L'annonce a de quoi faire trembler : un cybercriminel prétend mettre en vente une base de données contenant les identifiants et mots de passe de près de 16 millions de comptes PayPal. Si la menace semble sérieuse, la thèse d'un piratage direct des serveurs de la plateforme de paiement est largement remise en question par les spécialistes. Entre véritable danger et coup de bluff d'un pirate, il est important de démêler le vrai du faux.
L'annonce du pirate : une "fuite massive" chez PayPal ?
Tout commence sur un forum de hackers, où un utilisateur du nom de "Chucky\_B" publie une offre de vente. Il affirme détenir 15,8 millions de paires d'adresses e-mail et de mots de passe en clair liés à des comptes PayPal du monde entier. Selon lui, ces informations proviendraient d'une "fuite massive" survenue chez PayPal en mai 2025. Pour l'heure, la société de paiement n'a pas confirmé une telle brèche dans ses systèmes.
La piste d'un piratage direct écartée par les experts
Cette version des faits a rapidement été mise en doute par plusieurs experts en cybersécurité, dont Troy Hunt, le créateur du célèbre site Have I Been Pwned. Selon lui, il est techniquement impossible que ces données proviennent d'un piratage direct des serveurs de PayPal. Il explique que « les mots de passe ne proviennent certainement pas de PayPal » en clair, car une entreprise de cette taille ne stocke jamais les mots de passe de ses clients sous une forme non chiffrée. Cette incohérence majeure suggère que l'origine des données est ailleurs.
D'où viennent réellement ces données ? Les autres hypothèses
Si les serveurs de PayPal n'ont pas été directement piratés, comment le hacker aurait-il pu obtenir ces informations ? Les experts privilégient plusieurs pistes :
- Les "infostealers" ou logiciels espions : Il s'agit de malwares qui infectent les ordinateurs des utilisateurs et volent les identifiants et mots de passe enregistrés directement dans leurs navigateurs. C'est aujourd'hui l'une des sources les plus courantes de fuites de données.
- Le "credential stuffing" : Le pirate a pu récupérer des listes d'identifiants provenant de fuites sur d'autres sites web (moins sécurisés) et simplement les tester pour voir lesquels fonctionnaient sur PayPal, profitant du fait que de nombreux utilisateurs réutilisent les mêmes mots de passe partout.
- Le piratage de sites e-commerce tiers : Des pirates peuvent injecter du code malveillant sur des sites de vente en ligne pour intercepter les informations de connexion PayPal au moment où un client effectue un paiement.
Quels sont les risques et comment se protéger ?
Même si la fuite ne provient pas directement de PayPal, le danger reste réel si les identifiants sont valides. Un pirate pourrait les utiliser pour se connecter à des comptes, effectuer des transactions ou les tester sur d'autres plateformes. Face à cette incertitude, la prudence est de mise. Il est vivement recommandé aux utilisateurs de changer leur mot de passe PayPal sans attendre, d'opter pour une phrase de passe unique et complexe, et surtout d'activer l'authentification à deux facteurs. Cette simple mesure de sécurité constitue la meilleure protection contre l'accès non autorisé à votre compte, même si votre mot de passe venait à être compromis.
