900 utilisateurs de l’application 7Pay ont été victimes d’un piratage de leurs données bancaires une journée après son lancement. Près de 55 millions de yens ont été dérobés.
Surprise générale pour les utilisateurs de l’application de paiement cashless 7pay, au lendemain de son lancement. Comptes bloqués et données bancaires piratées, des hackers ont volé pour 55 millions de yens, soit plus de 500 000 dollars.
Lancée le 1er juillet dernier, l’application développée par un des géants japonais des konbini store 7-Eleven devait permettre à ses clients de payer rapidement et, ainsi, d’éviter les files d’attente.
Dès que la personne finissait ses achats, lorsqu’elle s’approchait des caisses, un code barre s’affichait sur son téléphone. Ce dernier était ensuite scanné, puis la somme était débitée immédiatement du compte 7pay.
Il fallait préalablement que l’utilisateur renseigne dans l’application quelques informations personnelles et ses données bancaires à l’image de nombreuses plateformes de paiement comme Apple Pay ou Paypal.
Une idée pratique sur le papier mais problème : ce portefeuille virtuel contenait une faille de sécurité notamment dans sa fonction « réinitialiser son mot de passe ».
Les hackers pouvaient facilement y accéder, puisqu’il leur suffisait de renseigner l’adresse mail du client, sa date de naissance et son numéro de téléphone. Ces données sont aujourd’hui facilement trouvables sur le net grâce aux réseaux sociaux. Cela fait, ils n’avaient plus qu’à entrer leur propre adresse mail et, ainsi, avoir accès à un nouveau mot de passe.
Certains titulaires de comptes n’avaient pas renseigné leur date de naissance ; une date par défaut était alors pré-enregistrée. Cette dernière n’était pas choisie aléatoirement, mais était la même pour tous les clients : 1er janvier 2019.
De nombreux clients ont témoigné leur rage sur les réseaux sociaux suite à l’annonce du piratage. 7-Eleven a promis de rembourser toutes les victimes.
Une conférence de presse a même récemment été donnée par le Ministère de l’économie, du commerce et de l’industrie japonais, où cette affaire a été promptement abordée : « 7-Eleven n’a pas fait le nécessaire pour empêcher tout accès non autorisé aux profils des utilisateurs ».
Mais, au cours d’une autre conférence donnée par la chaîne, le président Toshifumi Suzuk a affirmé ne pas connaître la fonction de double authentification permettant à ce type d’application de garantir une vraie sécurité à ses utilisateurs ( 二段階認証 soit nidankai ninsho - « two factor authentication »).
This reaction by 7Pay boss Tsuyoshi Kobayashi has been widely noted as a sign of how inadequate management oversight must have been. He's asked about 二段階認証 (nidankai ninsho - two factor authentication) and repeats the term as if it's the first time he's ever heard it. pic.twitter.com/EXqKRFoIco
— Mulboyne (@Mulboyne) 5 juillet 2019
Cependant, ce défaut va donc être préjudiciable pour d’autres chaînes de konbini qui avaient décidé de lancer leur propre application de paiement cashless comme Family Mart. Reste à voir si les utilisateurs seront toujours au rendez-vous après le remaniement de l’application.
En attendant, deux suspects d’origine chinoise ont été arrêtés, ces derniers ayant tenté d’acheter des produits avec un compte 7pay qui ne leur appartenait pas. L’enquête est toujours en cours.