Skip to content
Cyber Breaches
Recherche
Exploitation de vulnérabilitéContenu

Casse interbancaire SPEI de Banxico (Mexique, 2018)

Des attaquants ont exploité les logiciels tiers reliant les banques mexicaines au SPEI, le système de paiement interbancaire de la banque centrale, en injectant des virements fantômes et en détournant environ 300 à 400 millions de pesos (~15-20 millions de dollars) retirés en espèces par des mules financières.

Victime
Banco de México (Banxico) / banques participantes au SPEI
Perte
$20.0M
SecteurFinance
PaysMexique

En avril et mai 2018, l'épine dorsale des paiements interbancaires du Mexique — le SPEI (Sistema de Pagos Electrónicos Interbancarios), exploité par la banque centrale Banco de México (Banxico) — a été détournée lors d'une série de cyberattaques ayant injecté des virements frauduleux et détourné un montant estimé à 300 à 400 millions de pesos (environ 15-20 millions de dollars). Cela reste l'une des attaques les plus marquantes jamais menées contre un système de paiement national.

Ce qui s'est passé

Élément crucial : le cœur du SPEI n'a pas été compromis. Les attaquants ont plutôt exploité des faiblesses dans les logiciels tiers et internes que chaque banque utilisait pour connecter ses systèmes au SPEI. En compromettant ces composants de connexion, les auteurs ont pu falsifier des ordres de paiement — des virements fantômes que le SPEI a traités comme légitimes parce qu'ils arrivaient via un lien participant authentifié.

Les virements frauduleux ont acheminé l'argent vers des comptes d'autres institutions contrôlés par les attaquants. Des complices — des mules financières — ont ensuite retiré les fonds en espèces dans les agences bancaires, un schéma inhabituel de gros retraits suggérant une possible complicité interne. Au moins cinq institutions financières ont été touchées, les rapports citant Banorte, Banco del Bajío et Banjército parmi les cibles.

Impact

  • Un montant estimé à 300 à 400 millions de pesos (~15-20 millions de dollars) a été détourné et retiré.
  • Comme les fonds volés circulaient entre des comptes institutionnels, les soldes des clients ordinaires n'auraient pas été directement débités.
  • Banxico a activé un dispositif de contingence qui ralentissait et reroutait les virements, provoquant des retards de règlement et des délais de traitement plus longs dans tout le système bancaire pendant des semaines.

Pourquoi c'est important

L'épisode SPEI est un cas emblématique du risque lié aux systèmes de paiement et aux tiers. Il a montré qu'une infrastructure centrale robuste peut être minée par la couche d'intégration du participant le plus faible, et que des criminels financiers pouvaient combiner une compromission logicielle technique avec un réseau physique de retrait en espèces. En réponse, Banxico a imposé des normes minimales de cybersécurité obligatoires aux participants du SPEI et poussé les institutions vers une architecture de connexion séparée et durcie — des réformes qui ont remodelé la manière dont les banques mexicaines se raccordent aux rails de paiement nationaux.

Chronologie

  1. Les premières transactions SPEI frauduleuses sont injectées via un logiciel tiers compromis chez une institution participante.

  2. La Banco de México alerte les participants du SPEI d'anomalies ; Banorte, Banco del Bajío et Banjército figurent parmi les cibles signalées.

  3. Banxico active un dispositif de contingence, ralentissant les virements et routant les banques affectées via des connexions alternatives ; des retards de règlement se propagent dans le système.

  4. Les autorités estiment que 300 à 400 millions de pesos (~15-20 millions de dollars) ont été détournés et retirés en espèces par des mules financières dans les agences bancaires.

  5. Banxico publie de nouvelles règles de cybersécurité obligatoires pour les institutions se connectant au SPEI, dont une architecture de connexion séparée et durcie.

Sources

  1. threatpost.comhttps://threatpost.com/mexicos-banking-system-sees-18m-siphoned-off-in-phantom-transactions/132004/
  2. bankinfosecurity.comhttps://www.bankinfosecurity.com/mexico-investigates-suspected-cyberattacks-against-banks-a-11008
  3. welivesecurity.comhttps://www.welivesecurity.com/2018/05/24/mexico-cybercriminals-steal-400-million/
  4. msspalert.comhttps://www.msspalert.com/news/five-mexican-banks-financial-groups-pesos-stolen
  5. lexology.comhttps://lexology.com/commentary/banking-financial-services/mexico/hogan-lovells-bstl-sc/numerous-cyberattacks-breach-banxicos-interbank-electronic-payments-system

Incidents liés

Exploitation de vulnérabilitéRésolu

Exposition de documents First American Financial

Une faille de référence directe à un objet non sécurisée (IDOR) sur le site web de First American Financial a exposé environ 885 millions de documents d'assurance-titre et de crédit immobilier — dont des numéros de sécurité sociale, des coordonnées bancaires et des images de permis de conduire — remontant à 2003, accessibles à quiconque sans authentification.

Victim
First American Financial Corporation
Loss
$1.5M
Records
885.0M
Exploitation de vulnérabilitéEn cours

Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Victim
Ivanti Sentry