Afficher les titres Masquer les titres
Un cybercriminel, se présentant sous le pseudonyme “Chucky_B”, affirme avoir mis en vente 15,8 millions d’identifiants et mots de passe PayPal. Cette fuite massive, qui aurait eu lieu en mai 2025, ne manque pas d’entraîner de vives inquiétudes chez les utilisateurs du service de paiement en ligne. Vos données sont-elles réellement concernées ? Et surtout, comment vous protéger ? On vous donne plus de détails ici.
Une fuite massive… mais pas confirmée par PayPal
Selon 01Net et plusieurs médias spécialisés, le hacker propose cette base au prix dérisoire de seulement 750 dollars sur un forum clandestin. Un prix étonnamment bas compte tenu de la quantité des données compromises.
PayPal, de son côté, n’a pas confirmé ni démenti l’existence d’une nouvelle brèche. L’entreprise assure plutôt que certaines informations pourraient provenir d’un incident antérieur, survenu en 2022, et non d’une attaque récente.
Que contiendrait la base de données ?
Le hacker prétend que les informations en sa possession comprennent des adresses email (Gmail, Yahoo, Hotmail, etc.) associées à des mots de passe. Une situation pour le moins préoccupante si elle se révélait exacte. Toutefois, plusieurs spécialistes estiment très improbable que PayPal ait pu stocker ses mots de passe sans chiffrement.
À voirRetraités ciblés par de fausses aides : l’Agirc-Arrco met les points sur les iPour le chercheur en cybersécurité Troy Hunt, fondateur du site Have I Been Pwned, « les mots de passe ne proviennent certainement pas de PayPal ».
D’après lui, il est plus plausible que ces données aient été récupérées via des infostealers (malwares spécialisés dans le vol de données) ou par du credential stuffing, une méthode qui consiste à tester des identifiants volés sur plusieurs sites.
C’est « probablement un mélange de comptes valides et de données factices ou de test, comme c’est souvent le cas avec les bases revendues sur les forums ».
Quels sont les risques pour les utilisateurs ?
S’il y a vraiment fuite de données, les conséquences pourraient être sérieuses. Avec vos identifiants, les cybercriminels pourraient tenter d’accéder directement à votre compte PayPal, d’effectuer des paiements ou transferts frauduleux ou encore de tester les mêmes identifiants sur d’autres services en ligne, sachant que beaucoup d’internautes réutilisent leurs mots de passe.
À voirPlacements douteux, usurpations et escroqueries : la liste noire et blanche à consulter avant d’investirMême si PayPal dispose de systèmes anti-fraude avancés, le danger est là pour les utilisateurs peu vigilants.
Comment vérifier et se protéger ?
Vous pouvez utiliser Have I Been Pwned pour vérifier si vos identifiants figurent dans des bases de données piratées. Mais attention, l’absence de résultat ne veut pas forcément dire sécurité totale. Mieux vaut prévenir que guérir.
Voici les gestes à adopter immédiatement : changer votre mot de passe PayPal sans attendre, surtout s’il est réutilisé sur d’autres sites. Activer la double authentification pour sécuriser votre compte. Éviter de réutiliser le même mot de passe sur plusieurs plateformes et surveiller vos transactions récentes.
