain. À l’échelle sociétale, cet incident souligne la responsabilité accrue des entreprises face à la concentration massive de données personnelles.