Violation de données du Service des retraites du Japon

Le 1er juin 2015, le Service des retraites du Japon (JPS) a annoncé qu'une cyberattaque avait divulgué les données personnelles d'environ 1,25 million d'affiliés. La violation a commencé par un vecteur d'une simplicité trompeuse — un e-mail ciblé porteur d'un logiciel malveillant — et est devenue un catalyseur de la réforme de la cybersécurité du secteur public dans tout le Japon.

Ce qui s'est passé

L'intrusion a utilisé ce que les enquêteurs ont qualifié d'attaque par e-mail ciblé « classique » (harponnage). À partir du 8 mai 2015 environ, des agents du JPS ont ouvert des pièces jointes d'e-mails qui ont installé un logiciel malveillant sur leurs postes de travail. L'infection s'est propagée en interne et, au cours des semaines suivantes, les attaquants ont exfiltré des données personnelles des systèmes contenant les dossiers d'affiliés.

L'organisation a découvert l'exfiltration le 28 mai 2015 et l'a divulguée publiquement le 1er juin. Les machines affectées ont été isolées pour contenir la propagation.

Impact

Environ 1,25 million de dossiers ont été divulgués.
Les champs exposés comprenaient noms, numéros d'identifiant de retraite, adresses et dates de naissance — bien que la combinaison ait varié selon les dossiers.
Fait crucial, les responsables ont confirmé que le système central des retraites — qui suit l'historique financier et professionnel des affiliés ainsi que les versements — n'avait pas été compromis ; les données divulguées provenaient d'un environnement de partage d'informations distinct et moins protégé.
Le JPS s'est engagé à réémettre les numéros d'identifiant de retraite des personnes affectées et a mis en garde contre la fraude et l'hameçonnage subséquents visant les victimes.

Conséquences

Un comité d'enquête ultérieur a vivement critiqué la gestion du JPS : le personnel avait stocké des données personnelles en dehors du système central protégé, la réponse aux premiers avertissements d'infection avait été lente, et la discipline élémentaire de sécurité des e-mails faisait défaut. Ces conclusions ont entraîné des réformes de gouvernance et de sécurité au sein du JPS et plus largement du gouvernement, notamment des règles plus strictes sur les lieux de stockage des données des citoyens et des défenses renforcées contre les menaces par e-mail.

Pourquoi c'est important

La violation du JPS a démontré que même les bases de données gouvernementales non financières sont des cibles de grande valeur, et qu'un seul clic imprudent peut compromettre les données personnelles de plus d'un million de citoyens. Survenue la même année que la violation de l'Office of Personnel Management aux États-Unis, elle a souligné une tendance mondiale d'institutions étatiques et quasi étatiques vidées de leur substance par l'hameçonnage. Au Japon, elle a accéléré la réflexion sur le « zero trust » dans le secteur public et renforcé l'argument selon lequel le déploiement du système national d'identité « My Number » devait s'accompagner de contrôles de traitement des données bien plus stricts.

Chronologie

8 mai 2015

Les ordinateurs du Service des retraites du Japon sont d'abord infectés après que des agents ouvrent un e-mail ciblé porteur d'un logiciel malveillant.

28 mai 2015

L'organisation découvre que des données personnelles ont été exfiltrées des systèmes infectés.

1 juin 2015

Le Service des retraites du Japon annonce publiquement la fuite d'environ 1,25 million de dossiers de données personnelles.

1 juin 2015

Les ordinateurs affectés sont isolés ; les responsables confirment que le système central des dossiers, qui suit l'historique financier et professionnel, n'a pas été compromis.

1 septembre 2015

Le rapport d'un comité d'enquête critique la lenteur de la réponse interne et la faiblesse des pratiques de gestion des e-mails, déclenchant des réformes de gouvernance.

Sources

japantimes.co.jphttps://www.japantimes.co.jp/news/2015/06/01/national/crime-legal/japan-pension-system-hacked-1-25-million-cases-personal-data-leaked/

phys.orghttps://phys.org/news/2015-06-japan-pension-hacked-mn-personal.html

japantimes.co.jphttps://www.japantimes.co.jp/news/2015/06/02/national/social-issues/japan-pension-service-hack-used-classic-attack-method/

nippon.comhttps://www.nippon.com/en/currents/d00195/

Incidents liés

Ingénierie socialeEn cours9 juin 2026

La messagerie gouvernementale française Tchap compromise via un compte détourné (2026)

Les autorités françaises ont confirmé qu'un attaquant avait détourné un compte utilisateur de Tchap pour accéder à des salons publics de la messagerie sécurisée de l'État, l'intrus affirmant avoir aspiré des dizaines de milliers de comptes et des centaines de milliers de messages.

Victim: Tchap (DINUM)

Ingénierie socialeContenu8 mars 2024

Fuite chez France Travail

Le 8 mars 2024, l'opérateur public France Travail a révélé une fuite de données exposant les informations personnelles de jusqu'à 43 millions de demandeurs d'emploi inscrits au cours des 20 dernières années, dont nom, date de naissance, numéro de sécurité sociale et coordonnées.

Victim: France Travail
Records: 43.0M

Ingénierie socialeRésolu7 septembre 2020

Violation de données de Service NSW

Une campagne d'hameçonnage a compromis 47 comptes de messagerie du personnel de Service NSW, exposant 738 Go de données et environ 3,8 millions de documents ; environ 104 000 clients ont vu leurs informations personnelles, dont des permis de conduire et des certificats de naissance, volées.

Victim: Service NSW
Records: 738.0K

Ingénierie socialeRésolu14 juin 2016

Violation de données de JTB Corporation

Un e-mail de harponnage porteur du logiciel malveillant PlugX a compromis JTB, la plus grande agence de voyages du Japon, exposant les données personnelles — dont des milliers de numéros de passeport — de jusqu'à 7,93 millions de clients.

Victim: JTB Corporation
Records: 7.9M