Le géant sud-coréen du commerce électronique Coupang a vu ses actions plonger de plus de 16 % le 6 mai 2026, après avoir annoncé une perte nette de 266 millions de dollars au premier trimestre. C'est la conséquence directe de la cyberattaque massive de 2025 qui a exposé les données de 33,7 millions de clients. Cet effondrement boursier survient alors que Coupang commence à distribuer son plan d'indemnisation de 1,17 milliard de dollars.
Comment la fuite a-t-elle eu lieu ?
L'incident remonte au 24 juin 2025, lorsqu'un ancien employé du service informatique de Coupang a conservé un accès non autorisé aux systèmes après son licenciement. En utilisant des serveurs basés à l'étranger, l'ex-employé a accédé aux dossiers personnels d'environ 33,7 millions de clients à travers la Corée du Sud.
Les données volées comprenaient les noms, numéros de téléphone, adresses de livraison, emails et historiques de commandes. Coupang a confirmé plus tard que toutes les données avaient été récupérées et que les supports de stockage du coupable avaient été saisis. Seuls 3 000 dossiers ont été trouvés sur l'ordinateur de l'attaquant, sans preuve de revente externe.
Mais c'est le délai de réaction qui a aggravé la situation. Coupang n'a averti les clients concernés qu'en novembre 2025, soit cinq mois après les faits. Ce retard a déclenché l'indignation publique et entraîné la démission de Park Dae-jun, responsable des opérations e-commerce en Corée.
Un plan d'indemnisation de 1,17 milliard de dollars controversé
En décembre 2025, Coupang a annoncé l'émission de bons d'achat de 50 000 won (environ 34,84 $) pour chacun des 33,7 millions de clients touchés. La distribution a commencé le 15 janvier 2026.
Les associations de consommateurs ont vivement critiqué cette mesure, la qualifiant d'« outil marketing » visant à générer plus de ventes plutôt qu'à compenser réellement les victimes. Utiliser un bon d'achat uniquement valable sur Coupang oblige les victimes à faire à nouveau confiance à la plateforme qui les a trahis.
Résultats du T1 2026 : L'heure des comptes
Le crash boursier du 6 mai fait suite à la publication des résultats financiers. Malgré une croissance des revenus de 8 %, le résultat net affiche une perte de 266 millions de dollars. Les analystes, qui prévoyaient des bénéfices, ont été douchés par la facture colossale de la plus grande fuite de données de l'histoire du pays.
L'action a chuté de 16,6 % en une seule séance. Au-delà des pertes immédiates, les investisseurs s'inquiètent des sanctions réglementaires et de l'impact durable sur la confiance des clients.
Note d'optimisme : la direction a rapporté que 80 % des abonnements WOW membership perdus après le scandale ont été réactivés en avril 2026. Cependant, les suites judiciaires prendront beaucoup plus de temps à se régler.
Menaces internes : Le risque sous-estimé
Le cas Coupang est un exemple type de menace interne (« insider threat »). Il ne s'agit pas d'une attaque d'État sophistiquée, mais d'un accès non révoqué. C'est l'une des failles les plus faciles à prévenir, et pourtant l'une des plus courantes.
- Révocation immédiate des accès : Identifiants, tokens et VPN doivent être coupés dès le départ de l'employé.
- Surveillance des accès privilégiés : Les logs doivent signaler toute activité anormale.
- Audit régulier : Vérifier les comptes orphelins avant qu'ils ne deviennent des vecteurs d'attaque.
- Principes Zero-Trust : Traiter chaque utilisateur comme un risque potentiel.
Conseils pour les utilisateurs
- Surveillez vos comptes bancaires.
- Méfiez-vous du phishing par email ou SMS au nom de Coupang.
- Changez votre mot de passe et activez l'authentification à deux facteurs.
L'utilisation d'un VPN pour votre navigation quotidienne empêche la surveillance au niveau du réseau, garantissant que vos sessions restent chiffrées même si une plateforme est compromise.
