BFM Business

Des hackers dérobent 450.000 euros aux clients d'une chaîne de supermarchés

L'application de paiement était censée faciliter le passage en caisse.

L'application de paiement était censée faciliter le passage en caisse. - CHARLY TRIBALLEAU / AFP

L'application de paiement était censée faciliter le passage en caisse. Après le dévoilement de ce piratage d'ampleur, elle a été suspendue au Japon.

Il aura fallu quelques jours seulement aux pirates pour flairer l'aubaine. Lancée le 1er juillet au Japon, une application de paiement associée à l'enseigne de commerces de proximité 7-Eleven a été victime d'un piratage. A la clé pour les hackers: 55 millions de yens, soit l'équivalent de 450.000 euros, extorqués à près de 900 clients japonais des magasins, relève Yahoo Japan

L'application en question, 7Pay, était censée constituer un portefeuille numérique, sur lequel placer un peu d'argent pour faciliter le passage en caisse et éviter les files d'attente. Ses utilisateurs devaient pour cela simplement renseigner leurs coordonnées bancaires dans l'application. Une fois en caisse, 7Pay affichait un code barre à scanner pour valider la transaction.

Les hackers ont néanmoins misé sur une faille béante de l'application: sa fonction de réinitialisation des mots de passe. Tout un chacun pouvait modifier un mot de passe, dès lors qu'il connaissait l'adresse mail, la date de naissance et le numéro de téléphone d'un utilisateur. Autant d'informations faciles à glaner en ligne. En fin de compte, le hacker pouvait recevoir un nouveau mot de passe sur sa propre adresse mail. Les utilisateurs n'ayant pas renseigné leur date de naissance en avaient une attribuée automatiquement: le 1er janvier 2019.

Sur Twitter, les premiers signalements de comptes bloqués sont apparus dès le lendemain de la sortie de l'application. Après avoir constaté l'ampleur du piratage, 7-Eleven a bloqué l'application et promis de rembourser tous les clients ayant vu leurs fonds se volatiliser.

Pour être à nouveau disponible, l'application devra renforcer ses dispositifs de sécurité. Il s'agit-là d'une requête du ministère de l’Économie, du Commerce et de l’Industrie japonais, qui estime que 7-Eleven n’a pas fait le nécessaire pour empêcher tout accès non autorisé aux profils des utilisateurs. 

https://twitter.com/Elsa_Trujillo Elsa Trujillo Journaliste BFM Tech