Imaginez ouvrir votre boîte mail un dimanche matin et découvrir que vos nom, adresse, numéro de téléphone et même l’historique de vos commandes chez votre site d’e-commerce préféré sont entre les mains de pirates depuis… cinq mois. C’est exactement ce qui vient d’arriver à 34 millions de Coréens.
Fin novembre 2025, Coupang, le « Amazon coréen », a reconnu l’une des plus grosses fuites de données de son histoire. Et le choc est d’autant plus violent que l’entreprise avait déjà connu plusieurs incidents similaires ces dernières années.
Une brèche restée ouverte plus de cinq mois
Le 18 novembre 2025, les équipes de sécurité de Coupang détectent une activité suspecte sur seulement 4 500 comptes. Rien d’alarmant à première vue. Mais en creusant, les experts découvrent l’ampleur du désastre : depuis le 24 juin 2025, un accès non autorisé via des serveurs étrangers permet de consulter les données de près de 33,7 millions de clients sud-coréens.
Cela représente quasiment l’ensemble de la population adulte active du pays. Autant dire que presque tous ceux qui ont déjà commandé un paquet de ramens ou un smartphone sur Coupang sont concernés.
Selon l’enquête en cours, l’accès non autorisé à des informations personnelles a débuté le 24 juin 2025 via des serveurs à l’étranger.
Coupang – Communiqué officiel
Quelles données exactement ont fuité ?
La bonne nouvelle (si l’on peut dire) : les informations de paiement, numéros de carte bancaire et mots de passe n’ont pas été touchés. La mauvaise : tout le reste oui.
- Noms complets
- Adresses e-mail
- Numéros de téléphone portable
- Adresses de livraison précises
- Historiques partiels de commandes
En Corée du Sud, où le numéro de téléphone est souvent utilisé comme identifiant principal (banque, administrations, applications), cette fuite est particulièrement grave.
Un ex-employé chinois dans le viseur de la police
Très rapidement, les enquêteurs de la police nationale coréenne mettent la main sur une piste sérieuse : un ancien employé chinois de Coupang, aujourd’hui à l’étranger, serait impliqué. L’homme aurait conservé des accès privilégiés ou aurait exploité une faille qu’il connaissait parfaitement.
Cet élément rappelle douloureusement que les menaces internes restent l’une des principales causes de fuites massives, même dans les entreprises les plus matures technologiquement.
Chez Coupang, le turnover des équipes techniques, notamment celles composées d’ingénieurs étrangers, est connu pour être élevé. Un point faible que les attaquants semblent avoir parfaitement exploité.
Coupang, un habitué des fuites malheureusement
Ce n’est pas la première fois que l’entreprise fait la une pour les mauvaises raisons en matière de sécurité.
- 2020-2021 : plusieurs incidents touchant clients et livreurs
- Décembre 2023 : plus de 22 000 vendeurs voient leurs données exposées
- Novembre 2025 : 33,7 millions de clients touchés
À chaque fois, Coupang promet de renforcer ses défenses. À chaque fois, les mêmes questions reviennent : la croissance ultra-rapide de l’entreprise (valorisée plus de 60 milliards de dollars en Bourse) ne se fait-elle pas au détriment de la sécurité ?
Pourquoi cette fuite est particulièrement grave en Corée
Dans beaucoup de pays, perdre son adresse et son numéro de téléphone reste embêtant mais gérable. En Corée du Sud, c’est presque une catastrophe personnelle.
Le numéro de portable y est lié à :
- L’authentification bancaire
- Les applications gouvernementales
- Les services de livraison
- Même les abonnements Netflix ou Spotify
Avec ces données, un attaquant peut tenter du SIM swapping, de l’usurpation d’identité ou simplement harceler les victimes. Et avec 34 millions de personnes touchées, les risques d’arnaques de masse sont réels.
La réaction de Coupang : trop peu, trop tard ?
L’entreprise a bloqué la faille, renforcé la surveillance et fait appel à un cabinet externe de renom. Elle a également prévenu les autorités compétentes : KISA, PIPC et la police.
Mais de nombreuses voix s’élèvent pour critiquer la communication : pourquoi avoir attendu plus de dix jours après la détection initiale pour alerter les clients ? Pourquoi ne pas avoir détecté plus tôt une exfiltration aussi massive ?
Ce que ça nous apprend sur la sécurité des géants du e-commerce
Cette affaire Coupang n’est pas isolée. Elle rappelle d’autres scandales récents :
- La fuite chez Temu (2024)
- L’attaque contre Shein la même année
- Les multiples incidents chez Alibaba
Quand une plateforme grandit à la vitesse de la lumière (Coupang est passé de startup à leader national en moins de dix ans), la sécurité devient souvent le parent pauvre des investissements. On privilégie la vitesse de livraison (Rocket Delivery en 30 minutes !) à la robustesse des systèmes.
Résultat : des architectures complexes, des milliers d’employés avec des accès élevés, des sous-traitants étrangers… autant de portes d’entrée potentielles.
Que faire si vous êtes client Coupang ?
Même si vous êtes en France, beaucoup utilisent Coupang via des services de réexpédition. Voici les réflexes à avoir :
- Changez immédiatement votre mot de passe (même s’il n’a pas fuité)
- Activez l’authentification à deux facteurs
- Méfiez-vous des SMS ou mails suspects
- Surveillez vos comptes bancaires
- Envisagez le gel de crédit si vous êtes en Corée
Et surtout, posez-vous la question : jusqu’où êtes-vous prêt à confier vos données à une plateforme qui promet la lune en 30 minutes ?
Cette fuite chez Coupang n’est pas qu’un fait divers coréen. C’est un signal d’alarme pour toute l’industrie du e-commerce asiatique… et au-delà. Quand la vitesse devient l’unique argument de vente, la sécurité en paie souvent le prix. Et ce sont finalement les clients qui trinquent.
La course à la livraison express continue. Mais à quel coût pour notre vie privée ?
