La compagnie En Japan a annoncé, le 30 mars 2023 une faille de sécurité dans ses serveurs pour le service En-transfert エン転職. Cette faille de sécurité concernait les données accessibles de curriculums vitae de demandeurs d’emploi. Ce qu’il faut savoir.
Source : エン転職からのお知らせ|【エンジャパン】のエン転職 (en-japan.com)
Communiqué de presse
Le 30 mars 2023
En Japan, En transfert
Excuses relatives à des connexions illicites à エン転職, et appel à changer les mots de passe.
Nous avons découvert une connexion externe non autorisée sur un des serveurs WEB qui gèrent le site d’informations générales sur les emplois エン転職 que notre société gère.
Notre société présente donc ses plus sincères excuses pour les nombreux désagréments et les inquiétudes que cela cause à nos utilisateurs et aux autres personnes concernées. À l’heure actuelle, rien ne permet de prouver que des informations personnelles liées à cette fuite ont fait l’objet d’une utilisation non autorisée.
Afin de prévenir d’autres dommages, nous avons réinitialisé les mots de passe de tous les utilisateurs du site エン転職. Nous appelons tous les utilisateurs à changer leur mot de passe pour ce site. Parallèlement, pour éviter que de tierces personnes n’utilisent à mauvais escient ces données, nous insistons pour que tous nos utilisateurs changent au plus tôt tous les mots de passe des services web autres que ceux de エン転職, lorsque l’adresse de courriel et le mot de passe sont les mêmes.
Veuillez trouver ci-dessous un résumé de ce que l’on sait actuellement de cette affaire et de la réponse que nous y apportons.
1. Synthèse du contenu et réponse de notre société
Le 27 mars 2023, エン転職 a constaté des accès illicites sur son serveur WEB. Une enquête interne approfondie a révélé qu’entre le 20 et le 27 mars 2023, un usurpateur s’est connecté sans autorisation avec un identifiant (adresse électronique) et un mot de passe potentiellement obtenus illégalement auprès d’une source externe. (C’est ce que l’on appelle un piratage de compte à partir de listes ※). De plus, l’enquête a permis de découvrir qu’une partie des CV en ligne auraient été ouverts.
Par conséquent, le même jour, notre société a bloqué les communications depuis l’adresse IP à l’origine des tentatives de connexion non autorisées, et a renforcé ses mesures de sécurité.
Elle a également informé et consulté le commissariat de police ayant juridiction et informé les agences et les ministères compétents, y compris le comité de protection des données personnelles.
※ Le piratage de compte à partir de listes (attaque utilisant une liste) est un type de cyberattaque dans laquelle un tiers qui a obtenu une liste d’identifiants et mots de passe d’autres personnes par un moyen quelconque et l’utilise pour tenter de se connecter à divers sites web et ainsi consulter des informations personnelles.
2. Informations sur les connexions non autorisées
Comptes ayant subi des connexions non autorisées : 255 765 CV numérisés parmi l’ensemble des comptes enregistrés sur エン転職 depuis l’an 2000 (sauf ceux qui ont été clôturés).
Période pendant laquelle on a pu constater qu’il y a eu des connexions non autorisées du 20 au 27 mars 2023.
3. Gestion des utilisateurs et appel à changer de mot de passe.
Pour les utilisateurs concernés par des connexions non autorisées, les mots de passe ont été réinitialisés à 15 h aujourd’hui, 30 mars. Un courriel a informé chaque utilisateur sur la façon de réinitialiser les mots de passe et sur les précautions nécessaires. L’émetteur du mail a pour adresse : [email protected]. Nous demandons à chacun de redéfinir son mot de passe au moment de leur prochaine connexion à エン転職.
En outre, afin de prévenir la propagation des dommages, les mots de passe ont été réinitialisés dans le système à 15 h le 30 mars, même pour les utilisateurs qui n’entraient pas dans la catégorie des connexions non autorisées. Un courriel a informé chaque utilisateur sur la manière de réinitialiser les mots de passe et sur les précautions nécessaires. L’émetteur du mail a pour adresse : [email protected]. Nous demandons à chacun de redéfinir son mot de passe au moment de la prochaine connexion à エン転職.
La page de réinitialisation du mot de passe est l suivante.
https://employment.en-japan.com/password/form/
4. Mesures de prévention de récidive
Notre société a mené une enquête approfondie en réponse à cet accès non autorisé. De plus, elle travaille sur des mesures visant à améliorer le niveau de sécurité pour éviter toute récurrence d’un tel problème et pour que chacun puisse utiliser ce service en toute sérénité. Parmi ces mesures, nous renforçons également le niveau de sécurité du système autre que l’authentification par identifiant et mot de passe.
À l’heure actuelle, rien ne prouve que ces connexions non autorisées aient débouché sur une modification des informations enregistrées, y compris des CV. De même, notre société n’a constaté aucune connexion non autorisée aux écrans de gestion de l’entreprise autres que pour les demandeurs d’emploi, et aucune information n’a été falsifiée. Ensuite, à part celles qui concernent エン転職, rien ne permet de constater des connexions non autorisées similaires dans d’autres services de la société.
Nous tenons à nous excuser à nouveau pour les désagréments et les inquiétudes que cela peut causer à nos utilisateurs et à toutes les personnes concernées.
5. Se renseigner
Un service de consultation vient d’ouvrir aujourd’hui pour les utilisateurs. En cas d’inquiétude ou de questions, le contacter aux coordonnées suivantes.
Le service de consultation pour les utilisateurs du service エン転職.
Se renseigner par courriel
E-Mail:[email protected] (Prévoit de répondre dans les trois jours ouvrés qui suivent.)
Que faire pour se protéger en ligne ?
Normalement, après des failles de sécurité, les services mentionnés ont déjà envoyé des messages à leurs adhérents.
Actions immédiates
- Vérifier les débits et crédits sur tous les comptes qui sont reliés à la gestion d’argent.
- En cas d’opération douteuse, contacter sa banque, sa carte visa, et/ou la police pour savoir comment faire.
Actions nécessaires le plus tôt possible.
- Vider le cache de son navigateur et le mettre à jour, même si les applications des smartphones ne passent pas par un navigateur (effacer les cookies, désinstaller les extensions dont on ne se sert pas).
- Mettre à jour son système d’exploitation (iOS, Android, Windows, Mac, Linux, etc.) à la dernière version pour augmenter le niveau de sécurité des transactions.
- Mettre à jour les applications qui gèrent des informations personnelles et l’argent. Les applications sont mises à jour pour corriger les failles de sécurité. Lorsque ces mises à jour ont lieu, les constructeurs et programmeurs publient en général la raison de la faille. Certaines failles risquent d’être exploitées tant que cela n’est pas fait.
- Changer les mots de passe et PINs des différents accès à des comptes en ligne. Le service public français explique ce qu’est un bon mot de passe.
- Changer les mots de passe de sa messagerie en ligne.
- Utiliser un gestionnaire de mots de passe sécurisé. Certains offrent un système de zero-knowledge, qui empêchent les fabricants de les décoder, même en ayant l’algorithme pour.