Une «fuite massive» de données survenue en mai dernier aurait permis à un cybercriminel de voler 15,8 millions d’identifiants et de mots de passe PayPal. Voici ce qu'il faut faire si vous êtes concerné.
Un vol de données des plus conséquents. Pas moins de 15,8 millions d'identifiants et de mots de passe liés à des comptes PayPal auraient été dérobés par le cybercriminel présumé «Chucky_B». Il mettrait désormais cette base de données, d'une taille de 1,1 Go, en vente pour 750 dollars (environ 645 euros) sur un forum de pirates informatiques.
Ces informations proviendraient d'une «fuite massive» survenue en mai dernier, incluant des adresses mail associées à des domaines comme Gmail, Yahoo et Hotmail. Ces dernières pourraient être utilisées pour accéder à d'autres services en ligne.
Cyber Alert - PayPal‼️
Do you have a PayPal account? It might be time to change your password.
A threat actor using the alias "Chucky_BF" claims to be selling 15.8 million email and plaintext password pairs linked to PayPal accounts worldwide.
The authenticity of this claim… pic.twitter.com/oRz9J1BESC— Hackmanac (@H4ckmanac) August 16, 2025
Bien que la plate-forme n'ait pas confirmé l'information, des transactions frauduleuses, des tentatives de connexion suspectes ou des modifications inattendues de vos informations de compte PayPal peuvent révéler un piratage.
Dans ce cas, il est vivement recommandé de changer immédiatement de mot de passe, et d'activer la double authentification, ou, encore mieux, une «passkey» – clé numérique unique liée à votre appareil (smartphone, ordinateur, tablette) et à votre compte.
Signalez rapidement toute activité suspecte à la plate-forme, via le Centre de résolution, mais également à votre banque ou l'établissement financier associé au compte PayPal.
Si vous n'avez pas décelé d'anomalie, vous pouvez tout de même vous assurer que vos identifiants n'ont été exposés sur le site «Have I Been Pwned», qui détecte si une adresse mail figure dans des bases de données issues de fuites connues. Il est même possible d'y activer une alerte automatique en cas de future exposition.
Un accès direct aux serveurs PayPal improbable
Le fondateur Troy Hunt a, quant à lui, estimé que les mots de passe compromis «ne proviennent certainement pas de PayPal». Tout comme Zataz, le blog spécialisé dans la sécurité, qui a jugé «hautement improbable une extraction directe des serveurs de l'entreprise, connue pour ne pas stocker les mots de passe en clair».
Selon l'expert en sécurité informatique, ils auraient plutôt été volés par des «infostealers», des logiciels malveillants spécialisés dans le vol de données. De plus en plus répandus dans le monde, ils sont impliqués dans une grande partie des cyberattaques récentes.
Given passwords definitely didn’t come from PayPal in plain text, they’ve either been obtained another way (info stealer, credential stuffing) or there’s another explanation for this claim https://t.co/xmDyRaFbhL
— Troy Hunt (@troyhunt) August 16, 2025
D'après le spécialiste de la cybersécurité Kaspersky, près de dix millions d'appareils sont infectés par ce type de virus chaque année. Zataz a considéré cette explication, comme «la plus plausible».
Pour Troy Hunt, le pirate pourrait également avoir collecté des mots de passe déjà compromis associés à d'autres services en ligne, ou les données ont pu être volées via des sites e-commerce piratés.
En effet, certaines organisations criminelles sont connues pour insérer du code malveillant dans ces sites afin d'intercepter en direct les informations saisies par les clients, à l'instar d'adresses mail, de mots de passe, ou de coordonnées bancaires, lors des transactions.
Zataz a finalement révélé que «Chucky_B» serait en réalité un usurpateur ayant repris l'identité d'un pirate disparu, ce qui remet sa crédibilité en question.