PayPal se retrouve une nouvelle fois au cœur d’une polémique après la mise en vente sur le dark web de millions d’identifiants utilisateurs. Si l’entreprise évoque un incident ancien, l’authenticité et l’origine des données restent sujettes à débat. Les plateformes de paiement en ligne sont-elles si sécurisées que ça ?

PayPal victime d'une fuite majeure de mots de passe. ©PayPal
PayPal victime d'une fuite majeure de mots de passe. ©PayPal

Des millions d’identifiants PayPal, incluant adresses e-mail et mots de passe en clair, sont actuellement proposés à la vente sur le dark web. Baptisé « Global PayPal Credential Dump 2025 », ce fichier de 1,1 Go contiendrait les informations de 15,8 millions de comptes. Plusieurs médias spécialisés, dont Hackread et Cybernews, ont confirmé l’existence de cette base de données, qui circule pour la somme de 750 dollars.

PayPal minimise l'incident

PayPal a réagi en minimisant la portée de l’incident, affirmant que les données proviennent d’une attaque par credential stuffing (bourrage d'identifiants en masse) survenue en 2022. Cette méthode consiste à tester sur un service des identifiants volés sur d’autres plateformes, exploitant la réutilisation fréquente des mêmes mots de passe par les utilisateurs.

En janvier 2025, l’entreprise avait déjà été sanctionnée par les régulateurs américains à hauteur de 2 millions de dollars. En cause, des failles dans la protection des données personnelles de ses utilisateurs, telles que numéros de téléphone, adresses postales et numéros de sécurité sociale.

Le vendeur défend la fraîcheur des données

Le vendeur à l’origine de cette fuite conteste cette explication, affirmant que les données proviennent d’un incident survenu en mai 2025. Aucune communication officielle de PayPal ne mentionne pour l’instant une faille de sécurité à cette date.

Une telle dissonance soulève des questions sur l’origine réelle des informations : s’agit-il d’une réutilisation de données anciennes, ou d’une nouvelle faille, potentiellement liée à un malware conçu pour voler les identifiants stockés sur les appareils infectés ?

Il est impossible de vérifier l'authenticité des données sans avoir directement accès. Toutefois, cela rappelle une chose, il est important de vérifier la sécurité de vos comptes, surtout sur les applications de paiement en ligne, reliées à votre compte bancaire. Il est vivement recommandé d'opter pour un mot de passe complexe, avec au minimum 12 caractères, alternant majuscules, minuscules, chiffres, caractères spéciaux.

La double authentification est vivement recommandée. ©Alexandre Boero / Clubic
La double authentification est vivement recommandée. ©Alexandre Boero / Clubic

L'activation d'une double authentification est également très fortement recommandée, afin de valider la connexion. Aussi, un appareil de confiance est évidemment recommandé, comme pour la plupart des applications bancaires.

Source : NeoWin

À découvrir
Meilleur antivirus en 2025 : le comparatif complet
12 août 2025 à 14h21
Back to School