Accueil / Le Long Format / Research
Long Format

Fuite e-mail KDDI : comment une plateforme de messagerie partagée a exposé jusqu'à 14,2 millions d'identifiants chez six FAI

Une seule plateforme de messagerie exploitée par KDDI a exposé les identifiants de jusqu'à 14,2 millions de clients chez six fournisseurs d'accès japonais. La leçon pour les équipes de risque tiers : risque de concentration et de quatrième partie, de nombreuses marques sur un même système partagé, compromis par une faille logicielle tierce.

Fuite e-mail KDDI : comment une plateforme de messagerie partagée a exposé jusqu'à 14,2 millions d'identifiants chez six FAI
TL;DR

Une seule plateforme de messagerie exploitée par KDDI a exposé les identifiants de jusqu'à 14,2 millions de clients chez six fournisseurs d'accès japonais. La leçon pour les équipes de risque tiers : risque de concentration et de quatrième partie, de nombreuses marques sur un même système partagé, compromis par une faille logicielle tierce.

Une seule plateforme de messagerie exploitée par une entreprise a exposé les identifiants de connexion des clients de six fournisseurs d'accès à internet en même temps. KDDI, l'un des plus grands opérateurs télécoms du Japon, indique qu'un attaquant a exploité une faille dans un logiciel tiers au sein de son système de messagerie partagé. Jusqu'à 14,2 millions d'adresses e-mail et de mots de passe pourraient avoir été dérobés, couvrant KDDI et cinq fournisseurs partenaires qui utilisent la même plateforme : STNet, J:COM, Chubu Telecommunications, NIFTY et BIGLOBE. La leçon, c'est le risque de concentration. Quand de nombreux fournisseurs reposent sur le système d'un même prestataire, une seule violation devient l'incident de tous.

Fuite de la plateforme e-mail partagee de KDDI : le chemin d'exposition Une faille dans un logiciel tiers au sein d'un systeme de messagerie partage s'est propagee a six FAI. Detectee le 17 juin 2026. Attaquant externe exploite la faille Plateforme e-mail partagee KDDI service TIC partage faille dans un logiciel tiers se propage a Six fournisseurs partagent cette plateforme au / KDDI STNet J:COM Chubu Telecommunications NIFTY BIGLOBE Jusqu'a 14,2 millions de comptes e-mail exposes adresses e-mail et mots de passe ; certains haches ou chiffres, nombre inconnu stocke en clair Risque de concentration + de quatrieme partie Les clients ont ete exposes via un systeme fournisseur partage qu'ils n'ont jamais choisi. Sources : KDDI, BleepingComputer, Japan Times. Schema provisoire pour Breach Wire, Supplier Shield.

Ce qui s'est passé

KDDI a détecté un accès non autorisé à son système de messagerie le 17 juin 2026, selon l'entreprise et un article de BleepingComputer. Elle estime que l'attaquant a exploité une vulnérabilité dans un logiciel tiers intégré à l'infrastructure de messagerie partagée, et non une voie de phishing ou d'ingénierie sociale. La plateforme ne sert pas uniquement KDDI. Cinq autres fournisseurs d'accès japonais l'utilisent : STNet, J:COM, Chubu Telecommunications, NIFTY et BIGLOBE. KDDI indique que jusqu'à 14,2 millions d'adresses e-mail et de mots de passe pourraient avoir été exposés, un chiffre qui inclut des clients actuels, d'anciens clients et des boîtes inactives. Certains mots de passe étaient stockés sous forme hachée ou chiffrée, ce qui limite leur usage immédiat, mais KDDI n'a pas précisé combien étaient conservés en clair. L'entreprise a notifié la Commission japonaise de protection des informations personnelles et le ministère des Affaires intérieures et des Communications.

Pourquoi c'est important pour le risque tiers

Une fois les noms mis de côté, la forme est familière. Six marques grand public, un même système central, une faille. Les clients de STNet ou de BIGLOBE n'ont jamais choisi le logiciel de messagerie de KDDI, pourtant leurs identifiants s'y trouvaient. C'est le risque de quatrième partie : une exposition via le fournisseur d'un fournisseur, un cran au-delà du prestataire avec lequel vous avez réellement contracté. Il se combine au risque de concentration, où de nombreuses organisations dépendent du même système sous-jacent, de sorte qu'une seule défaillance les touche toutes en même temps. Il y a une seconde couche ici. Le point d'entrée était un composant logiciel tiers à l'intérieur de la plateforme, ce qui en fait aussi un incident de chaîne d'approvisionnement logicielle, et pas seulement un incident de service partagé. Pour les entités relevant du règlement européen DORA (Digital Operational Resilience Act) ou de la directive NIS2, ces deux schémas sont désormais des sujets de supervision, car les deux régimes demandent aux organisations de cartographier la concentration informatique et de savoir qui se trouve derrière leurs prestataires directs.

Ce que les équipes doivent en retenir

Deux actions valent la peine dès maintenant. D'abord, regarder au-delà de vos fournisseurs directs et demander ce qu'ils utilisent en dessous. Un prestataire qui revend ou propose en marque blanche la plateforme d'une autre entreprise transmet le risque de cette plateforme, votre registre devrait donc consigner l'exploitant d'un service partagé, et pas seulement la marque figurant au contrat. Ensuite, traiter le stockage des identifiants comme une question de due diligence, pas comme une hypothèse. Demandez aux fournisseurs comment les mots de passe et les secrets sont stockés, et si certains sont en clair, avant qu'un incident n'impose la réponse. Pour les équipes de gestion des risques tiers, c'est là que la surveillance continue des fournisseurs se révèle plus utile qu'un questionnaire annuel, car une plateforme partagée peut vous exposer via un fournisseur avec lequel vous n'avez jamais signé.

FAQ

Quelle est l'origine de la fuite e-mail de KDDI ?

KDDI indique qu'un attaquant a exploité une vulnérabilité dans un logiciel tiers utilisé au sein de son système de messagerie partagé. L'entreprise a détecté l'accès non autorisé le 17 juin 2026. Elle n'a pas nommé publiquement le logiciel ni l'attaquant.

Pourquoi une seule violation touche-t-elle six fournisseurs d'accès ?

Les six fournisseurs, KDDI plus STNet, J:COM, Chubu Telecommunications, NIFTY et BIGLOBE, utilisent la même plateforme de messagerie. Comme ils partagent un même système central, une seule faille y a exposé les clients de tous, en même temps. C'est le risque de concentration.

Les mots de passe étaient-ils lisibles ?

KDDI indique que certains mots de passe étaient stockés sous forme hachée ou chiffrée, ce qui limite leur usage immédiat. Elle n'a pas dit combien de comptes, le cas échéant, avaient des mots de passe en clair. Les utilisateurs concernés devraient changer leur mot de passe e-mail et partout où ils l'ont réutilisé.

Quelle est la prochaine étape ?

Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

Lire ensuite

Fuite OAuth Klue : comment une application connectée a exposé les données CRM de Huntress, Jamf et d'autres clients

Fuite OAuth Klue : comment une application connectée a exposé les données CRM de Huntress, Jamf et d'autres clients

Le groupe d'extorsion Icarus a volé les jetons OAuth que Klue détenait pour ses clients et s'en est servi pour dérober des données de leurs propres comptes Salesforce et Gong. La leçon pour les équipes de risque tiers : le risque de quatrième partie, quand une application SaaS connectée transforme la violation d'un fournisseur en perte de vos données.

Lire l'article
Faille zero-day Oracle PeopleSoft (CVE-2026-35273) : comment une plateforme RH a compromis plus de 100 organisations

Faille zero-day Oracle PeopleSoft (CVE-2026-35273) : comment une plateforme RH a compromis plus de 100 organisations

Une seule faille zero-day dans Oracle PeopleSoft a permis à ShinyHunters de compromettre plus de 100 organisations, de l'Université de Nottingham à Nissan. La leçon pour les équipes de risque tiers : le risque de concentration, quand un logiciel partagé transforme une faille en de multiples incidents.

Lire l'article
Évaluation des fournisseurs : la check-list de diligence 2026

Évaluation des fournisseurs : la check-list de diligence 2026

Une check-list d'évaluation des fournisseurs pour 2026, hiérarchisée par niveau de risque et reliée à ce qu'exigent DORA, NIS2 et le RGPD, avec les contrôles sur les quatrièmes parties que la plupart des équipes oublient.

Lire l'article
Fuite e-mail KDDI : jusqu'à 14,2M d'identifiants chez six FAI | Breach Wire | Supplier Shield