Une alerte secoue la communauté cybersécurité : un pirate prétend vendre un dump « PayPal » contenant 15,8 millions d’identifiants en clair. Faut-il le croire ? Et quelles mesures de sécurité faut-il prendre immédiatement pour protéger son compte PayPal et sa banque ?
Paypal : alerte, 15,8 millions d’identifiants sont dans la nature
By
Published on 18 août 2025 13h29
81%81 % des intrusions liées au hacking proviennent de « mots de passe » faibles ou réutilisés
Lundi 18 août 2025, plusieurs médias spécialisés révèlent l’annonce d’un vendeur baptisé « Chucky_BF », qui affirme céder un lot intitulé « Global PayPal Credential Dump 2025 ». Cette possible fuite de données « PayPal » intervient alors que les attaques ciblant les informations d’accès explosent. Par conséquent, l’enjeu pour les utilisateurs PayPal est double : comprendre si l’alerte est crédible et appliquer sans délai des mesures de sécurité concrètes.
PayPal : que dit le pirate et comment interpréter le « dump » ?
Selon Hackread, le vendeur revendique « plus de 15,8 millions » de paires email/mot de passe en clair liées à PayPal. Par ailleurs, la description évoque des URL pointant vers des endpoints PayPal (par exemple /signin, /signup, /connect) et même des URI Android, ce qui faciliterait des attaques automatisées. Cependant, Hackread précise ne pas avoir pu vérifier l’authenticité du fichier, et note que « PayPal n’a pas confirmé l’incident ».
CyberSecurityNews détaille, de son côté, un poids d’environ 1,16 Go et rappelle que la mise en vente s’inscrit dans une dynamique de piratage orientée credential stuffing. Ainsi, si des identifiants PayPal recyclés ou réutilisés figurent dans ce dump, des tentatives massives de connexion sont probables. D’ailleurs, l’article cite le spécialiste Troy Hunt : « Étant donné que des mots de passe n’auraient certainement pas été stockés en clair par PayPal, ils ont soit été obtenus autrement (info-stealer, credential stuffing) soit il existe une autre explication. » Dans cette logique, la présence de « paypal » dans les URL au sein des échantillons ne prouve pas une intrusion chez PayPal ; elle peut simplement refléter des appareils infectés dont les navigateurs ont enregistré des mots de passe PayPal.
L’origine possible des données : fuite, piratage ou infostealer ?
La plausibilité d’un dump « PayPal » en clair doit être confrontée à la réalité des chaînes d’approvisionnement criminelles. D’abord, 2025 voit un usage intensif d’info-stealers qui siphonnent mots de passe, cookies et tokens directement sur les machines compromises. Ensuite, The Register a documenté le 18 août 2025 des packages malveillants visant des développeurs crypto, capables d’exfiltrer fichiers de mots de passe et identifiants sensibles ; ce mode opératoire illustre la facilité avec laquelle des millions de « données » d’accès peuvent être aspirées hors des systèmes des victimes. Par conséquent, un lot massivement étiqueté « PayPal » peut découler d’agrégations d’info-stealers et non d’un piratage des serveurs PayPal.
Surtout, l’actualité récente montre que les attaquants combinent ingénierie sociale et détournement d’outils légitimes pour voler des « données » sans brèche logicielle. Sans oublier qu’environ 81 % des intrusions liées au hacking proviennent de « mots de passe » faibles ou réutilisés : le cœur du risque n’est donc pas toujours un « piratage » d’infrastructure, mais souvent l’exploitation d’identifiants volés. En conséquence, l’« alerte » autour de PayPal doit être lue comme un signal de vigilance extrême sur l’hygiène d’authentification.
PayPal : mesures de sécurité immédiates pour vos comptes et votre banque
Première règle : agir vite sur son compte PayPal, même si l’« alerte » n’est pas confirmée. D’abord, changez le mot de passe PayPal vers une phrase longue et unique (au moins 14 caractères), puis révoquez les sessions actives et déconnectez les appareils. Ensuite, activez une authentification multifacteur robuste ; privilégiez l’application d’authentification ou, mieux, une clé de sécurité compatible passkeys, comme le recommandent désormais de nombreux acteurs de la cybersécurité. Par ailleurs, surveillez l’historique d’activité PayPal, et configurez des notifications de connexion et d’opérations pour recevoir toute « alerte » en temps réel.
Deuxième règle : assainir l’écosystème autour de PayPal, car la « sécurité » d’un compte dépend souvent du poste client. Ainsi, lancez un scan anti-malware complet pour éliminer tout infostealer de l’ordinateur et du mobile. De plus, mettez à jour le navigateur et désactivez l’enregistrement automatique des « mots de passe » dans le navigateur si vous utilisez un gestionnaire dédié.
En outre, vérifiez l’adresse e-mail associée à PayPal : si elle a été réutilisée ailleurs, changez aussi les « mots de passe » de ces services. Enfin, côté « banque », activez les alertes de transactions et passez en revue les derniers mouvements ; au moindre doute, contactez l’établissement pour bloquer les moyens de paiement ou renforcer les contrôles.