Les inquiétudes concernant un éventuel piratage des données de PayPal augmentent après l’apparition, le 16 août, d’un message sur une place de marché du dark web proposant à la vente les identifiants de connexion de 15,8 millions d’utilisateurs de PayPal. L’acteur de la menace, nommé Chucky-BF, a posté ce qu’il a décrit comme “Global PayPal Credential Dump 2025”. Les données comprendraient les adresses électroniques de connexion et les mots de passe en texte clair de près de 16 millions d’utilisateurs de PayPal, selon le pirate.

Le post du dark web annonce près de 16 millions d’identifiants PayPal à vendre, laissant croire que PayPal a été piraté en 2025. Image : Cybernews.

PayPal a nié la violation de données et son représentant a déclaré à Cybernews que le message concernait un incident survenu en 2022. S’il n’est pas encore confirmé que PayPal a été piraté, les affirmations ne peuvent pas non plus être vérifiées de manière indépendante en raison de la taille trop réduite de l’échantillon de données. Des experts ont également déclaré qu’ils ne pensaient pas que PayPal ait été victime d’une violation de données, mais que les informations auraient pu être obtenues ailleurs, par exemple au moyen d’un logiciel malveillant de type “infostealer”. Dans ce cas, les informations d’identification auraient été extraites directement des appareils des utilisateurs, ce qui expliquerait que la structure de l’ensemble de données corresponde aux journaux connus des voleurs d’informations. En outre, les données sont vendues à bas prix, ce qui suggère que les informations d’identification ne proviennent pas d’une nouvelle fuite.

Toutefois, il importe peu que ce piratage de données ait eu lieu récemment ou dans le passé. Les comptes bancaires en ligne de millions d’utilisateurs de PayPal sont désormais menacés.

Turn ON Privacy in one click.

Get

Piratage de PayPal : Ce que l’on sait

L’auteur du piratage, connu sous le nom de Chucky-BF, affirme que les données ont été collectées en mai 2025 et qu’elles contiennent les données sensibles de comptes PayPal du monde entier. Il est inquiétant de constater que des millions d’informations d’identification d’utilisateurs seraient à vendre, mais ce qui rend la situation encore plus menaçante, c’est le type de données qui seraient à vendre.

Il s’agit notamment des utilisateurs de PayPal :

• Adresses électroniques de connexion

• Mots de passe en texte clair

• Les URL associées aux services PayPal

• Variantes

Si le dumping de données mis en vente se confirme, les comptes PayPal risquent de faire l’objet d’un accès non autorisé et d’activités malveillantes. Non seulement cela affectera un grand nombre de comptes PayPal, mais un autre problème est que la violation pourrait conduire à une compromission supplémentaire de l’identité numérique d’un utilisateur, par exemple en conduisant à l’usurpation d’identité, à la fraude financière et à la revente de comptes d’utilisateurs. Par exemple, si un utilisateur possède les mêmes identifiants de connexion pour plusieurs comptes, une attaque par bourrage d’identifiants avec les données PayPal acquises pourrait permettre à des acteurs malveillants d’accéder à d’autres comptes en ligne de l’utilisateur.

La plus grande menace pour les utilisateurs est d’utiliser le même mot de passe pour leur compte de messagerie et pour PayPal. Si PayPal exige aujourd’hui une authentification à deux facteurs (et devrait donc être assez sûr malgré ce piratage), ce n’est pas le cas de la plupart des fournisseurs de courrier électronique. En achetant un ensemble de données composé d’adresses électroniques et de mots de passe PayPal, les attaquants malveillants peuvent désormais vérifier si les mots de passe PayPal fonctionnent également sur les comptes de courrier électronique mentionnés. De cette manière, ils peuvent prendre le contrôle non seulement du compte de courrier électronique de la victime, mais aussi d’autres comptes associés à son adresse de courrier électronique grâce à la fonction de réinitialisation du mot de passe par courrier électronique, qui est très répandue.

C’est pourquoi Tuta Mail recommande vivement l’utilisation de l’authentification à deux facteurs, de préférence avec U2F, car c’est la méthode la plus sûre.

Turn ON Privacy in one click.

Get

En bref

Pour l’instant, il n’est pas certain qu’il s’agisse du pire piratage PayPal de l’histoire. Mais que ce piratage soit réel ou non, vous devez réinitialiser votre mot de passe PayPal avec un code fort d’ au moins 16 caractères. C’est un moyen simple et facile de protéger vos comptes en ligne contre les menaces potentielles et les fuites de données. Et pour une sécurité de connexion encore meilleure, nous vous recommandons d’utiliser U2F comme authentification à deux facteurs pour protéger votre connexion à PayPal. Ainsi, vous n’aurez pas à vous inquiéter d’un éventuel piratage de PayPal qui ferait la une de l’actualité. Si vous pensez que votre compte PayPal ou tout autre compte en ligne a été compromis, vous pouvez vérifier s’ils ont été piratés ou non grâce à ces conseils.

Prenez des mesures supplémentaires pour garantir la sécurité de vos comptes en ligne :

• Utilisez un gestionnaire de mots de passe pour stocker et créer facilement des mots de passe forts.

• Utilisez des alias de courrier électronique pour protéger votre identité et ne communiquez pas votre adresse électronique principale.

• Soyez prudent lorsque vous cliquez sur des liens, en particulier dans les courriels qui pourraient être des hameçonnages.

• Lorsqu’il s’agit de communiquer en ligne par courrier électronique ou par messages instantanés, assurez-vous que vos communications sont sécurisées par un cryptage de bout en bout.

Foire aux questions

PayPal a-t-il été piraté en 2025 ?

PayPal n’a jamais déclaré avoir été victime d’un piratage, et rien ne prouve que l’infrastructure interne de PayPal ait été piratée. En 2025, des pirates informatiques affirment avoir réussi à récupérer les identifiants de connexion d’environ 16 millions d’utilisateurs de PayPal dans le monde entier. PayPal a nié que les données divulguées provenaient d’un piratage récent. Les experts en sécurité pensent que ces identifiants de connexion ont probablement été récupérés directement auprès des utilisateurs de PayPal par le biais d’un logiciel malveillant de type “infostealer”.

PayPal a-t-il été piraté en 2024 ?

Bien que les comptes des utilisateurs individuels de PayPal aient pu être piratés par différents types de méthodes de piratage, comme les attaques par hameçonnage ou l’utilisation de mots de passe faibles, PayPal, en tant qu’entreprise, n’a pas été piratée en 2024, selon les déclarations officielles.

PayPal a-t-il subi des violations de données ?

PayPal n’a jamais été victime d’une violation directe de données visant ses propres systèmes internes, mais elle a connu des incidents de sécurité. Cela signifie que les informations acquises n’ont jamais été extraites directement de l’entreprise, mais sous d’autres formes.

En 2022, PayPal a été victime d’une violation de données au cours de laquelle des attaquants malveillants ont accédé à environ 35 000 comptes d’utilisateurs par le biais d’attaques de bourrage d’informations d’identification. Ce piratage a été rendu possible par une faille de sécurité dans PayPal. Par conséquent, le piratage de 2022 est le pire piratage de PayPal de l’histoire. Début 2025, le géant technologique de la Silicon Valley a été condamné à payer une amende civile de 2 millions de dollars en raison des failles de cybersécurité qui ont rendu ce piratage possible. Cette violation a exposé 35 000 données personnelles d’utilisateurs, dont des noms, des adresses, des numéros d’identification fiscale et des numéros de sécurité sociale.