À la suite de ce qui pourrait être le pire cas de piratage dans l’histoire des télécommunications en Corée du Sud, les institutions financières coréennes s’empressent de renforcer leurs systèmes de vérification de l’identité. La récente intrusion dans SK Telecom (SKT) a mis en évidence des vulnérabilités critiques dans l’infrastructure numérique du pays et a souligné le besoin urgent de solutions de vérification plus robustes et indépendantes du réseau dans le secteur financier.
La portée et l’ampleur de la faille de SK Telecom
Le 18 avril 2025, SK Telecom, le plus grand opérateur de téléphonie mobile de Corée du Sud avec environ 25 millions d’abonnés (note : la Corée a une population d’environ 51 millions d’habitants), a détecté une cyberattaque sur ses systèmes internes. La violation était suffisamment grave pour que le PDG Ryu Young-sang reconnaisse qu’il s’agissait potentiellement du « pire cas de piratage dans l’histoire des télécommunications du pays » lors d’une session parlementaire.
L’attaque a exposé des données sensibles USIM (Universal Subscriber Identity Module), notamment les numéros de téléphone des abonnés et les numéros IMSI (International Mobile Subscriber Identity), ainsi que 21 types de données de gestion interne de SKT liées au traitement des informations USIM (Source : communiqué de presse du gouvernement). Au total, les informations divulguées représentent environ 9,7 gigaoctets, soit l’équivalent d’environ 9 000 livres ou 2,7 millions de pages de documents, selon les rapports soumis à l’Assemblée nationale.
SK Telecom a détecté pour la première fois un trafic anormal indiquant une exfiltration de données dans son centre de surveillance de la sécurité à 23h20 le 18 avril. À 1 h 40 du matin le lendemain, l’entreprise avait isolé l « équipement compromis infecté par un logiciel malveillant et commencé à analyser le chemin d’intrusion et l » étendue de la violation de données. Cependant, l’entreprise a été critiquée pour avoir mis deux jours à signaler l’incident aux autorités, dépassant ainsi de loin l’obligation de notification de 24 heures imposée par la loi, et elle doit maintenant faire face à un examen supplémentaire de la part du public pour avoir mis plus de deux semaines à notifier les clients concernés.
Liens potentiels avec des pirates informatiques parrainés par des États
Cette faille pourrait être liée à des menaces internationales plus larges en matière de cybersécurité. Le 24 avril, la société taïwanaise de cybersécurité TeamT5 a publié un rapport avertissant que des vulnérabilités critiques dans les dispositifs VPN Ivanti créaient des risques de sécurité au niveau mondial, des groupes de pirates informatiques liés à la Chine exploitant les failles du système de réseau privé virtuel « Ivanti Connect Secure » pour infiltrer des institutions dans le monde entier.
L’incident a coïncidé avec celui de SKT, et des sources industrielles indiquent que l’équipement VPN d’Ivanti est utilisé par de nombreuses entreprises sud-coréennes, y compris SK Telecom, ce qui suggère un lien possible. Au cours de l’enquête, les autorités ont identifié quatre variantes du logiciel malveillant BPFDoor, une porte dérobée furtive qui exploite le filtre de paquets Berkeley, ce qui rend la détection des communications des pirates particulièrement difficile.
Réponse du marché et des consommateurs
L’incident a porté un coup financier important à SK Telecom, qui a perdu environ 923,6 milliards de wons (643,2 millions de dollars) de capitalisation boursière. Entre-temps, un exode d’abonnés a commencé, avec plus de 34 000 clients qui se sont tournés vers les opérateurs rivaux KT et LG U+ en une seule journée. Un mouvement d’action collective a pris de l’ampleur, avec plus de 49 000 personnes rejoignant une communauté soutenant une action en justice contre l’entreprise en l’espace de trois jours seulement.
Réaction des gouvernements et des entreprises
Les agences gouvernementales et les institutions publiques ont reçu l’ordre de l’agence nationale de renseignement de faire rééditer les cartes SIM des appareils sans fil à usage professionnel. L’Agence nationale de police a constitué une équipe spéciale de 22 membres pour enquêter sur la violation, tandis que la Commission des services financiers (FSC) et le Service de surveillance financière (FSS) ont mis en place des mesures d’intervention d’urgence pour renforcer la protection des consommateurs et la stabilité du système financier.
Les grandes entreprises ont pris des mesures rapides, des sociétés comme Hyundai Motor s’efforçant d’obtenir des cartes SIM de remplacement pour les cadres de haut niveau et fournissant des services de remplacement en interne. Samsung Electronics a ordonné à ses cadres d’échanger « immédiatement » les cartes SIM de SKT, tandis que des directives similaires ont été données aux employés d’autres entreprises d’intérêt national telles que HD Hyundai, Hanwha, Naver et Kakao.
Mesures de protection immédiates
Les institutions financières ont mis en place des protocoles d’urgence pour prévenir les fraudes potentielles :
- Exigences d’authentification renforcées: De grandes banques telles que KB Kookmin, Shinhan, Hana et Woori exigent désormais la reconnaissance faciale pour les utilisateurs de SKT qui souhaitent émettre de nouveaux certificats numériques ou effectuer des transactions financières mobiles sur de nouveaux appareils.
- Restrictions sur les transactions: Certaines institutions financières refusent les demandes de transactions, y compris l’émission de mots de passe à usage unique pour les utilisateurs de SK Telecom.
- Détection des fraudes: Les banques ont renforcé leurs systèmes de détection des fraudes afin d’identifier les transactions financières non autorisées, les comptes étant immédiatement gelés en cas de suspicion de tentative de fraude.
- Autres méthodes de vérification: Les prestataires de services financiers conseillent aux utilisateurs de SK Telecom de souscrire à des services de protection de l’USIM, de remplacer leurs puces USIM et d’utiliser des méthodes d’authentification autres que les messages textuels.
La vulnérabilité de l’authentification basée sur les télécommunications
La faille de SKT a mis en évidence une faiblesse critique dans l’écosystème coréen de vérification de l’identité. De nombreuses institutions financières se sont fortement appuyées sur la vérification des utilisateurs par l’intermédiaire des télécommunications dans le cadre de leurs processus d’authentification. Bien que les sociétés financières exigent généralement au moins deux étapes supplémentaires au-delà de la vérification de l’opérateur de télécommunications pour autoriser les transactions financières mobiles, la violation a mis en évidence le risque de dépendre de l’infrastructure de télécommunications pour la vérification de l’identité.
Cette vulnérabilité est d’autant plus préoccupante que les sociétés de cartes de crédit en Corée du Sud se sont retirées du marché des services de vérification d’identité en raison de la domination de l’authentification par les télécommunications. L’incident souligne les dangers de la concentration des capacités de vérification au sein d’un seul secteur ou d’une seule approche technologique.
Évolution de la vérification d’identité en Corée du Sud
Contexte historique
La Corée du Sud dispose depuis longtemps de systèmes de vérification de l’identité numérique :
Depuis le début des années 2000, la plupart des banques coréennes proposent des services bancaires en ligne basés sur des certificats PKI (Public Key Infrastructure)8. Cette approche a été initialement imposée par le gouvernement, qui a réglementé l’application des certificats PKI comme obligatoire pour les services bancaires en ligne jusqu’en 20158.
En 2007, la Corée a mis en place un « système de vérification de l’identité » pour lutter contre les violations de la vie privée et la diffamation en ligne12. Ce système a été légalisé par la loi sur la promotion de l’utilisation des réseaux d’information et de communication et la protection de l’information, après cinq années de discussions publiques et de débats politiques12.
Développements récents dans le domaine de l’identité numérique
Avant la violation de SKT, la Corée du Sud avait fait des progrès considérables dans la modernisation de ses systèmes de vérification de l’identité :
En mars 2025, la Corée du Sud a achevé le déploiement national de l’identification numérique, permettant à tous les citoyens et résidents étrangers d’ajouter à leur smartphone une version numérique de leur carte d’enregistrement de résident sud-coréen. Cette carte d’identité numérique comprend des caractéristiques de sécurité telles que la blockchain et le cryptage, avec une vérification biométrique requise pour prévenir l’usurpation d’identité.
En outre, le gouvernement a récemment lancé un service de vérification de la carte de résidence pour les résidents étrangers, ce qui leur permet d’effectuer des transactions financières par téléphone mobile sans avoir à se rendre en personne dans les banques. Ce service extrait les traits du visage de la photo figurant sur la carte d’immatriculation d’un étranger et les compare aux photos contenues dans une base de données du ministère de la justice pour en vérifier l’authenticité en temps réel.
La nécessité d’une nouvelle approche
La violation de SK Telecom a démontré qu’en dépit de ces progrès, des vulnérabilités importantes subsistent dans l’infrastructure de vérification de l’identité en Corée. L’incident a accéléré le besoin de solutions de vérification qui :
- Ne dépendez pas de la connectivité du réseau
- Ne peut être compromise par des violations de données à grande échelle
- Intégrer des éléments biométriques forts
- Fonctionner indépendamment des entreprises de télécommunications
L’avenir de la vérification sécurisée de l’identité
Alors que les institutions financières sud-coréennes recherchent des méthodes de vérification d’identité plus sûres, elles ont besoin de solutions qui répondent aux vulnérabilités fondamentales révélées par la faille de SKT. La solution idéale serait indépendante du réseau, hautement sécurisée et s’appuierait sur une technologie biométrique avancée pour garantir que la vérification de l’identité reste efficace même si l’infrastructure de télécommunications traditionnelle est compromise.
Les avantages de l’authentification biométrique sans réseau et respectueuse de la vie privée
À la lumière de la récente violation, les avantages offerts par les systèmes d’authentification biométrique sans réseau et respectueux de la vie privée sont de plus en plus reconnus. Ces systèmes stockent les données biométriques localement plutôt que dans des bases de données centralisées, ce qui élimine le risque de violations de données à grande échelle. Ils fonctionnent indépendamment de la connectivité réseau, ce qui les rend résistants aux attaques et aux pannes de réseau.
L’authentification biométrique offre également un niveau de sécurité plus élevé que les méthodes traditionnelles, car les identifiants biométriques sont uniques pour chaque individu et difficiles à falsifier ou à voler. Lorsqu’ils sont mis en œuvre dans le cadre d’une approche axée sur la protection de la vie privée, qui donne la priorité au consentement de l’utilisateur et à la protection des données, ces systèmes peuvent offrir à la fois une sécurité accrue et la conformité avec les réglementations relatives à la protection des informations personnelles.
Comment SNAPPASS traite les vulnérabilités actuelles
ANDOPENLa technologie de SNAPPASS représente une avancée significative dans la lutte contre les vulnérabilités mises en évidence par la faille de SKT. En tant que « solution d’identification et d’authentification physique basée sur la reconnaissance faciale », SNAPPASS aide à prévenir la criminalité et la fraude en fournissant une méthode de vérification d’identité hautement sécurisée et précise.
Contrairement aux systèmes de vérification traditionnels qui dépendent de réseaux et de bases de données centrales, SNAPPASS offre des identités biométriques hors ligne, évolutives et stockées à froid. Cette approche sans réseau signifie que même si les systèmes de télécommunications sont compromis, la vérification de l’identité peut se poursuivre sans interruption.
SNAPPASS peut prendre en charge « un nombre infini d’utilisateurs biométriques avec 0 % d’erreurs de reconnaissance » et peut sécuriser des installations « y compris dans des environnements éloignés ou sous protection aérienne ». Il est donc particulièrement adapté aux institutions financières qui exigent des niveaux élevés de sécurité et de fiabilité.
Pour les applications financières en particulier, SNAPPASS peut éliminer la criminalité financière avec « SNAPPIN on-board payment cards », protégeant les utilisateurs contre le vol de cartes, la fraude et les transactions non autorisées grâce à des terminaux de paiement biométriques sécurisés. Cette capacité répond directement aux préoccupations soulevées par la violation de SKT concernant la fraude financière potentielle résultant de la compromission des données USIM.
Découvrez comment SNAPPASS peut renforcer la protection des données clients de votre organisation :
