Archives par mot-clé : corée du sud

Biométrie, Cybersécurité, double authentification, Justice, Securite informatique, Téléphonie

La Corée du Sud impose la reconnaissance faciale pour les SIM

Après deux fuites massives en 2025, Séoul change de doctrine. Les opérateurs devront vérifier l’identité des acheteurs de cartes SIM par scan du visage, pour freiner le fléau des numéros frauduleux.

Le gouvernement sud-coréen lance un programme obligeant les opérateurs télécoms à vérifier l’identité des acheteurs de cartes SIM par reconnaissance faciale. La procédure s’appuiera sur l’application PASS, utilisée par SK Telecom, LG Uplus et Korea Telecom, qui stocke des données numériques des abonnés. Lors de l’activation d’un nouveau numéro, le visage du client sera comparé aux données biométriques disponibles dans PASS. L’objectif est de compliquer l’achat de lignes au nom de tiers, pratique alimentant des escroqueries comme le voice phishing. La mesure intervient après deux grandes fuites en 2025, touchant environ 52 millions de personnes.

Quand une carte SIM devient une arme de fraude

En Corée du Sud, la vente d’une carte SIM ne relève plus d’un simple acte commercial. Le gouvernement annonce une nouvelle étape : obliger les opérateurs à vérifier l’identité des acheteurs en scannant leur visage. La logique est assumée par le ministère des Sciences et des Télécommunications : trop de numéros sont enregistrés sur la base de données volées, puis utilisés dans des arnaques, notamment le voice phishing, cette fraude par appel où l’usurpation d’identité fait le reste.

Jusqu’ici, les vendeurs demandaient des documents. Désormais, ce ne sera « plus suffisant ». Le dispositif vise précisément la faille opérationnelle décrite par les autorités : des criminels parviennent à enregistrer en masse des SIM en utilisant les informations personnelles d’autrui. Une fois la ligne activée, elle devient un outil jetable, dissocié de la vraie identité du fraudeur, mais redoutablement efficace pour appeler, piéger, extorquer ou détourner des comptes.

Le programme s’appuie sur PASS, une application utilisée par les trois principaux opérateurs du pays, SK Telecom, LG Uplus et Korea Telecom. PASS centralise des données numériques des utilisateurs. Dans la nouvelle procédure, l’activation d’un numéro sera liée à ce canal : le visage de l’acheteur, capturé lors de la souscription, sera comparé aux données biométriques stockées dans PASS. L’objectif est clair : réduire l’écart entre l’identité affichée sur un contrat et la personne réelle qui repart avec une ligne active.

Pour le cyber et le renseignement, l’intérêt n’est pas seulement la biométrie. C’est l’idée d’un verrou ajouté au point le plus banal, l’achat d’une SIM, parce que ce geste alimente ensuite une chaîne entière d’abus. Les autorités parient qu’en liant l’activation à une vérification faciale, les fraudeurs auront plus de mal à « consommer » des identités volées, même s’ils disposent de documents ou de données complètes. C’est une réponse de type contrôle d’accès, appliquée non pas à un réseau, mais à l’attribution d’un numéro, c’est-à-dire à la capacité d’entrer en contact avec une victime.

Deux fuites en 2025, une pression politique immédiate

Ce durcissement se comprend à la lumière d’un contexte que le gouvernement décrit comme devenu explosif. En 2025, deux fuites majeures auraient touché plus de la moitié de la population, environ 52 millions de personnes. L’ampleur, citée par les autorités, joue ici le rôle de déclencheur : quand les bases d’identité se diffusent, la fraude à la SIM devient mécaniquement plus simple, parce qu’elle repose sur des pièces « valables » en apparence.

Un premier épisode concerne Coupang. Selon les éléments rapportés, l’enseigne de commerce en ligne aurait exposé plus de 30 millions d’enregistrements. Environ un mois après, le directeur général a perdu son poste. Le message implicite est brutal : l’incident n’est pas traité comme une simple panne de sécurité, mais comme un événement de gouvernance.

L’autre cas touche SK Telecom, déjà cité comme un pilier de l’écosystème PASS. Plus tôt dans l’année, l’opérateur a subi une attaque et des acteurs ont volé des informations concernant 23 millions d’abonnés. La réaction réglementaire a été lourde : une amende de 100 million $ (92,0 millions d’euros) et l’obligation de compenser les victimes. Les autorités justifient cette sanction par des manquements graves en sécurité, dont la divulgation d’identifiants d’infrastructure “en clair” et l’existence d’un serveur accessible depuis Internet.

SK Telecom a aussi été contraint d’indemniser l’ensemble des personnes affectées : 100 000 wons, annoncés comme environ 67 $ (61,6 €), par utilisateur, dont la moitié en crédits sur le compte et l’autre en points utilisables en magasin. Un dernier chiffre nuance la cible réelle de la réforme : près de 92 % des numéros frauduleux détectés en 2024 auraient été enregistrés via des opérateurs virtuels. Dit autrement, le front n’est pas uniquement chez les trois géants, mais dans les circuits de vente et d’activation où l’identité est la plus difficile à verrouiller.

Dans une approche de cyber-renseignement, la reconnaissance faciale n’est qu’un outil : la vraie bataille vise la chaîne d’enrôlement des identités, là où la fraude transforme une fuite de données en capacité d’action.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Banque, Cybersécurité, Justice

Fuite de données chez un géant de la CB : 192 000 commerçants touchés

Shinhan Card confirme une fuite visant environ 192 000 commerçants affiliés. Pas de cyberattaque, mais un soupçon de faute interne. Les autorités sud-coréennes sont saisies, sur fond de risque accru de phishing.

Shinhan Card, groupe sud-coréen de services financiers, a confirmé une fuite de données concernant environ 192 000 commerçants franchisés, majoritairement des indépendants. Les informations exposées portent surtout sur des numéros de téléphone, avec, dans une partie des cas, des éléments limités d’identité. L’entreprise indique qu’aucun numéro de carte, détail bancaire, numéro d’identification national ou donnée de crédit n’a, à ce stade, été identifié comme compromis.

Fuite interne, pas de piratage

Le scénario tranche avec l’imaginaire d’un assaut venu d’Internet. Shinhan Card affirme que l’incident n’est pas lié à une intrusion externe, mais à un comportement interne jugé déviant. Selon son explication, un employé d’une agence commerciale aurait transmis des données de commerçants à un recruteur de cartes, dans une logique de prospection. La formule choisie par la société est sans ambiguïté : « This was not due to external hacking but an employee’s misconduct » [Ce n’est pas un piratage], a déclaré un responsable de Shinhan Card, en précisant que la chaîne opérationnelle concernée a été bloquée.

Derrière ce vocabulaire, l’enjeu est concret : des indépendants, exploitant des points de vente affiliés, avaient fourni des informations personnelles dans le cadre des contrats standards liant commerçant et émetteur. Shinhan Card resserre le périmètre temporel : les contrats concernés s’échelonnent de mars 2022 à mai 2025. Autrement dit, l’exposition ne viserait pas l’ensemble des partenaires historiques, mais un segment récent, suffisamment vaste pour toucher près de deux cent mille entités.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

La nature des données divulguées est décrite comme « limitée« , mais elle suffit à alimenter des campagnes de manipulation. L’entreprise indique que la majorité des enregistrements concernent des numéros de téléphone mobile, environ 180 000 cas. Dans près de 8 000 situations, le numéro aurait fuité avec un nom. Un sous-ensemble plus restreint inclurait aussi des informations comme la date de naissance et le genre. Pour clarifier ce que recouvrent ces ordres de grandeur, on peut faire un calcul simple à partir des chiffres fournis : 192 000 au total moins 180 000 numéros seuls, moins 8 000 numéros accompagnés d’un nom, cela laisse environ 4 000 dossiers. Ce reliquat correspond plausiblement aux enregistrements où figurent des détails additionnels, sans que Shinhan Card ne donne de ventilation plus fine.

Sur le point le plus sensible, Shinhan Card martèle l’absence d’indice d’atteinte aux données financières critiques. L’enquête interne n’aurait détecté ni numéro d’enregistrement citoyen, ni numéro de carte, ni données de compte, ni information de crédit exposés. À ce stade, la société ajoute n’avoir reçu aucun signalement confirmé d’usage frauduleux lié à ces fuites.

L’affaire a émergé en fin d’année 2025, après un signalement adressé à la Personal Information Protection Commission (PIPC), autorité sud-coréenne de protection des données. Une fois alertée, la PIPC a demandé des pièces à Shinhan Card pour mesurer l’étendue de la fuite et en établir la cause. Après sa propre revue, l’entreprise indique avoir formellement notifié l’incident à la PIPC le 23 décembre, au titre des obligations de déclaration, et dit coopérer pendant l’examen.

En parallèle, Shinhan Card tente de reprendre la main sur la relation de confiance. Elle a publié des excuses et des consignes sur son site et son application, et mis en ligne une page dédiée permettant aux commerçants de vérifier s’ils figurent dans le périmètre. « We will make every effort to protect our customers and prevent similar incidents from recurring« , a assuré un porte-parole, en insistant sur un renforcement des contrôles internes et une révision des droits d’accès aux données marchands.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Argent, BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Paiement en ligne, Particuliers, RFID, Securite informatique

Des gants, des autocollants et des Pin’s NFC pour les Jeux Olympiques d’hiver

La société Visa a créé des gants, des autocollants et des pin’s NFC sur le thème des Jeux Olympiques. L’idée, effectuer des paiements rapides sur n’importe quel terminal de paiement équipé en sans contact.

Le sans contact dit NFC gagne du terrain. Visa, le fabriquant de cartes bancaires, vient de lancer trois produits NFC, paiement sans contact, pour les Jeux Olympiques d’Hiver. Des JO qui se dérouleront en Corée du Sud. L’entreprise s’est associée à Lotte Card, le pôle financier du géant de la grande distribution Lotte Department Store. Mission, créer de nouveaux accessoires de paiement. Ils sont disponibles depuis le 9 novembre partout en Corée. Parmi les produits, quatre pin’s au prix unitaire de 5 000 KRW (4€). Il faut ajouter un montant prépayé intégré d’une valeur de 30 000 (23€) ou 50 000 (38€) Won coréen (KRW).

Qui dit hiver, dit gant. Visa propose des gants… de paiement. Ils sont équipés d’une puce à double interface munie d’une antenne sans contact permettant d’effectuer des achats sur les sites officiels des Jeux Olympiques et sur les terminaux compatibles partout dans le monde. Les gants seront pré-chargés avec un montant prépayé d’une valeur de 30 000 ou 50 000 Won coréen (KRW).

Pour finir, des autocollants. Ici aussi, une puce et une antenne NFC à double interface. Ces micro-étiquettes peuvent être collées sur n’importe quel support, afin d’effectuer facilement et rapidement des paiements à tout moment. Les autocollants de paiement seront pré-chargés avec des montants prépayés s’élevant à 30 000, 50 000, 100 000 ou 200 000 Won coréen (KRW).

Pour rappel, la société LotteCard avait été victime d’un piratage massif de ses données en décembre 2013. Les données personnelles d’environ 20 millions de clients de Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card avaient été touchées par cette fuite massive.

Protection des moyens de paiement sans contact

Pour la première fois, un moyen de protection active proposé sous forme de carte plastique empêche toute utilisation frauduleuse d’une carte de paiement sans contact ou d’un moyen de paiement utilisant le NFC sur un smartphone. C’est la promesse du laboratoire de design dirigé par Tomasz Pomorski, Omnichip et ISRA Cards, un fabricant français de cartes plastiques avec ou sans puce et avec ou sans contact. Les deux entreprises ont réfléchi à la création de cartes intégrant la technologie Active Blocker.

Alors que les systèmes de protection actuels se contentent de proposer un « bouclier » physique censé arrêter les ondes de façon aussi passive qu’imparfaite, Active Blocker va plus loin que la simple perturbation de la communication : il l’empêche en la brouillant. En effet, si un fraudeur tente de se connecter à une carte NFC via un lecteur pirate, ActiveBlocker empêchera toute communication en émettant des signaux qui « couvriront » ceux de la carte NFC. Le procédé de brouillage est vieux comme les ondes mais s’avère compliqué à mettre en œuvre dans une communication en champ proche car son effet perturbateur doit rester circonscrit à des distancent à la fois relativement courtes et suffisamment longues pour être parfaitement efficace.

C’est pourquoi ISRA a réfléchi à la création d’une carte dédiée à la protection des moyens de paiements, mais aussi des documents d’identités utilisant la technologie sans contact tels que les e-passeports. Cette carte se glisse simplement dans le portefeuille ou le porte-carte avec les cartes de paiement et agit immédiatement, sans batterie. Dès que l’utilisateur sort sa carte de sans contact pour effectuer un paiement chez un commerçant, elle quitte le champ d’action d’ActiveBlocker, son signal n’est donc plus brouillé et le paiement peut s’effectuer tout à fait normalement.

ISRA Cards et Omnichip proposeront leur produit commun à tous les acteurs susceptibles d’être confrontés à des problématiques de sécurité liés au NFC tels que banques, sociétés d’assurance ou d’assistance, distributeurs, fabricants ; dans des formes adaptées aux besoins des utilisateurs finaux : carte de protection, carte de fidélité, carte d’authentification, etc.

La rédaction a demandé une version pour test, nous n’avons pas encore reçu de réponse.

Android, ios, Sécurité, Smartphone

Blocage de smartphone contre les fuites de données

2 commentaires

Le ministère de la Défense de la Corée du Sud vient d’annoncer qu’il avait neutralisé les smartphones de ses fonctionnaires afin d’empêcher toutes fuites de données, volontaires ou non. Le blocage s’effectue en installant une application, baptisée « Mobile Management Device« , qui empêcherait les fuites d’informations sensibles ainsi que le piratage des téléphones. L’application empêche de surfer et de prendre des photos. Si les propriétaire de Samsung (Android) peuvent téléphoner et recevoir des appels. Les propriétaire d’iPhone ne peuvent recevoir que des appels.

Avant d’intégrer le bureau, obligation de l’installation de l’application. Selon l’agence de presse Coréenne Yonhap, des employés ont refusé d’installer le « cerbère » indiquant craindre pour la protection de leurs données privées. Il faut dire aussi que si l’application protége le Ministère, qui protège l’application ?

L’histoire ne dit pas si, une fois hors du travail, les appareils reprennent vie. Heureusement pour les 007 en herbe, il reste encore la fonction « enregistrement » sonore !