La plateforme PayPal vient-elle de connaître un hack massif ? Depuis le 16 août 2025, un hacker opérant sous le pseudonyme Chucky_BF prétend détenir une base colossale de 15,8 millions d’emails et mots de passe associés à des comptes enregistrés sur la plateforme. Le cybercriminel aurait mis en vente ces informations sur une place de marché spécialisée, sans indiquer de tarif, attisant la curiosité des acheteurs autant que des experts en sécurité.
Tsunami ou coup d’épée dans l’eau ?
L’annonce a immédiatement suscité une inquiétude généralisée : si PayPal, dont les serveurs abritent des millions de transactions quotidiennes, avait réellement été infiltré, l’incident constituerait l’un des piratages les plus graves de ces dernières années. Pourtant, plusieurs éléments viennent relativiser — voire remettre en cause — la version des cybercriminels. Selon plusieurs spécialistes, il ne s’agirait pas d’un piratage au sens propre du terme, mais plutôt d’un recyclage de mots de passe volés via des malwares.
Given passwords definitely didn’t come from PayPal in plain text, they’ve either been obtained another way (info stealer, credential stuffing) or there’s another explanation for this claim 🤔 https://t.co/xmDyRaFbhL
— Troy Hunt (@troyhunt) August 16, 2025
Selon le chercheur en cybersécurité et fondateur de la plateforme Have I Been Pwned Troy Hunt, il est hautement improbable que PayPal ait été compromis directement. Sur la plateforme X, l’expert indique en effet que PayPal ne stocke pas de mots de passe en clair. Techniquement, les identifiants sont chiffrés de manière à ce qu’une fuite brute de ses mots de passe ne puisse pas provenir de ses serveurs.
Ainsi, il serait beaucoup plus vraisemblable que les données proviennent de malwares de type infostealers. Ces logiciels malveillants, infiltrés discrètement sur les ordinateurs et smartphones, sont capables de capturer à la source ce que saisit l’utilisateur, dont ses mots de passe PayPal. Selon les chiffres de l’entreprise Kaspersky, près de 10 millions d’appareils sont infectés chaque année par ce type de logiciel. Une fois collectées, les données circulent dans des bases revendues sur le marché noir et facilement recyclées par les hackers.
Credential stuffing
Autre hypothèse avancée : le cybercriminel disposerait d’une compilation de mots de passe issus d’autres piratages et simplement associés, par recoupement, à des adresses utilisées également sur PayPal. Cette méthode, connue sous le nom de credential stuffing, repose sur une réalité inquiétante : la majorité des internautes réutilisent les mêmes mots de passe sur plusieurs plateformes. Pour un pirate, une fuite chez un site de e-commerce peut donc se transformer en accès indirect à PayPal ou à d’autres services bancaires.
Si PayPal n’a pas confirmé – ni infirmé – l’existence de cette prétendue fuite, le danger reste tangible pour des millions d’utilisateurs. Un cybercriminel disposant d’un couple email/mot de passe valide pourrait théoriquement accéder à un compte, dans la limite des protections anti-fraude de PayPal. De là, il peut initier des transferts d’argent, effectuer des paiements, ou encore tester les identifiants sur d’autres services sensibles.
Les données revendues pourraient aussi servir à alimenter une nouvelle vague d’attaques automatisées. Les cybercriminels appliquent toujours la même logique : tester massivement et voir où ça passe.
Quelles précautions ?
En attendant une clarification officielle de PayPal, plusieurs précautions sont de mise : changer immédiatement son mot de passe PayPal, même si aucune anomalie n’est constatée, activer l’authentification à deux facteurs (2FA), surveiller ses relevés bancaires et ses transactions pour repérer toute activité suspecte, et diversifier ses mots de passe d’un service à l’autre, afin qu’une faille sur un site ne compromette pas toute son identité numérique.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
