15,8 millions d’identifiants et de mots de passe PayPal auraient été compromis. Un cybercriminel prétend avoir mis la main sur une quantité monstrueuse de données permettant de se connecter à des comptes PayPal à la suite d’une « fuite massive ». Les experts en cybersécurité mettent en doute cette version et soupçonnent plutôt l’usage d’infostealers, ces malwares spécialisés dans le vol de données personnelles.
PayPal aurait été victime d’une vaste fuite de données. Un cybercriminel caché sous le pseudonyme « Chucky_B » prétend avoir dérobé 15,8 millions de mots de passe liés à des comptes PayPal, rapporte le compte Hackmanac sur X. Sur une plateforme dédiée aux pirates, le hacker indique que les informations compromises sont actuellement en vente au plus offrant. Le vendeur ne communique pas de prix dans son annonce.
🚨Cyber Alert – PayPal‼️
Do you have a PayPal account? It might be time to change your password.
A threat actor using the alias “Chucky_BF” claims to be selling 15.8 million email and plaintext password pairs linked to PayPal accounts worldwide.
The authenticity of this claim… pic.twitter.com/oRz9J1BESC
— Hackmanac (@H4ckmanac) August 16, 2025
Le cybercriminel affirme que les données proviennent d’une « fuite massive PayPal » survenue en mai 2025. La base de données contiendrait à la fois des mots de passe et des adresses mail de connexion à des comptes PayPal. On y trouverait notamment des adresses liées à des domaines comme @gmail.com, @yahoo.com, ou encore @hotmail.com.
Pour le moment, PayPal n’a pas confirmé ou infirmé l’existence d’une fuite de données. Contacté par nos soins, le service de paiement américain n’a pas encore répondu à nos demandes. Nous mettrons à jour cet article ultérieurement dès que nous obtiendrons une réponse.
À lire aussi : Fuite de données chez Google – 2,55 millions d’informations ont été piratées
Le mystère de l’origine des données volées
Troy Hunt, le chercheur en sécurité à l’origine de Have I Been Pwned, le site open source qui permet à tous les internautes de vérifier si leurs données personnelles sont en sécurité, a évoqué l’affaire sur son compte X. Il assure que les « mots de passe ne proviennent certainement pas de PayPal ».
Selon lui, le service de paiement n’a pas été piraté. L’expert indique que les données pourraient avoir été récupérées par des infostealers, des malwares spécialisés dans le vol de données. De plus en plus répandu dans le monde, ils sont impliqués dans une grande partie des cyberattaques récentes. Selon Kaspersky, près de dix millions d’appareils sont infectés par des virus de cet acabit tous les ans.
Given passwords definitely didn’t come from PayPal in plain text, they’ve either been obtained another way (info stealer, credential stuffing) or there’s another explanation for this claim 🤔 https://t.co/xmDyRaFbhL
— Troy Hunt (@troyhunt) August 16, 2025
Pour Troy Hunt, il est possible que le pirate ait simplement recensé des mots de passe compromis liés à d’autres services en ligne. Enfin, le chercheur estime que les données ont pu être dérobées par des sites e-commerce compromis. Certains groupes criminels sont en effet connus pour injecter du code malveillant dans les sites pour intercepter en temps réel les infos saisies par les clients (emails, mots de passe, cartes bancaires) au moment du paiement.
Si la fuite se confirme, de nombreux utilisateurs de PayPal sont potentiellement en danger. Avec les identifiants et les mots de passe, un pirate est susceptible de se connecter à leur compte et de réaliser des paiements et des transferts d’argent à leur insu. Pour arriver à ses fins, le hacker doit néanmoins passer les mécanismes anti-fraude de PayPal, avec des logiciels pirates dédiés.
Par ailleurs, les cybercriminels pourraient se servir des données compromises pour tenter de se connecter à d’autres plateformes. Les pirates sont bien conscients que de nombreux utilisateurs recyclent leurs mots de passe pour sécuriser de nombreux comptes en ligne. C’est pourquoi ils tentent toujours leur chance sur plusieurs sites avec les mêmes données. Par mesure de précaution, on vous recommande de changer votre mot de passe PayPal sans attendre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.