Skip to content
CBCyber Breaches
Recherche
Ingénierie socialeContenu

Braquage Pix chez C&M Software (Brésil, 2025)

Un développeur junior chez C&M Software — fournisseur autorisé par la Banque centrale pour la connectivité au système de paiement instantané Pix — a été payé environ 5 000 R$ pour livrer ses identifiants. Les attaquants ont utilisé cet accès pour vider environ 800 millions de R$ (148 millions de dollars) des comptes de réserve de six institutions financières brésiliennes en 2,5 heures.

Victime
C&M Software (fournisseur d'infrastructure de paiement Pix)
Perte
$148.0M
SecteurFinance
PaysBrésil

En juin 2025, C&M Software (CMSW) — un fournisseur basé à São Paulo, autorisé par la Banque centrale du Brésil à connecter les banques de moindre taille et les fintechs au système de paiement instantané Pix — a été compromis dans ce qui est désormais la plus grande cyberattaque contre le système financier de l'histoire brésilienne. En l'espace d'environ 2,5 heures, les attaquants ont vidé près de 800 millions de R$ (~148 millions de dollars) des comptes de réserve de six institutions financières.

Ce qui s'est passé

L'intrusion n'a pas commencé par une faille zero-day. Elle a commencé dans un bar : des membres d'un groupe criminel brésilien ont approché en personne un développeur junior de C&M Software et lui ont versé environ 5 000 R$ (~1 000 $) pour qu'il vende ses identifiants de connexion. Il a également accepté d'exécuter une petite série de commandes dans les systèmes de C&M pour permettre un accès distant persistant aux attaquants.

Avec ce point d'ancrage, le 30 juin 2025, les criminels ont lancé des centaines de transactions Pix frauduleuses visant les comptes de réserve que les banques connectées à C&M détiennent à la Banque centrale — les comptes les plus sensibles du système de paiement brésilien. Ils ont déplacé les fonds, de l'ordre de 800 millions de R$, à travers une chaîne rapide de comptes récepteurs jusque dans la cryptomonnaie.

La Banque centrale du Brésil a répondu en suspendant la connexion de C&M Software au SPB le lendemain, interrompant Pix via sa plateforme pour toutes les institutions en aval.

Impact

  • ~800 millions de R$ (148 M$) déplacés des comptes de réserve de six institutions financières en 2,5 heures.
  • Environ 160 millions de R$ récupérés grâce à une coordination rapide avec les plateformes d'échange de cryptomonnaies.
  • Connectivité SPB de C&M Software suspendue, interrompant la disponibilité de Pix pour tous les clients qui en dépendaient.
  • Plusieurs arrestations de ressortissants brésiliens ; l'opération a été évaluée comme étant celle d'un groupe criminel domestique d'au moins cinq membres disposant d'une connaissance approfondie et professionnelle du Système de paiement brésilien.

Pourquoi c'est important

Les systèmes de paiement les plus rapides du monde — Pix, l'UPI indien, le SEPA instantané européen — sont conçus pour se régler en secondes. Cette même rapidité comprime la fenêtre de braquage d'un attaquant de jours à minutes. C&M Software illustre l'autre conséquence : la sécurité d'un rail de paiement national dépend non seulement des systèmes de la banque centrale, mais aussi de chaque fournisseur de connectivité de la chaîne, y compris celui dont le développeur junior peut être retourné pour 5 000 R$.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
148.0M
USD · 148 000 000 $US
  • Perte d’exploitation$148.0M

Chronologie

  1. Un groupe criminel identifie et approche un développeur junior de C&M Software dans un bar ; le développeur accepte de vendre ses identifiants de connexion pour environ 5 000 R$.

  2. Les attaquants exécutent des commandes au sein de C&M Software pour activer un accès distant ; des centaines de transactions Pix frauduleuses sont lancées en environ 2,5 heures, vidant ~800 millions de R$ (148 M$) des comptes de réserve de six institutions financières.

  3. La Banque centrale du Brésil suspend la connexion de C&M Software au Système de paiement brésilien (SPB), interrompant les opérations Pix via sa plateforme pour toutes les institutions clientes.

  4. Les enquêteurs retracent environ 160 millions de R$ blanchis via des plateformes d'échange de cryptomonnaies ; une coordination rapide permet de récupérer une partie des fonds volés.

  5. Les autorités fédérales brésiliennes arrêtent plusieurs membres du groupe criminel, l'identifiant comme une opération domestique d'au moins cinq personnes disposant d'une expertise approfondie du SPB.

Sources

  1. blog.lacnic.nethttps://blog.lacnic.net/en/the-perfect-storm-the-largest-cyberattack-on-brazils-financial-system/
  2. bankinfosecurity.comhttps://www.bankinfosecurity.com/hackers-grab-130m-using-brazils-real-time-payment-system-a-29352
  3. segura.securityhttps://segura.security/post/cyberattack-on-brazils-payment-system-technical-analysis-timeline-risks-and-mitigation/
  4. globalgovernmentfinance.comhttps://www.globalgovernmentfinance.com/brazil-central-bank-financial-system-security-pix-cyberhacks/

Incidents liés

RançongicielContenu

Arrêt mondial de production chez Jaguar Land Rover (Scattered Lapsus$ Hunters, 2025)

Une cyberattaque contre le plus grand constructeur automobile britannique a contraint JLR à couper son réseau informatique mondial et a interrompu la production de véhicules au Royaume-Uni, en Chine, en Slovaquie, en Inde et au Brésil pendant cinq semaines — désormais considérée comme l'incident cyber le plus économiquement dommageable de l'histoire du Royaume-Uni.

Victim
Jaguar Land Rover
Loss
$2.40B
AutreInconnu

Fuite chez Intersport

3.4 millions n° de transaction n° de facture n° de référence PayPal code de transaction date de début / date de fin de la transaction transaction débitée ou créditée montant brut de la transaction n° de compte du payeur pseudo de l’acheteur adresse de livraison et de facturation identifiant utilisateur nom et prénom, source de paiement numéro de la carte de fidélité

Victim
Intersport