2020-09-23 – Faille de sécurité – Carte mijica

IMG - Faille de securite

En plus de la faille de sécurité du ドコモ口座 Docomo Kôza, la JP Bank a identifié plusieurs types d’accès illégaux à leurs comptes en banque via 7 systèmes de facturation en ligne. Infos Locales au Japon n’a malheureusement pas assez de temps pour résumer la conférence de presse du 18 septembre. Nous reprenons plusieurs articles publiés dans la presse pour faire le point. Une partie des informations est disponible depuis le 23 septembre 2020.

Services touchés par des opérations illégales

La JP Bank enregistre des retraits illégaux pour un montant de 22,05 millions de yens en date du 18 septembre. Ces virements ont touché 137 comptes d’utilisateurs.

mPay (MerPay メルペイ)

Ce service permet de payer par le biais d’une application sur un smartphone. L’application permet d’enregistrer un compte en banque pour permettre de charger des montants prépayés. Les magasins l’utilisent également avec Mercari pour la gestion de points de fidélité pour leurs clients.

Montant des dégâts : 1,05 millions de yens pour 4 comptes *en date du 18 septembre 2020.

Docomo Kôza

Montant des dégâts : 15,46 millions de yens pour 82 comptes *en date du 18 septembre 2020.

Pour en savoir plus sur ce sujet, vérifier les informations qui se trouvent dans cet article.

Carte mijica

Carte “mijica”. Il s’agit des cartes pré-payées qui permettent de faire des achats comme avec une carte visa, ou de retirer de l’argent à ses guichets.

La JP Bank a déjà pu vérifier que 3,32 millions de yens ont été transférés frauduleusement depuis ces cartes. Certains débits ont atteint des montants de 500 000 yens. Les débits illégaux ont eu lieu principalement les 8 août, 6 et 15 septembre. Pour le moment JP Bank a identifié 54 personnes victimes de ces vols.

Les comptes des utilisateurs avaient été accédé frauduleusement, et leurs adresses de mails pour l’envoi d’alerte changé. Les utilisateurs n’avaient donc pas pu savoir que leur compte était piraté. Selon la JP Bank, pour envoyer de l’argent depuis ces cartes, il faut connaître non seulement le login et le mot de passe, mais aussi le numéro au dos de la carte mijica.

La JP Bank a annoncé que les victimes seront remboursées dans la totalité des montants.

Il y a actuellement 200 000 utilisateurs pour cette carte. Pour le moment, tous les transferts d’argent sont bloqués.

Comme toujours, les personnes qui reçoivent un mail concernant des démarches qu’elles n’ont pas faites doivent contacter la JP Bank au plus tôt.

La JP Bank avait mis du temps à réagir sur ce sujet, et a présenté ses excuses.

Wellnet – Shiharai hissho 支払秘書

Cette application sert à payer dans les convenience stores etc., et permet également le paiement par smartphone. Il est possible d’utiliser un smartphone pour charger des montants et payer sans contact aux caisses. Elle sert également à régler des services tels que les factures d’électricité etc.

Montant des dégâts : 3,45 millions de yens pour 31 comptes *en date du 18 septembre 2020.

PayPay

Ce service permet de payer sans contact en lisant un code QR aux caisses des magasins.

Montant des dégâts : 1,35 millions de yens pour 13 comptes *en date du 18 septembre 2020.

Kyash

Ce service donne accès à des cartes visa prépayées. Elles peuvent être alimentées par des cartes de crédit ou son compte en banque, et peuvent servir de paiement sans contact lorsqu’on les enregistre sur une application du smartphone (ID, QuicPay, etc.). Elles sont aussi utiles pour le paiement en ligne.

Montant des dégâts : 230 000 yens pour 3 comptes *en date du 18 septembre 2020.

LINE Pay

LINE Pay est un service de LINE, qui permet de payer sans contact. On peut aussi configurer son compte pour l’alimenter directement depuis une carte de crédit ou un compte en banque.

Montant des dégâts : 490 000 yens pour 2 comptes *en date du 18 septembre 2020.

PayPal

Malgré toutes les précautions, le plus ancien service de paiement en ligne PayPal enregistre aussi une faille pour 2 comptes, soit 10 000 yens *en date du 18 septembre 2020.

Que faire pour se protéger ?

Normalement, les services mentionnés ci-dessus ont déjà envoyé des messages à leurs adhérents.

Actions immédiates

  • Vérifier les débits et crédits sur tous les comptes qui gèrent de l’argent.
  • En cas d’opération douteuse, contacter sa banque, sa carte visa, et/ou la police pour savoir comment faire.

Actions nécessaires le plus tôt possible.

  • Vider le cache de son navigateur et le mettre à jour, même si les applications des smartphones ne passent pas par un navigateur (effacer les cookies, désinstaller les extensions dont on ne se sert pas).
  • Mettre à jour son système d’exploitation (iOS, Android, Windows, Mac, Linux etc.) à la dernière version pour augmenter le niveau de sécurité des transactions.
  • Mettre à jour les applications qui gèrent des informations personnelles et l’argent. Les applications sont mises à jour pour corriger les failles de sécurité. Lorsque ces mises à jour ont lieu, les constructeurs et programmeurs publient en général la raison de la faille. Certaines failles risquent d’être exploitées tant qu’on n’a pas mis à jour son application.
  • Changer les mots de passe et PINs des différents accès à des comptes en ligne. Le service public français explique ce qu’est un bon mot de passe.
  • Changer les mots de passe de sa messagerie en ligne.
  • Utiliser un gestionnaire de mots de passe sécurisé. Certains offrent un système de zero-knowledge, qui empêchent les fabricants de les décoder, même en ayant l’algorithme pour.

D’autres services, dont la JAL point card, JMB etc. ont également envoyé des messages demandant à chacun de changer leur mot de passe et PIN.