KDDI confirme le 6 juillet 2026 qu’un attaquant a exfiltré jusqu’à 14,22 millions d’adresses email et 7,61 millions de mots de passe via un zero-day sur une plateforme email mutualisée entre 6 FAI japonais, avec un mois d’exposition.
En bref
- KDDI a confirmé le 6 juillet 2026 l'exfiltration de 14,22 millions d'adresses email et 7,61 millions de mots de passe de clients répartis sur 6 FAI japonais
- Plateforme email mutualisée entre KDDI, STNet, KDDI Web Communications, JCOM, Chubu Telecommunications, Nifty et BIGLOBE — intrusion active du 16 mai au 17 juin 2026
- Action requise : forcer la réinitialisation des mots de passe email et surveiller les tentatives de credential stuffing sur tous les services liés
Les faits
Le 6 juillet 2026, KDDI Corporation, l'un des plus grands opérateurs télécom japonais, a publié une mise à jour officielle révélant l'étendue réelle d'une compromission de son infrastructure email. La découverte de l'intrusion remonte au 17 juin 2026, mais l'accès non autorisé était actif depuis le 16 mai 2026 — soit près d'un mois d'exposition. L'attaquant a exploité une vulnérabilité zero-day dans un logiciel tiers intégré à la plateforme email mutualisée de KDDI, utilisée non seulement par ses propres clients mais également par cinq autres FAI japonais : STNet, KDDI Web Communications, JCOM, Chubu Telecommunications, Nifty et BIGLOBE.
Selon les informations publiées par KDDI et relayées par BleepingComputer, le Japan Times et Security Affairs, l'entreprise a confirmé que l'adresse email de 12,23 millions d'utilisateurs et le mot de passe de 7,61 millions d'entre eux ont été exposés. En incluant les comptes inactifs et anciens, le nombre total de comptes potentiellement compromis atteint 14,22 millions. KDDI n'a pas révélé la nature exacte du logiciel tiers vulnérable ni les détails techniques de la CVE exploitée — une opacité critiquée par plusieurs chercheurs en sécurité.
La question du stockage des mots de passe est centrale dans l'analyse de l'impact. KDDI a indiqué que certains mots de passe étaient stockés « sous forme hachée et/ou chiffrée », sans préciser la proportion utilisant du hachage fort (bcrypt, Argon2) versus des algorithmes faibles (MD5, SHA-1 non salé) ou du chiffrement réversible. Cette imprécision suggère une hétérogénéité des pratiques entre les différents FAI connectés à la plateforme mutualisée — un risque inhérent à toute infrastructure partagée entre opérateurs distincts.
KDDI a notifié la Personal Information Protection Commission (PPC) japonaise et le Ministère des Affaires Intérieures et Communications (MIC) immédiatement après la découverte, conformément aux obligations légales nippones. Ces deux autorités ont ouvert des investigations formelles sur la gestion de l'incident, les mesures de sécurité préexistantes, et le délai de détection d'un mois.
L'impact potentiel dépasse largement les 6 FAI directement concernés. Les adresses email et mots de passe exfiltrés constituent une ressource de choix pour des campagnes de credential stuffing — attaques automatisées testant les identifiants volés sur d'autres services en exploitant la réutilisation de mots de passe. Au Japon, où la fidélité aux adresses email liées aux FAI historiques est très élevée — ces adresses servant souvent d'identifiant principal pour des services financiers et administratifs — le risque de compromissions en chaîne est particulièrement sérieux.
Cette brèche s'inscrit dans un contexte préoccupant pour les télécoms japonaises. En 2025, NTT Communications avait subi une compromission affectant les données d'environ 18 000 entreprises clientes. Les FAI japonais sont désormais considérés comme des cibles stratégiques par plusieurs groupes APT à nexus étatique asiatique, comme l'ont documenté les rapports du NISC japonais et de Recorded Future au cours des 18 derniers mois.
L'architecture mutualisée qui a permis à cette brèche de toucher 6 FAI simultanément mérite une attention particulière. Le modèle de plateforme email partagée offre des économies d'échelle mais crée un point de défaillance unique (single point of failure) pour la sécurité : un seul zero-day dans le composant partagé suffit à compromettre l'intégralité des bases de comptes de tous les opérateurs hébergés. Ce modèle est largement répandu en Europe également, notamment dans le secteur des opérateurs alternatifs.
Du côté des mesures correctives, KDDI a annoncé le blocage immédiat de l'attaquant dès la découverte le 17 juin 2026, le déploiement de défenses renforcées sur la plateforme, et la coopération avec les 5 FAI partenaires pour une évaluation individuelle de leur exposition. L'entreprise recommande à tous ses clients de modifier leur mot de passe email et, surtout, de changer tout mot de passe identique utilisé sur d'autres services.
Impact et exposition
Sont directement exposés les clients actuels et anciens des 6 FAI japonais concernés. Le risque de credential stuffing est maximal dans les 30 à 60 jours suivant la révélation publique, période pendant laquelle les cybercriminels testent activement les identifiants sur des cibles à forte valeur. Les organisations dont des employés utilisent ces FAI pour des comptes personnels doivent surveiller les connexions anormales sur leurs systèmes d'entreprise, en cas de réutilisation de mots de passe.
Recommandations
- Forcer la réinitialisation immédiate des mots de passe sur tous les comptes email des FAI affectés
- Activer l'authentification à deux facteurs (2FA) sur tous les comptes email concernés si disponible
- Vérifier et changer tout mot de passe identique utilisé sur d'autres services
- Surveiller les connexions suspectes sur les comptes liés aux adresses email exposées
- Pour les organisations : renforcer la surveillance des connexions depuis des IP inhabituelles
Comment savoir si mon compte fait partie des 14,2 millions exposés dans la brèche KDDI ?
KDDI contacte directement les utilisateurs affectés par email. Si vous êtes ou avez été client d'un des 6 FAI concernés (STNet, JCOM, Nifty, BIGLOBE, KDDI Web Communications ou Chubu Telecom), considérez votre compte comme potentiellement compromis et changez immédiatement votre mot de passe. Le service Have I Been Pwned (HIBP) devrait intégrer cette brèche dans ses prochaines mises à jour. Dans le doute, agissez comme si votre compte était compromis.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditSources et références
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
AWS us-east-1 en panne : 3 heures de blackout mondial
Le 16 juillet 2026, une panne de 3 heures dans la région AWS us-east-1 a paralysé des services critiques mondiaux : réseaux hospitaliers, logistique aérienne, ChatGPT, Signal et Coinbase.
NVIDIA Nemotron 3 Nano Omni : modèle IA open multimodal
NVIDIA publie Nemotron 3 Nano Omni, un modèle open-weight multimodal de 30B paramètres (3B actifs) unifiant vision, audio et langage avec 9x plus de débit pour les agents IA edge et entreprise.
WordPress wp2shell : RCE critique sans auth, patch d'urgence
La chaîne de failles wp2shell (CVE-2026-63030 + CVE-2026-60137) permet l'exécution de code sans authentification sur tout WordPress 6.9.x. Correctifs publiés en urgence le 17 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire