Le 18 août 2025, les médias spécialisés Hackread et CyberSecurityNews ont relayé une offre publiée sur un forum clandestin. Un acteur nommé « Chucky_BF » prétend vendre une base de données contenant plus de 15,8 millions d’emails et de mots de passe associés à PayPal. L’information n’est pas confirmée par l’entreprise, mais elle met en lumière les dangers persistants autour du piratage d’identifiants et des données bancaires, rapporte TopTribune.
Piratage de PayPal : une annonce qui soulève plus de questions que de certitudes
Selon Hackread, un fichier d’environ 1,1 Go est proposé à la vente pour 750 dollars américains. Ce lot inclurait des adresses et mots de passe en clair, ainsi que des liens vers les pages d’authentification de PayPal. Cependant, la véracité de ces données reste à confirmer et PayPal n’a pas rapporté de violation de ses systèmes.
De son côté, CyberSecurityNews indique que ces types de dumps peuvent résulter d’anciennes fuites, d’une réutilisation de mots de passe ou d’infections par des logiciels malveillants. Le spécialiste Troy Hunt souligne que PayPal n’aurait jamais gardé ses mots de passe en clair ; ces données proviendraient sans doute d’« info-stealers » ou d’attaques par credential stuffing. Cela rappelle qu’il est prudent de rester vigilant, car l’auteur de l’annonce pourrait exploiter la réputation de PayPal pour donner plus de poids à son offre.
Le contexte plus large des vols d’identifiants
Cette annonce s’inscrit dans une tendance générale où la circulation des données compromises est devenue courante sur des plateformes clandestines. En août 2025, The Register a rapporté l’existence de malwares conçus pour extraire identifiants et cookies des navigateurs des victimes. Ce genre d’outil alimente régulièrement les bases de données revendues sous des noms de services connus comme PayPal, même sans des piratages directs de ces systèmes.
Par ailleurs, des données récentes soulignent la vulnérabilité des mots de passe. D’après ITPro, environ 81 % des violations de sécurité liées aux hacks sont dues à des mots de passe faibles ou réutilisés. De plus, un mot de passe peu complexe peut être déchiffré en à peine trois minutes. Même sans faille confirmée chez PayPal, les utilisateurs restent exposés s’ils utilisent des identifiants vulnérables.
Quelles bonnes pratiques retenir pour les utilisateurs PayPal ?
Bien que la crédibilité de cette fuite reste en question, les recommandations en matière de cybersécurité sont évidentes. Changer son mot de passe PayPal pour une phrase de passe unique et activer l’authentification multifacteur sont des réflexes indispensables. Il est également conseillé d’utiliser un gestionnaire de mots de passe et de ne jamais réutiliser les identifiants sur plusieurs plateformes.
Les utilisateurs doivent aussi surveiller régulièrement l’activité de leur compte, configurer des alertes de transaction et garder un œil attentif sur leurs relevés bancaires. Ces pratiques, bien que simples, s’avèrent efficaces pour minimiser les impacts d’une éventuelle fuite. Enfin, l’adoption croissante des passkeys, qui sont plus résistantes au phishing et liées à des appareils spécifiques, représente une voie prometteuse pour réduire la dépendance aux mots de passe traditionnels.
