Le vol de banque de 140 millions de dollars au Brésil réalisé pour seulement 2 700 $

Dans une violation de confiance et de sécurité à couper le souffle, des hackers ont volé environ 140 millions de dollars (environ 800 millions de R$) à six banques brésiliennes après avoir soudoyé un employé informatique pour la modique somme de 2 700 $. L’attaque cybernétique, qui a eu lieu le 30 juin 2025, a ciblé C&M Software, un intermédiaire clé qui relie les banques à la Banque centrale du Brésil et à son réseau de paiement instantané PIX populaire.

Le vol numérique a commencé lorsque les attaquants ont payé João Nazareno Roque, un technicien informatique de 48 ans chez C&M Software, pour lui faire remettre ses identifiants de connexion professionnels. Avec ceux-ci, les hackers ont eu accès à l’infrastructure reliant les institutions financières aux systèmes de réserve de la Banque centrale. L’attaque a touché six banques, dont Banco BMF et d’autres, et a été exécutée le même jour.

Un complot ourdi autour de verres

Selon des rapports des médias brésiliens, Roque a d’abord été approché par les cybercriminels devant un bar de São Paulo en mars. Ce qui a commencé comme une approche décontractée s’est transformé en une opération à enjeux élevés. La police indique que Roque a été payé 5 000 R$ (environ 920 $) pour avoir remis son identifiant et son mot de passe professionnels pour l’entreprise C&M.

Il a ensuite reçu un autre paiement de 10 000 R$ (environ 1 850 $) qui a été versé en billets de 100 R$ pour exécuter des commandes spécifiques au sein du système. Cela a permis aux hackers de réaliser leur vol sans être détectés.

Roque aurait communiqué avec les cybercriminels uniquement par téléphone portable, tout en tentant d’échapper à la détection en changeant fréquemment de téléphone tous les 15 jours. De plus, son paiement aurait été livré par des coursiers à moto. Malgré les précautions, il a été arrêté par la police de São Paulo le 3 juillet 2025.

Pas une faille technique mais une faille humaine

C&M Software a souligné que la violation ne provenait pas d’une vulnérabilité de ses systèmes mais était le résultat d’ingénierie sociale—manipuler un insider de confiance pour aider les attaquants à accéder aux systèmes et processus plutôt que de percer des pare-feu—pour détourner des fonds des comptes de réserve institutionnels.

Une fois à l’intérieur du système, les hackers ont siphonné de l’argent des comptes de réserve—utilisés par les institutions financières pour déplacer des fonds entre elles—plutôt que des comptes clients individuels. Bien qu’aucun compte client individuel n’ait été affecté, l’ampleur et la rapidité de l’attaque ont alarmé les experts en cybersécurité et les régulateurs financiers.

Conséquences immédiates et réponse

Dès que la violation a été découverte, la Banque centrale du Brésil a ordonné à C&M Software de se déconnecter de tous les systèmes bancaires. Les services liés à PIX ont été brièvement suspendus par mesure de sécurité.

Les autorités brésiliennes auraient gelé environ 55 millions de dollars (270 millions de R$) de fonds volés et arrêté Roque. Une partie de l’argent volé—entre 30 millions et 40 millions de dollars—a déjà été blanchi en cryptomonnaie—y compris Bitcoin (BTC), Ethereum (ETH) et Tether (USDT)—en utilisant des échanges de cryptomonnaie d’Amérique latine et des marchés de gré à gré non réglementés, selon l’enquêteur blockchain ZachXBT.

ZachXBT, connu pour son travail de suivi des crimes liés à la cryptomonnaie, collabore maintenant avec les forces de l’ordre brésiliennes pour tracer les actifs blanchis liés au vol et geler les fonds volés lorsque cela est possible.

Quelle est la suite ?

C&M Software affirme que ses systèmes sont maintenant de nouveau en ligne et que la structure de protection de CMSW a été décisive pour identifier l’origine de l’accès inapproprié et isoler rapidement la violation.

« Jusqu’à présent, les preuves suggèrent que l’incident était le résultat de l’utilisation de techniques d’ingénierie sociale pour partager de manière inappropriée des identifiants d’accès, et non de défaillances dans les systèmes ou la technologie de CMSW. Nous tenons à souligner que CMSW n’était pas l’origine de l’incident et reste pleinement opérationnel, avec tous ses produits et services fonctionnant normalement », a déclaré C&M dans un communiqué.

Pendant ce temps, la Banque centrale indique avoir renforcé la surveillance des transactions PIX et travaille en étroite collaboration avec les enquêteurs pour tracer et récupérer davantage de fonds.