Selon Cybernews, 15,8 millions d’identifiants PayPal ont été compromis, et sont en ce moment proposés à la vente sur un site spécialisé du Dark Web.
L’individu derrière cette annonce, qui se présente sous le pseudonyme Chycky_B, explique que le lot contient des adresses e-mail, des mots de passe en clair et d’autres formes d’identifiants, comme des URL associées qui peuvent pointer vers d’autres services liés au compte PayPal en question.
Il affirme aussi avoir mis la main sur ce pactole le 6 mai dernier, à l’occasion d’une « fuite massive ». Mais cette revendication a fait froncer quelques sourcils du côté des experts en cybersécurité. C’est notamment le cas de Troy Hunt, l’individu derrière la célèbre plateforme Have I Been Pwned (un site qui permet de vérifier si vos identifiants ont déjà été inclus dans une fuite de données).
🚨Cyber Alert – PayPal‼️
Do you have a PayPal account? It might be time to change your password.
A threat actor using the alias "Chucky_BF" claims to be selling 15.8 million email and plaintext password pairs linked to PayPal accounts worldwide.
The authenticity of this claim… pic.twitter.com/oRz9J1BESC
— Hackmanac (@H4ckmanac) August 16, 2025
Une origine peu claire
Selon lui, PayPal n’a sans doute pas été piraté directement ; il suggère que les auteurs ont sans doute eu recours à des méthodes détournées, comme des infostealers. Ce terme fait référence à des chevaux de Troie qui, comme leur nom l’indique, sont spécialisés dans le siphonnage de données personnelles sur le long terme.
Il évoque aussi une autre piste : le credential stuffing, ou bourrage d’identifiants en français. Cette pratique consiste à récupérer des identifiants qui ont déjà émergé dans d’autres fuites, puis à les tester sur une nouvelle plateforme (en l’occurrence PayPal) pour exploiter le fait que de nombreux internautes utilisent les mêmes mots de passe pour plusieurs services.
Pour finir, il suggère aussi que l’auteur aurait pu copier la méthode signature de Magecart, un collectif de pirates qui s’est fait connaître en injectant du code malveillant dans les plateformes de paiement ou d’authentification de sites d’e-commerce.
PayPal, de son côté, ne semble pas inquiet. L’entreprise, citée par CyberNews, affirme que personne ne s’est infiltré dans ses serveurs, et que les données en question sont associées à un incident survenu en 2022 – une date suffisamment lointaine pour rendre la majorité des identifiants obsolètes.
Il est malheureusement impossible de vérifier ces information, d’un côté comme de l’autre, sans avoir accès aux données brutes. Par conséquent, nous ne pouvons que vous conseiller de changer vos identifiants dans les plus brefs délais, ne serait-ce que par principe de précaution — surtout si vous n’avez jamais pris le temps d’activer les mesures de sécurité complémentaires, comme l’authentification à deux facteurs.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
