Fuite de données de TVING : 19,53 millions de personnes touchées… comptes et mots de passe compromis, soit 6,5 millions de plus que les premières estimations

Catastrophe de sécurité sans précédent : la vie de 19,53 millions de personnes a été exposée

« TVING », jadis présenté comme la fierté de l’OTT coréen « made in here », s’est retrouvé pris dans le pire scandale de sécurité jamais vu. Il est désormais établi que « 19,53 millions de personnes » ont vu leurs données personnelles fuir purement et simplement, bien au-delà des 13 millions de personnes que le gouvernement avait évaluées provisoirement. Ce n’est plus un simple dysfonctionnement informatique : l’affaire met à nu, de façon brutale, la vulnérabilité de l’écosystème de sécurité des plateformes numériques en Corée du Sud.

Le 22, selon les documents obtenus auprès de la Commission pour la protection des données personnelles et du ministère des Sciences et des Technologies de l’information et de la Communication par le député « Lee Jeong-heon » (Parti démocrate de Corée), membre de la commission parlementaire des sciences, des technologies de l’information et de la diffusion, la présente affaire constitue, dans l’histoire des technologies de l’information en République de Corée, une fuite d’informations d’une ampleur exceptionnelle, « la quatrième plus grave de tous les temps ». Un précédent qui devrait s’inscrire comme une tache douloureuse, qui s’enchaîne au cauchemar de Coupang (environ 37,56 millions de personnes), de Cyworld et Nate (environ 35 millions de personnes) et de SK Telecom (environ 32,24 millions de personnes).

Disparition des clés d’identification, jamais modifiables… une bombe à retardement pour les dommages « en second temps »

La gravité intrinsèque de l’affaire tient à la « sensibilité » des données sorties. Au-delà des simples identifiants et noms, la date de naissance, le mot de passe et même le « numéro de compte de remboursement » ont figuré sur la liste des données divulguées. Le point le plus inquiétant concerne surtout le vol de « informations d’association (CI) » et de « informations de confirmation des inscriptions en double (DI) », dont la modification est, en pratique, impossible. Autrement dit, l’« ADN numérique » d’une personne a été copié en bloc, avec la force explosive potentielle de déclencher des « dommages en second temps », comme l’usurpation d’identité ou des crimes financiers.

L’élément encore plus aberrant, c’est que l’ampleur des victimes dépasse déjà largement la taille réelle de « TVING ». À l’heure actuelle, le nombre de « abonnés payants » s’élève à environ 5 millions, tandis que le « nombre d’utilisateurs actifs mensuels (MAU) » tourne autour de 8,82 millions. Les autorités estiment que des membres partis après la suppression de leur compte, des comptes de longue veille oubliés et même des informations dérivées qui seraient entrées via d’autres services partenaires ont pu être dérobés sans discernement, et mènent donc une « enquête concentrée et intensifiée ».

Réponse tardive après avoir manqué le « golden time » : une prévention attendue, un sinistre humain (人災) ?

Le « retard de réaction » révélé juste après l’incident continue d’exacerber l’indignation. L’analyse des documents du cabinet du « Lee Jeong-heon » montre que la société, bien qu’elle ait détecté les premiers signes d’anomalie le 30 mai, n’a pris conscience de la fuite de données à grande échelle que trois jours plus tard, le 2 juin. Ce délai, qui a laissé filer stupidement le « golden time », c’est-à-dire le temps vital de la sécurité, fait l’objet d’une enquête dont le gouvernement semble pointer désormais directement le manuel de réponse de la société.

Acculé, le camp de « TVING » a reconnu sa faute : « Nous présentons nos excuses les plus sincères pour avoir causé de grandes inquiétudes à nos clients », a-t-il déclaré en s’inclinant. La société indique qu’elle cherche actuellement, en « coopération avec une équipe d’enquête conjointe public-privé », à établir avec précision les circonstances exactes de la fuite, et promet de remplir ses obligations, notamment par des mesures rapides de protection des clients et des indemnisations. Toutefois, pour regagner la « confiance » perdue du marché, il ne suffira vraisemblablement pas de s’excuser : une refonte totale et douloureuse des systèmes de sécurité s’impose.