Des utilisateurs de PayPal ont reçu ces derniers jours un courrier électronique les informant d’une fuite de données. L’incident concerne l’application PayPal Working Capital (PPWC), un service qui permet aux petites entreprises d’accéder rapidement à des financements.
Une centaine de clients concernés
Selon des notifications datées du 10 février, une erreur introduite dans le code de cette application a rendu accessibles des informations personnelles entre le 1er juillet et le 12 décembre 2025. PayPal indique avoir identifié le problème le 12 décembre et avoir annulé la modification logicielle à l’origine de l’exposition dès le lendemain, mettant fin à l’accès non autorisé.
Dans ses lettres aux clients concernés, l’entreprise précise que « les informations personnelles identifiables d’un petit nombre de clients ont été exposées à des individus non autorisés » durant cette période. Les données potentiellement consultées incluent : nom et prénom ; adresse e-mail ; numéro de téléphone ; adresse professionnelle ; numéro de sécurité sociale ; date de naissance.
Des informations particulièrement sensibles, en particulier les numéros de sécurité sociale aux États-Unis, qui peuvent être exploitées pour des tentatives d’usurpation d’identité. PayPal reconnaît également que « quelques clients ont subi des transactions non autorisées » en lien direct avec cet incident. Le nombre exact n’est pas précisé, mais l’entreprise assure avoir procédé à des remboursements.
Après la révélation de l’affaire, un porte-parole de PayPal a tenu à clarifier la situation. « Lorsqu’il existe une exposition potentielle d’informations clients, PayPal est tenu d’en informer les personnes concernées. Dans ce cas, les systèmes de PayPal n’ont pas été compromis », affirme l’entreprise, ajoutant qu’environ 100 clients seraient concernés.
La formulation peut surprendre. Les notifications envoyées aux utilisateurs évoquent en effet la « résiliation de l’accès non autorisé aux systèmes PayPal », ce qui laisse entendre qu’un acteur externe a bel et bien pu consulter des données internes. PayPal insiste toutefois sur le fait qu’il ne s’agirait pas d’une intrusion classique, mais de la conséquence d’une erreur logicielle.
Les comptes touchés ont quoi qu’il en soit eu droit à une réinitialisation de leurs mots de passe. Les utilisateurs concernés devront donc créer de nouveaux identifiants lors de leur prochaine connexion. L’entreprise invite tous ses clients à surveiller leurs relevés et leurs historiques de transactions, et rappelle qu’elle ne demande « jamais » de mot de passe, de code d’authentification à usage unique ou d’autres informations sensibles par téléphone, SMS ou e-mail. Une précaution classique après ce type d’annonce, les tentatives de hameçonnage se multipliant souvent dans la foulée.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
