Affaire de désinscriptions frauduleuses sur Bandai Channel : un lycéen de 15 ans arrêté
Accès non autorisés et désinscriptions
La section de lutte contre la cybercriminalité de la police métropolitaine de Tokyo a arrêté d'ici le 6 un élève de première année de lycée de 15 ans, originaire de Tokorozawa, dans la préfecture de Saitama, soupçonné d’entrave frauduleuse aux activités, pour avoir accédé à plusieurs reprises de manière non autorisée au service de diffusion vidéo « Bandai Channel », exploité par une filiale de Bandai Namco Holdings (HD), et y avoir désinscrit sans autorisation quelque 40 000 abonnés.
Les soupçons portent sur le 4 novembre 2025 : il aurait transmis au serveur de l’exploitant de fausses informations faisant état de la résiliation des comptes d’environ 46 800 abonnés, à la suite d’un accès non autorisé, perturbant ainsi l’activité en contraignant le service à une suspension temporaire. L’exploitant avait indiqué en novembre 2025 qu’un incident avait entraîné la désinscription involontaire d’abonnés et qu’une fuite d’informations personnelles avait pu se produire à la suite d’un accès non autorisé, avant d’interrompre le service pendant plus d’un mois.
Un programme frauduleux finalisé grâce à l’IA générative
Le lycéen aurait analysé les informations de communication du serveur pour en repérer les vulnérabilités, puis obtenu illicitement des adresses électroniques et des noms enregistrés d’abonnés, avant d’utiliser un programme automatisant les désinscriptions. Il aurait acquis ses compétences en programmation en autodidacte et aurait conçu lui-même l’outil, mais aurait eu recours à l’IA générative conversationnelle « ChatGPT » pour en finaliser le traitement.
Selon la police métropolitaine de Tokyo, le jeune homme aurait déclaré : « J’aimais analyser le contenu des communications », « Je n’en voulais pas à l’entreprise exploitante ; j’ai agi parce qu’il y avait des comptes que je pouvais désinscrire. Mon programme maison prenait du temps à exécuter, et je l’ai terminé en demandant à ChatGPT ». Aucune fuite secondaire ni utilisation abusive des informations des abonnés n’a été confirmée.
Une implication des jeunes particulièrement visible
La police métropolitaine de Tokyo a mené l’enquête à la suite d’un signalement et avait déjà arrêté en juin le lycéen, soupçonné d’infraction à la loi interdisant les accès non autorisés, estimant qu’il avait exploité une vulnérabilité du serveur pour effectuer des opérations illicites. Il avait également rejoint un groupe sur le même outil de chat que plusieurs mineurs déjà interpellés par le passé dans des affaires de cyberattaques.
Les cas d’accès non autorisés sont en hausse. Les services de police à l’échelle nationale en ont recensé 7 190 en 2025, soit 1 832 de plus que l’année précédente et 4,7 fois plus qu’en 2021, où 1 516 cas avaient été enregistrés. Les attaques visant des sites de commerce en ligne et des serveurs d’entreprises à l’aide de l’IA générative se multiplient également.
Selon l’Agence nationale de police, sur les 248 personnes interpellées en 2025 pour violation de la loi interdisant les accès non autorisés, 81 avaient une dizaine d’années, soit 32 %, et, en incluant les personnes dans la vingtaine, la proportion atteint environ 70 %. Alors que les 10 à 20 ans ne représentent qu’environ 30 % des personnes arrêtées pour des infractions du code pénal, leur présence est particulièrement marquée dans la cybercriminalité.
Un responsable de la police a souligné : « Il n’est pas rare que des collégiens et lycéens, exposés à la programmation dès le plus jeune âge, possèdent des compétences avancées. Par simple curiosité, certains utilisent l’IA générative pour créer des programmes illicites et passent facilement à l’acte ». La méthode la plus fréquente dans les affaires d’accès non autorisés élucidées en 2025 consistait à exploiter des faiblesses dans la configuration et la gestion des mots de passe.
Makoto Tanase, ancien chef de la section d’enquête cyber de l’Agence nationale de police, a déclaré : « Avec la diffusion de l’IA générative, ce type d’affaires augmentera inévitablement. Quel que soit l’auteur, il faut prendre conscience qu’il existe un environnement permettant d’attaquer facilement, améliorer la sécurité des systèmes et mettre en place des mesures pour empêcher les dégâts après intrusion. »
Si cet article vous a été utile, n’hésitez pas à le partager.