Le MSIT Conclut : La Brèche de Sécurité chez KT Attribuée à une Gestion Insuffisante des Femtocellules

Le Ministère des Sciences et des TIC (MSIT) a officiellement rendu publiques, le lundi 29 décembre 2025, les conclusions définitives de son enquête concernant l'incident de sécurité survenu chez KT Corp. Cette investigation approfondie a établi que la vulnérabilité fondamentale résidait dans la surveillance et les protocoles de gestion insuffisants du transporteur mobile concernant son infrastructure de femtocellules. Ces petites stations de base, déployées pour optimiser la couverture locale, constituaient un point de faiblesse systémique. Cette négligence structurelle a permis l'introduction de femtocellules illicites qui ont ensuite pénétré sans autorisation l'architecture du réseau interne propriétaire de KT.

Cette faille de sécurité a engendré deux conséquences majeures : la facilitation de transactions de paiement mobile frauduleuses et l'exposition massive de données clients sensibles. Le préjudice financier s'est matérialisé par des micro-paiements non autorisés s'élevant à 243 millions de wons, soit environ 167 000 dollars américains, affectant 368 utilisateurs identifiés. Cependant, l'étendue de la compromission des données fut bien plus vaste, touchant 22 227 abonnés. Leurs identifiants personnels, incluant numéros de mobile, identifiants d'abonné mobile international (IMSI) et identifiants d'équipement mobile international (IMEI), ont été exfiltrés.

L'analyse médico-légale, menée par l'équipe d'enquête conjointe gouvernementale et privée, a mis en lumière une lacune critique dans le mécanisme d'authentification des dispositifs. Il s'avère que toutes les femtocellules émises par KT partageaient un certificat numérique unique, délivré par le fabricant, et doté d'une période d'expiration étendue pouvant atteindre dix ans. Cette configuration impliquait qu'une fois qu'un acteur malveillant parvenait à cloner ce seul certificat, l'accès non autorisé au réseau pouvait être maintenu pendant près d'une décennie. De surcroît, l'enquête a révélé une présence significative de logiciels malveillants internes, identifiant 94 serveurs KT infectés par 103 types distincts de codes malveillants, dont BPFDoor et Rootkit, certaines infections remontant jusqu'en avril 2022.

Le MSIT a finalement conclu que KT avait manifestement failli à honorer son engagement contractuel de fournir des services sécurisés, plaçant ainsi l'ensemble de ses abonnés sous une menace potentielle. Cet incident s'inscrit dans une série de scrutins sectoriels, rappelons que le concurrent de KT, SK Telecom, avait déjà été sanctionné par une amende de 134,8 milliards de wons pour sa propre brèche de données. Le Ministère a ordonné à KT d'instaurer immédiatement des améliorations de sécurité draconiennes, notamment la rotation régulière de l'adresse IP du serveur d'authentification et la mise en place de systèmes de détection robustes pour les connexions de femtocellules non autorisées. KT doit soumettre un plan de remédiation exhaustif dans un délai d'un mois, avec une inspection gouvernementale de suivi prévue en juin 2026 pour valider la conformité.

Compte tenu de la gravité des défaillances de sécurité observées, le MSIT a laissé entendre que les opérateurs mobiles pourraient bientôt être contraints de renoncer aux frais de résiliation pour les utilisateurs souhaitant migrer vers des concurrents. Parallèlement, les autorités chargées de l'application de la loi auraient procédé à l'arrestation de deux ressortissants chinois en lien avec la fraude financière associée à cette affaire. Dans un développement connexe, le MSIT a rapporté un résultat obstructif dans son enquête distincte concernant une fuite de données chez LG Uplus Corp., initialement signalée en juillet 2025. Le ministère a affirmé que LG Uplus avait fait preuve d'une conduite inappropriée en soumettant des documents falsifiés et en réinstallant les systèmes d'exploitation sur les serveurs concernés après avoir reçu des directives de la Korea Internet & Security Agency (KISA), des actions qui ont gravement entravé une investigation médico-légale approfondie.

Bien que la fuite d'informations provenant de la solution de gestion des mots de passe intégrée de LG Uplus, APPM, ait été confirmée, cette obstruction a conduit le MSIT à demander formellement l'ouverture d'une enquête policière contre LG Uplus pour suspicion d'entrave au devoir officiel. Les serveurs clés le long du chemin du réseau ont été réinstallés ou mis au rebut entre le 12 août et le 15 septembre, suite aux conseils d'intrusion fournis par KISA le 19 juillet. Le Ministre des Sciences, Bae Kyung-hoon, a souligné la gravité de la situation, insistant sur le fait que la sécurité de l'information est une condition préalable fondamentale à la viabilité des entreprises et au maintien d'un écosystème de services digne de confiance pour la nation. Les actions réglementaires en cours signalent un engagement accru du gouvernement sud-coréen à imposer la responsabilité en matière de sécurité des infrastructures critiques.