7pay, quand le cashless dérape

Ces derniers mois, le cashless explose au Japon. On est passé d’une situation ou quelques solution types Passmo, Suica ou Nanaco, présentes pour certaines depuis près de 25 ans, sont maintenant concurrencées par a peu près une application par jour.

Cashless, du nouveau pas si nouveau au Japon

Je ne manque pas de critiquer le Japon sur certains aspects. Mais il est vrai que sur le cashless, le Japon avait un sacré temps d’avance. La puce Felica, celle qui sert de base aux cartes Suica, Pasmo etc est utilisé dans les transports depuis 2001 au Japon. Mais bien plus que juste transport, c’est en tant que porte-monnaie électronique qu’elle va décoller.

Rapidement intégrée aux téléphones portables par Docomo en 2004, elle trouve sa place et sert aux micro-transactions dans les conbinis. Son absence est même considérée comme LA raison pour laquelle l’iPhone ne pourra pas marcher au Japon !

Des paiements sans contact ? Quel génie ! se dit Visa qui petit à petit intègre des puces RFID dans ses cartes bancaires, directement connectées au comptes en banque de l’utilisateur.

Mais bon, c’est bien connu, le Japon a raté le virage du numérique qui dit qu’une innovation n’existe que s’il existe un application pour smartphone passée par la Silicon Valley (même si la même Silicon Valley copie de plus en plus ce qui se fait en Chine avec AliPay / WePay etc). Bref, la FinTech est hot dans la Silicon Valley depuis 2014-2105 et le Japon passe pour un pays arriéré avec ses Suica et sa passion pour l’argent liquide.

Une explosion des offres cashless

Ces derniers mois a Tokyo, les offres cashless ont explosées. Tout a commencé avec PayPay, la solution sponsorisée par Softbank et Yahoo Japan (un clone pur et simple de WePay et d’AliPay) en septembre 2018. De là, tous les grands comptes de Dentsu ont lancé le développement d’application cashless pour surfer sur la vague.

Une bonne solution cashless se doit d'avoir son autocallant
Une bonne solution cashless se doit d’avoir son autocollant

Bref, toute entreprise B2C qui compte au Japon, se devait d’avoir sa solution cashless

Le fiasco 7pay

7-Eleven se devait donc de se positionner sur le sujet. Même avec Nanaco, une solution similaire disponible depuis 2007, il fallait faire un machin labélisé « Cashless » c’est à dire une application pour smartphone.

Annoncé en grande pompe en mai 2019 pour un lancement au 1er juillet, on sent dès le début le projet lancé et exécuté dans l’urgence pour ne pas rater la vague. Sauf qu’étant la première chaîne de conbini du Japon, l’attente, tout autant de la part des clients et du public en général, était démesurée.

Lancé le 1er juillet avec un onigiri offert pour toute inscription, les premières alertes ont été remontées dès le soir du 2 juillet. De nombreux utilisateurs s’inquiétaient alors de débit de plusieurs milliers de yens qui ne correspondaient pas à des achats de leur part.

Au 4 juillet, lors de la conference de presse officielle de 7-eleven, il apparaît que plus de 50 millions de yens (environ 450’000 euros) ont été détournés. Comment ? En changeant le mot de passe du compte. Comment arriver a ce résultat ? Avec tout simplement une adresse email et une date de naissance. Informations qui pourraient sembler difficiles à obtenir mais qui, vu les leaks de ces derniers mois (MyNumber, Yahoo etc), sont très simples a trouver sur le marché noir.

7-eleven se défend en disant que les tests de sécurité ont été passés avant le lancement de 7pay. Sauf que vu la simplicité de l’attaque, il me semble évident qu’ils n’ont pas fait de penetration test.

Si l’ancien ministre en charge de la cyber-sécurité a fait parlé de lui il y a quelques mois après avoir avouer ne pas utiliser d’ordinateur, le patron de 7-Elevent ne fait guere mieux en avouant ne pas savoir ce qu’est 2FA (2 factor authentification) lorsque la question lui est posée en conférence de presse.

En soit, en tant que président du groupe, qu’il ne soit pas versé dans les arcanes de la technique se comprend tout a fait. Je trouve cela très surprenant qu’il découvre le terme après 2 jours de crise dans l’entreprise. Personne, lors des réunions de crise n’a évoqué le terme ? Quelque chose de si connu pourtant que la question est posée en audience publique ? Est-ce que les ingénieurs peuvent vraiment s’exprimer ? 7-Eleven a-t-il seulement mis une cellule de crise en place ?

En conclusion

Il est encore trop tot pour dire quel sera l’effet de ce hack sur 7-eleven ou sur la hype du cashless au Japon.

C’est en tout cas un sacré coup d’arrêt au développement après près de 6 mois de folie.

Laisser un commentaire