Pour un tiers du prix, il proposait des comptes numériques pour faire du shopping ou manger au restaurant. C’est la méthode tentante et malhonnête imaginée par cet étudiant. Ce garçon, âgé de 23 ans, a été interpellé mardi 3 décembre 2024 dans une résidence universitaire de Marseille (Bouches-du-Rhône). Il est soupçonné d’avoir piraté la société Pluxee à Paris, en Île-de-France et en province avant de vendre, depuis un peu moins d’un an, des titres de paiement dématérialisés sur une chaîne Telegram.
L’affaire remonte à janvier dernier lorsque la société Pluxee, filiale de Sodexo dont le siège est dans le 9e arrondissement de la capitale, avait subi une série d’attaques informatiques. « Le hacker s’attaque à son application de gestion de titres-restaurant dématérialisés », explique une Source proche du dossier. Le système permet aux employeurs de financer les cartes de crédit qui sont remises à leurs salariés pour sortir manger le midi, faire du sport ou faire des achats. Ces clés plastifiées peuvent être utilisées dans un réseau de commerçants et restaurateurs.
Contactée ce jeudi, l’entreprise qui emploie 750 salariés et s’appuie sur 240 000 commerçants partenaires ne souhaite pas dévoiler ses dégâts. Elle précise que « la sécurité, sous toutes ses formes, est une priorité. Et d’ajouter qu’elle “met en œuvre toutes les mesures nécessaires pour assurer la confidentialité des données, l’intégrité des systèmes, et protéger les informations de ses clients et bénéficiaires”.
La police a appris lorsque la victime a porté plainte que 4 000 comptes d’utilisateurs avaient été compromis lors de la cyberattaque. Autant de petites sommes versées par les employeurs sur les cartes de leurs salariés. L’arnaqueur 2.0 les revend au tiers de leur valeur sur une chaîne Telegram qui porte le même nom que l’entreprise parisienne. « Par exemple, il était possible d’acheter l’équivalent de 100 euros pour 33 euros », explique une Source proche du dossier.
Des agents du BL2C, service cybercriminalité de la police judiciaire de Paris, suivent la trace laissée par l’administrateur du compte. Ils identifient le jeune suspect qui aurait agi seul. Ce geek, inconnu de la police, est placé en garde à vue dans les locaux de la PJ pour « escroquerie et introduction dans un système de traitement automatisé de données ». Lors des audiences, l’escroc présumé a reconnu intégralement les faits. « Il cherchait à minimiser ses profits, qui pouvaient atteindre des centaines de milliers d’euros », explique une Source proche du dossier. Lors des perquisitions, aucun bien de valeur ni aucun argent n’ont été saisis. Il a été libéré et sera convoqué devant le tribunal en janvier prochain.
Related News :