Après deux fuites massives en 2025, Séoul change de doctrine. Les opérateurs devront vérifier l’identité des acheteurs de cartes SIM par scan du visage, pour freiner le fléau des numéros frauduleux.

Le gouvernement sud-coréen lance un programme obligeant les opérateurs télécoms à vérifier l’identité des acheteurs de cartes SIM par reconnaissance faciale. La procédure s’appuiera sur l’application PASS, utilisée par SK Telecom, LG Uplus et Korea Telecom, qui stocke des données numériques des abonnés. Lors de l’activation d’un nouveau numéro, le visage du client sera comparé aux données biométriques disponibles dans PASS. L’objectif est de compliquer l’achat de lignes au nom de tiers, pratique alimentant des escroqueries comme le voice phishing. La mesure intervient après deux grandes fuites en 2025, touchant environ 52 millions de personnes.

Quand une carte SIM devient une arme de fraude

En Corée du Sud, la vente d’une carte SIM ne relève plus d’un simple acte commercial. Le gouvernement annonce une nouvelle étape : obliger les opérateurs à vérifier l’identité des acheteurs en scannant leur visage. La logique est assumée par le ministère des Sciences et des Télécommunications : trop de numéros sont enregistrés sur la base de données volées, puis utilisés dans des arnaques, notamment le voice phishing, cette fraude par appel où l’usurpation d’identité fait le reste.

Jusqu’ici, les vendeurs demandaient des documents. Désormais, ce ne sera « plus suffisant ». Le dispositif vise précisément la faille opérationnelle décrite par les autorités : des criminels parviennent à enregistrer en masse des SIM en utilisant les informations personnelles d’autrui. Une fois la ligne activée, elle devient un outil jetable, dissocié de la vraie identité du fraudeur, mais redoutablement efficace pour appeler, piéger, extorquer ou détourner des comptes.

Le programme s’appuie sur PASS, une application utilisée par les trois principaux opérateurs du pays, SK Telecom, LG Uplus et Korea Telecom. PASS centralise des données numériques des utilisateurs. Dans la nouvelle procédure, l’activation d’un numéro sera liée à ce canal : le visage de l’acheteur, capturé lors de la souscription, sera comparé aux données biométriques stockées dans PASS. L’objectif est clair : réduire l’écart entre l’identité affichée sur un contrat et la personne réelle qui repart avec une ligne active.

Pour le cyber et le renseignement, l’intérêt n’est pas seulement la biométrie. C’est l’idée d’un verrou ajouté au point le plus banal, l’achat d’une SIM, parce que ce geste alimente ensuite une chaîne entière d’abus. Les autorités parient qu’en liant l’activation à une vérification faciale, les fraudeurs auront plus de mal à « consommer » des identités volées, même s’ils disposent de documents ou de données complètes. C’est une réponse de type contrôle d’accès, appliquée non pas à un réseau, mais à l’attribution d’un numéro, c’est-à-dire à la capacité d’entrer en contact avec une victime.

Deux fuites en 2025, une pression politique immédiate

Ce durcissement se comprend à la lumière d’un contexte que le gouvernement décrit comme devenu explosif. En 2025, deux fuites majeures auraient touché plus de la moitié de la population, environ 52 millions de personnes. L’ampleur, citée par les autorités, joue ici le rôle de déclencheur : quand les bases d’identité se diffusent, la fraude à la SIM devient mécaniquement plus simple, parce qu’elle repose sur des pièces « valables » en apparence.

Un premier épisode concerne Coupang. Selon les éléments rapportés, l’enseigne de commerce en ligne aurait exposé plus de 30 millions d’enregistrements. Environ un mois après, le directeur général a perdu son poste. Le message implicite est brutal : l’incident n’est pas traité comme une simple panne de sécurité, mais comme un événement de gouvernance.

L’autre cas touche SK Telecom, déjà cité comme un pilier de l’écosystème PASS. Plus tôt dans l’année, l’opérateur a subi une attaque et des acteurs ont volé des informations concernant 23 millions d’abonnés. La réaction réglementaire a été lourde : une amende de 100 million $ (92,0 millions d’euros) et l’obligation de compenser les victimes. Les autorités justifient cette sanction par des manquements graves en sécurité, dont la divulgation d’identifiants d’infrastructure “en clair” et l’existence d’un serveur accessible depuis Internet.

SK Telecom a aussi été contraint d’indemniser l’ensemble des personnes affectées : 100 000 wons, annoncés comme environ 67 $ (61,6 €), par utilisateur, dont la moitié en crédits sur le compte et l’autre en points utilisables en magasin. Un dernier chiffre nuance la cible réelle de la réforme : près de 92 % des numéros frauduleux détectés en 2024 auraient été enregistrés via des opérateurs virtuels. Dit autrement, le front n’est pas uniquement chez les trois géants, mais dans les circuits de vente et d’activation où l’identité est la plus difficile à verrouiller.

Dans une approche de cyber-renseignement, la reconnaissance faciale n’est qu’un outil : la vraie bataille vise la chaîne d’enrôlement des identités, là où la fraude transforme une fuite de données en capacité d’action.