PayPal révèle avoir été victime d’une fuite de données. Pendant près de six mois, des données sensibles de clients, dont des numéros de sécurité sociale, ont été collectées par des pirates. La faille a conduit à des transactions frauduleuses.
En décembre 2025, PayPal a découvert une faille dans son application PayPal Working Capital (PPWC). L’application permet aux entreprises qui vendent des biens ou des services sur PayPal de contracter des prêts, en fonction des ventes enregistrées sur la plateforme. L’entreprise rembourse alors le prêt avec ses futures ventes PayPal, sans date fixe ni pénalités. L’offre est disponible dans une poignée de pays, y compris en France depuis 2022.
Le service de paiement s’est rendu compte qu’une mise à jour de l’application, déployée en juillet 2025, avait introduit une vulnérabilité. Exploité par un pirate, ce bug logiciel a exposé les données des personnes qui ont demandé un prêt sur PayPal, comme le nom, l’adresse e‑mail, le numéro de téléphone, l’adresse professionnelle, le numéro de sécurité sociale et la date de naissance.
À lire aussi : 184 millions de mots de passe piratés – des identifiants Apple, Facebook, Google, et Microsoft ont été exposés
Des données exposées pendant des mois
Les données ont été exposées pendant près de six mois, avant que PayPal déploie un correctif. Selon le communiqué mis en ligne par PayPal, la fuite a permis à « des personnes non autorisées » de consulter ces informations confidentielles. PayPal « a depuis annulé la modification du code à l’origine de cette erreur, qui a potentiellement exposé les informations personnelles ». Un « petit nombre de clients » est concerné, indique le service américain, sans communiquer sur le nombre exact de victimes.
Peu après la découverte de cette violation, PayPal a découvert que des cybercriminels avaient exploité les données volées. Des « transactions non autorisées » ont été identifiées sur les comptes d’une partie des clients touchés. En réaction, PayPal a remboursé toutes les victimes.
Par mesure de sécurité, PayPal a réinitialisé les mots de passe de tous les comptes affectés par la fuite. L’entreprise s’est aussi engagée à offrir deux ans de surveillance de crédit chez Equifax, un service qui surveille en continu les fichiers de crédit, aux personnes concernées. Nous « n’avons pas retardé cette notification en raison d’une quelconque enquête des forces de l’ordre », assure PayPal, qui « demande à ses clients de rester vigilant et à vérifier les informations de votre compte, votre historique de transactions et vos rapports de crédit gratuits afin de détecter toute activité suspecte ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.