【Alerte】Le nombre de cas reconnus d'accès illégal a triplé en un an en Reiwa 5 (2023)
Le 14 mars 2024, l’Agence Nationale de Police, le Ministère des Affaires Intérieures et des Communications et le Ministère de l’Économie, du Commerce et de l’Industrie ont publié les données sur les incidents d’accès non autorisé[ja] survenus entre le 1er janvier et le 31 décembre 2023.
Cela est conforme à la loi sur l’interdiction des accès non autorisés (Loi sur l’interdiction des accès non autorisés), qui stipule que “la Commission Nationale de Sécurité Publique, le Ministre des Affaires Intérieures et des Communications et le Ministre de l’Économie, du Commerce et de l’Industrie doivent publier au moins une fois par an les incidents d’accès non autorisé et l’état de la recherche et du développement technologique concernant les fonctions de contrôle d’accès, afin de contribuer à la défense contre les accès non autorisés aux ordinateurs spécifiques dotés de fonctions de contrôle d’accès” (Article 10, paragraphe 1). Cette publication est une pratique annuelle en mars par les trois ministères mentionnés ci-dessus.
Ci-dessous, nous expliquerons la situation des accès non autorisés en 2023 (Reiwa 5 (2023)) en nous basant sur le communiqué de presse “Situation des incidents d’accès non autorisé et état de la recherche et du développement technologique concernant les fonctions de contrôle d’accès”.
Nombre de cas d’accès non autorisé
En 2023, le nombre de cas d’accès non autorisé signalés à l’Agence Nationale de Police japonaise était de 6312, soit une augmentation de 4112 cas (environ 186,9 %) par rapport aux 2200 cas de 2022, marquant le nombre le plus élevé des cinq dernières années.
Cette augmentation est due à une hausse spectaculaire des “transferts frauduleux et autres activités similaires dans la banque en ligne”, passant de 1096 à 5598 cas.
En examinant la répartition globale des cas d’accès non autorisé par type d’activité suivant l’accès, les “transferts frauduleux et autres activités similaires dans la banque en ligne” sont de loin les plus nombreux (5598 cas), suivis par “l’obtention illégale d’informations telles que l’espionnage de courriels” (204 cas), “les achats frauduleux sur des sites de shopping en ligne” (93 cas), et “la manipulation illégale de jeux en ligne et de sites communautaires” (83 cas).
À cet égard, le nombre de cas et de personnes arrêtées pour violation de la loi japonaise sur l’interdiction de l’accès non autorisé en 2023 était de 521 cas et 259 personnes, soit une diminution d’un cas et une augmentation de deux personnes par rapport à l’année précédente, indiquant une tendance stable.
Concernant l’âge des suspects, les “20-29 ans” étaient les plus nombreux (103 personnes), suivis par les “14-19 ans” (73 personnes) et les “30-39 ans” (53 personnes). De plus, 9 jeunes de moins de 14 ans ont été appréhendés pour violation de la loi sur l’interdiction de l’accès non autorisé, mais comme ils sont âgés de moins de 14 ans, ils ne sont pas inclus dans le nombre total de cas et de personnes arrêtées.
Parmi les personnes appréhendées ou arrêtées, la plus jeune avait 11 ans et la plus âgée 61 ans.
Source : Ministère des Affaires Intérieures et des Communications | Situation de l’occurrence d’accès non autorisé et du développement technologique lié au contrôle d’accès
Statut des arrestations pour violations de la loi japonaise sur l’interdiction de l’accès non autorisé
La loi japonaise sur l’interdiction de l’accès non autorisé interdit et punit :
- L’interdiction des actes d’accès non autorisé (Article 3)
- L’interdiction d’acquérir de manière frauduleuse les codes d’identification d’autrui (Article 4)
- L’interdiction de promouvoir des actes d’accès non autorisé (Article 5)
- L’interdiction de détenir de manière frauduleuse les codes d’identification d’autrui (Article 6)
- L’interdiction de demander de manière frauduleuse les codes d’identification d’autrui (Article 7)
Les exemples concrets de codes d’identification incluent les « ID et mots de passe ».
En 2023, en ce qui concerne le nombre d’arrestations et de personnes arrêtées pour violations de la loi japonaise sur l’interdiction de l’accès non autorisé, réparties par type d’infraction, les « actes d’accès non autorisé » représentent 487 cas et 248 personnes, soit plus de 90 % du total, les « actes d’acquisition de codes d’identification » 11 cas et 8 personnes, les « actes de fourniture (promotion) de codes d’identification » 13 cas et 10 personnes, les « actes de détention de codes d’identification » 7 cas et 6 personnes, et les « actes de demande frauduleuse de codes d’identification » 3 cas et 2 personnes.
Parmi ceux-ci, les actes d’accès non autorisé, qui représentent le nombre le plus élevé, sont définis à l’article 2, paragraphe 4, de la loi japonaise sur l’interdiction de l’accès non autorisé comme :
- Le type d’usurpation de codes d’identification
- Le type d’attaque de failles de sécurité
En 2023, en regardant la répartition des cas d’arrestation pour actes d’accès non autorisé, le « type d’usurpation de codes d’identification » représente 475 cas, soit plus de 90 % du total.
En examinant la répartition des méthodes utilisées pour les actes d’accès non autorisé de type « usurpation de codes d’identification », « l’exploitation de la faiblesse de la configuration et de la gestion des mots de passe par les titulaires de droits » est la plus courante (203 cas), suivie par « les actes commis par d’anciens employés ou connaissances qui étaient en position de connaître les codes d’identification » (68 cas), « l’obtention des codes d’identification par interrogation ou espionnage des titulaires de droits » (40 cas), « l’acquisition auprès de tiers » (36 cas), et « l’obtention via des sites de phishing » (10 cas), dans cet ordre.
De plus, en regardant la répartition par service utilisé de manière frauduleuse avec les codes d’identification d’autrui pour le type « usurpation de codes d’identification », les « jeux en ligne et sites communautaires » sont les plus nombreux (234 cas), suivis par les « sites dédiés aux employés et membres, etc. » (82 cas), « le shopping en ligne » (35 cas), « la banque en ligne » (29 cas), et « le courrier électronique » (3 cas), dans cet ordre.
Article connexe : Explication par un avocat des actes et exemples interdits par la loi japonaise sur l’interdiction de l’accès non autorisé[ja]
Exemples d’arrestations en 2023 (Reiwa 5)
La section « Incidents d’accès non autorisé » inclut chaque année plusieurs exemples d’arrestations comme matériel de référence.
Un homme de 21 ans, étudiant dans une école spécialisée, a créé et publié sur Internet un site de phishing se faisant passer pour un réseau social légitime en octobre et décembre 2022, obtenant illégalement des identifiants et mots de passe de plusieurs utilisateurs légitimes avant d’accéder illégalement au même réseau social en utilisant ces identifiants. Il a été arrêté en avril 2023 pour violation de la loi japonaise sur l’interdiction de l’accès non autorisé (actes d’accès non autorisé, demande illégale de codes d’identification et acquisition de codes d’identification) et pour création et utilisation frauduleuse d’enregistrements électromagnétiques privés.
Une fonctionnaire de 30 ans a, en décembre 2022, défini sans autorisation un code PIN sur la carte de numéro personnel d’une autre personne, puis a utilisé ce code PIN pour accéder illégalement au système et attribuer des points à un service de paiement sans contact qu’elle utilisait. Elle a été arrêtée en avril 2023 pour création et utilisation frauduleuse d’enregistrements électromagnétiques publics, violation de la loi japonaise sur l’interdiction de l’accès non autorisé (actes d’accès non autorisé) et fraude informatique.
Un homme de 18 ans, également étudiant dans une école spécialisée, a proposé en mars 2023 l’achat de comptes de jeu sur un site de vente de comptes de jeu, a obtenu les codes d’identification des acheteurs potentiels, puis a accédé illégalement au site pour s’approprier illégalement les points détenus par les acheteurs. Il a été arrêté en juillet pour violation de la loi japonaise sur l’interdiction de l’accès non autorisé (actes d’accès non autorisé) et fraude informatique.
Un employé de bureau de 25 ans a, entre août et novembre 2022, accédé illégalement à plusieurs comptes de réseaux sociaux en devinant les mots de passe, puis a envoyé des messages menaçants en se faisant passer pour les utilisateurs légitimes. Il a été arrêté en août 2023 pour violation de la loi japonaise sur l’interdiction de l’accès non autorisé (actes d’accès non autorisé) et menaces.
Un employé de bureau de 43 ans a, en juin 2023, fourni à un collègue de son nouveau lieu de travail le code d’identification attribué aux employés de son ancien lieu de travail pour accéder illégalement au système de gestion des cartes de visite de cet ancien employeur. Il a été arrêté en septembre 2023 pour violation de la loi japonaise sur la protection des informations personnelles et de la loi sur l’interdiction de l’accès non autorisé (actes d’accès non autorisé).
Un homme de 20 ans, sans emploi, et deux autres personnes ont conspiré pour enregistrer un site Web sur un serveur étranger en janvier 2023, le faisant passer pour le site Web d’un opérateur de réseau social et incitant les utilisateurs légitimes à y entrer leurs mots de passe, rendant ces informations accessibles à un nombre indéfini de personnes. Ils ont été arrêtés en septembre 2023 pour violation de la loi japonaise sur l’interdiction de l’accès non autorisé (demande illégale de codes d’identification).
Article connexe : Détails sur la loi japonaise d’interdiction de l’accès non autorisé et exemples de violations[ja]
Résumé : La nécessité urgente de mesures contre les accès non autorisés, consultez un expert
Dans le contexte de la “Situation des incidents d’accès non autorisés”, face à la tendance croissante des actes d’accès non autorisés, les mesures de défense à prendre en compte incluent, pour les détenteurs de droits d’accès :
- La mise en place et la gestion appropriées des mots de passe
- Les mesures contre le phishing
- Les mesures contre les logiciels malveillants
Et pour les gestionnaires d’accès, les mesures à prendre incluent :
- La mise en place d’un système opérationnel, etc.
- La configuration appropriée des mots de passe
- La gestion appropriée des ID et mots de passe
- Les mesures contre les attaques exploitant les failles de sécurité
- Les mesures contre le phishing, etc.
Ces mesures sont essentielles.
Les crimes commis par des accès non autorisés peuvent affecter toute entreprise ou individu utilisant Internet, et le risque de subir des pertes considérables est élevé. Il est donc crucial de prêter attention à ces mesures.
En cas de dommage dû à un accès non autorisé, il est possible de porter plainte, mais le délai de prescription est de trois ans. Si vous découvrez un dommage causé par un accès non autorisé, il est conseillé de consulter le plus rapidement possible un avocat spécialisé dans la loi japonaise sur l’interdiction des accès non autorisés.
Présentation des mesures par notre cabinet
Le cabinet d’avocats Monolith possède une riche expérience dans les domaines de l’IT, et plus particulièrement d’Internet, ainsi que dans le domaine juridique. De nos jours, la fuite d’informations personnelles est devenue un problème majeur. Dans le cas malheureux où des informations personnelles seraient divulguées, cela pourrait avoir un impact fatal sur les activités d’une entreprise. Notre cabinet dispose d’une expertise spécialisée dans la prévention des fuites d’informations et les mesures à prendre en réponse. Vous trouverez plus de détails dans l’article ci-dessous.
Domaines d’expertise du cabinet d’avocats Monolith : Droit relatif à la protection des informations personnelles[ja]
Category: IT
Tag: CybercrimeIT
