
Une seule plateforme de messagerie exploitée par KDDI a exposé les identifiants de jusqu'à 14,2 millions de clients chez six fournisseurs d'accès japonais. La leçon pour les équipes de risque tiers : risque de concentration et de quatrième partie, de nombreuses marques sur un même système partagé, compromis par une faille logicielle tierce.
Une seule plateforme de messagerie exploitée par une entreprise a exposé les identifiants de connexion des clients de six fournisseurs d'accès à internet en même temps. KDDI, l'un des plus grands opérateurs télécoms du Japon, indique qu'un attaquant a exploité une faille dans un logiciel tiers au sein de son système de messagerie partagé. Jusqu'à 14,2 millions d'adresses e-mail et de mots de passe pourraient avoir été dérobés, couvrant KDDI et cinq fournisseurs partenaires qui utilisent la même plateforme : STNet, J:COM, Chubu Telecommunications, NIFTY et BIGLOBE. La leçon, c'est le risque de concentration. Quand de nombreux fournisseurs reposent sur le système d'un même prestataire, une seule violation devient l'incident de tous.
Ce qui s'est passé
KDDI a détecté un accès non autorisé à son système de messagerie le 17 juin 2026, selon l'entreprise et un article de BleepingComputer. Elle estime que l'attaquant a exploité une vulnérabilité dans un logiciel tiers intégré à l'infrastructure de messagerie partagée, et non une voie de phishing ou d'ingénierie sociale. La plateforme ne sert pas uniquement KDDI. Cinq autres fournisseurs d'accès japonais l'utilisent : STNet, J:COM, Chubu Telecommunications, NIFTY et BIGLOBE. KDDI indique que jusqu'à 14,2 millions d'adresses e-mail et de mots de passe pourraient avoir été exposés, un chiffre qui inclut des clients actuels, d'anciens clients et des boîtes inactives. Certains mots de passe étaient stockés sous forme hachée ou chiffrée, ce qui limite leur usage immédiat, mais KDDI n'a pas précisé combien étaient conservés en clair. L'entreprise a notifié la Commission japonaise de protection des informations personnelles et le ministère des Affaires intérieures et des Communications.
Pourquoi c'est important pour le risque tiers
Une fois les noms mis de côté, la forme est familière. Six marques grand public, un même système central, une faille. Les clients de STNet ou de BIGLOBE n'ont jamais choisi le logiciel de messagerie de KDDI, pourtant leurs identifiants s'y trouvaient. C'est le risque de quatrième partie : une exposition via le fournisseur d'un fournisseur, un cran au-delà du prestataire avec lequel vous avez réellement contracté. Il se combine au risque de concentration, où de nombreuses organisations dépendent du même système sous-jacent, de sorte qu'une seule défaillance les touche toutes en même temps. Il y a une seconde couche ici. Le point d'entrée était un composant logiciel tiers à l'intérieur de la plateforme, ce qui en fait aussi un incident de chaîne d'approvisionnement logicielle, et pas seulement un incident de service partagé. Pour les entités relevant du règlement européen DORA (Digital Operational Resilience Act) ou de la directive NIS2, ces deux schémas sont désormais des sujets de supervision, car les deux régimes demandent aux organisations de cartographier la concentration informatique et de savoir qui se trouve derrière leurs prestataires directs.
Ce que les équipes doivent en retenir
Deux actions valent la peine dès maintenant. D'abord, regarder au-delà de vos fournisseurs directs et demander ce qu'ils utilisent en dessous. Un prestataire qui revend ou propose en marque blanche la plateforme d'une autre entreprise transmet le risque de cette plateforme, votre registre devrait donc consigner l'exploitant d'un service partagé, et pas seulement la marque figurant au contrat. Ensuite, traiter le stockage des identifiants comme une question de due diligence, pas comme une hypothèse. Demandez aux fournisseurs comment les mots de passe et les secrets sont stockés, et si certains sont en clair, avant qu'un incident n'impose la réponse. Pour les équipes de gestion des risques tiers, c'est là que la surveillance continue des fournisseurs se révèle plus utile qu'un questionnaire annuel, car une plateforme partagée peut vous exposer via un fournisseur avec lequel vous n'avez jamais signé.
FAQ
Quelle est l'origine de la fuite e-mail de KDDI ?
KDDI indique qu'un attaquant a exploité une vulnérabilité dans un logiciel tiers utilisé au sein de son système de messagerie partagé. L'entreprise a détecté l'accès non autorisé le 17 juin 2026. Elle n'a pas nommé publiquement le logiciel ni l'attaquant.
Pourquoi une seule violation touche-t-elle six fournisseurs d'accès ?
Les six fournisseurs, KDDI plus STNet, J:COM, Chubu Telecommunications, NIFTY et BIGLOBE, utilisent la même plateforme de messagerie. Comme ils partagent un même système central, une seule faille y a exposé les clients de tous, en même temps. C'est le risque de concentration.
Les mots de passe étaient-ils lisibles ?
KDDI indique que certains mots de passe étaient stockés sous forme hachée ou chiffrée, ce qui limite leur usage immédiat. Elle n'a pas dit combien de comptes, le cas échéant, avaient des mots de passe en clair. Les utilisateurs concernés devraient changer leur mot de passe e-mail et partout où ils l'ont réutilisé.
Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

