Dans le quartier populaire de City Jaraguá à Sao Paulo, la vie de João Nazareno Roque, 48 ans, semblait évoluer dans le bon sens. Ancien électricien, puis technicien TV, il s’était reconverti sur le tard dans l’informatique. Courant 2024, l’homme décroche même un poste de développeur back-end junior chez C&M Software.
« J’ai le regard pétillant et la volonté d’un jeune garçon de donner le meilleur de moi-même et d’apprendre tout ce que je peux », peut-on lire sur son profil Linkedin.
Le poste est encore modeste hiérarchiquement mais l’entreprise est une référence. C&M Software joue un rôle clé dans l’écosystème financier brésilien : l’entreprise connecte la Banque centrale aux principales institutions financières du pays et assure l’accès au système de paiement instantané PIX, utilisé par la grande majorité des banques et des acteurs du secteur.
João ou la porte d’entrée des cybercriminels
Tout bascule un soir de mars 2025. À la sortie d’un bar, João est abordé par un inconnu qui semble en savoir long sur son nouveau travail.
Quelques jours plus tard, il reçoit une proposition via WhatsApp : livrer ses identifiants d’accès à l’infrastructure de C&M contre 5 000 réais (environ 900 €). L’offre est tentante, la transaction se fait en liquide, remise par un motoboy.
Mais l’histoire ne s’arrête pas là et deux semaines plus tard, les hackers lui demandent d’exécuter des commandes sur le système, cette fois pour 10 000 réais supplémentaires. Toujours en cash, toujours via motoboy. João, pris dans l’engrenage, accepte à nouveau le deal.
Dans la nuit du 30 juin au 1er juillet 2025, le plan s’exécute. Grâce aux accès de João, les cybercriminels orchestrent une série de transferts frauduleux depuis les comptes de plusieurs institutions financières clientes de C&M. Les particuliers brésiliens, ne sont pas directement touchés, mais le marché bancaire est ébranlé. En tout, plus de 540 millions de réais (près de 90 millions d’euros) ont été transférés illégalement. La police lance alors une vaste enquête et gèle rapidement 270 millions de réais liés à l’affaire.
L’ingénierie sociale au cœur du hold-up
Le 4 juillet, João Roque est arrêté à son domicile. Lors de son interrogatoire, il explique avoir agi par opportunisme plus que par conviction.
De son côté, C&M Software insiste sur le fait que l’attaque résulte d’une compromission humaine et non d’une faille technique. Dans un Q&A dédié à l’incident, l’entreprise tente de rassurer ses clients et partenaires : les pertes sont liées à une attaque par ingénierie sociale et l’intégrité de ses systèmes n’a jamais été remise en cause.
Par mesure de précaution, la Banque centrale a temporairement suspendu certains services de C&M, avant d’autoriser une reprise progressive et surveillée, avec des horaires restreints pour les transactions PIX.
L’enquête se poursuit pour retrouver d’autres acteurs de l’attaque, alors que plus de 76 % des Brésiliens utilisent le système PIX, désormais placé sous surveillance renforcée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
