Fuite massive chez PayPal, des milliers de comptes piratés

Selon les informations communiquées par PayPal, les pirates ont utilisé une technique bien connue des spécialistes en cybersécurité : "credential stuffing" ou bourrage d'identifiants. Cette méthode consiste à utiliser des combinaisons de noms d'utilisateur et de mots de passe volés sur d'autres sites pour tenter de se connecter à des comptes PayPal, exploitant ainsi la mauvaise habitude qu'ont de nombreux internautes d'utiliser les mêmes identifiants sur plusieurs plateformes.

Cette faille a touché des milliers de comptes. Les pirates ont procédé à des transferts non autorisés, d'un montant d'environ 500 euros, causant de nombreux préjudices financiers aux utilisateurs concernés. Face à cette situation PayPal a immédiatement activé un protocole de sécurité et imposé une réinitialisation de mot de passe à tous les utilisateurs dont les comptes ont été compromis. Cette mise à jour de sécurité est actuellement déployée sur l'ensemble des appareils, des smartphones aux ordinateurs de bureau.

Une faille logicielle vieille de six mois

Mais l'incident ne s'arrête pas là. Parallèlement à cette attaque par bourrage d'identifiants, PayPal a révélé une autre brèche, bien plus préoccupante par la nature des données exposées. Celle-ci concerne spécifiquement PayPal Working Capital (PPWC), un service destiné aux petites entreprises pour leur permettre d'accéder rapidement à des financements. Selon des notifications envoyées aux clients le 10 février, une erreur introduite dans le code de cette application a rendu accessibles des informations personnelles pendant près de six mois, du 1er juillet au 12 décembre 2025. Ce n'est que le 12 décembre que PayPal a identifié le problème et annulé la modification logicielle à l'origine de l'exposition, mettant fin à l'accès non autorisé dès le lendemain.

Dans ses lettres aux clients concernés, l'entreprise précise que "les informations personnelles identifiables d'un petit nombre de clients ont été exposées à des individus non autorisés" durant cette période.

Des données ultrasensibles exposées

La nature des données exposées est particulièrement alarmante. Selon les informations confirmées par PayPal, les pirates ont pu potentiellement consulter :

- les noms et prénoms des utilisateurs

- leurs adresses e-mail

- leurs numéros de téléphone

- leurs adresses professionnelles

- leurs dates de naissance

- leurs numéros de sécurité sociale

Cette dernière information est de loin la plus sensible. Aux États-Unis, le numéro de sécurité sociale (Social Security Number) est la clé d'accès à l'identité d'une personne. Il permet notamment d'ouvrir des comptes bancaires, de souscrire des crédits ou encore de percevoir des prestations sociales. Son exposition expose les victimes à des risques majeurs d'usurpation d'identité, dont les conséquences peuvent être dévastatrices et s'étendre sur plusieurs années.

PayPal reconnaît d'ailleurs que "quelques clients ont subi des transactions non autorisées" en lien direct avec cet incident, sans toutefois préciser le nombre exact de victimes. L'entreprise assure avoir procédé aux remboursements nécessaires.

PayPal minimise, mais les inquiétudes persistent

Face à la gravité de l'incident, PayPal tente de calmer le jeu. Un porte-parole de l'entreprise a tenu à clarifier la situation, affirmant que "les systèmes de PayPal n'ont pas été compromis". Une déclaration pour le moins paradoxale, alors que des données sensibles ont bel et bien été exposées pendant six mois. L'entreprise ajoute qu'environ 100 clients seraient concernés par cette fuite. Un chiffre volontairement rassurant, mais difficile à vérifier indépendamment. Les comptes touchés ont quoi qu'il en soit fait l'objet d'une réinitialisation de leurs mots de passe, obligeant les utilisateurs concernés à créer de nouveaux identifiants lors de leur prochaine connexion.

Dans ses communications, PayPal invite tous ses clients à surveiller attentivement leurs relevés et leurs historiques de transactions. Une précaution classique après ce type d'annonce, mais plus que jamais nécessaire. L'entreprise rappelle également qu'elle ne demande "jamais" de mot de passe, de code d'authentification à usage unique ou d'autres informations sensibles par téléphone, SMS ou e-mail. Une mise en garde cruciale, car les tentatives d’hameçonnage (phishing) se multiplient souvent dans la foulée de ce genre d'incidents, des pirates profitant de la confusion pour tenter d'extorquer davantage d'informations aux utilisateurs.

Les leçons d'une crise

Cet incident chez PayPal soulève plusieurs questions fondamentales sur la sécurité des transactions en ligne. Alors que les paiements numériques connaissent une croissance exponentielle, la protection des données personnelles et financières des utilisateurs devient un enjeu majeur. La technique du bourrage d'identifiants, utilisée lors de la première attaque, rappelle l'importance cruciale de l'hygiène numérique de base : utiliser des mots de passe différents pour chaque service, activer l'authentification à deux facteurs, et changer régulièrement ses identifiants.

Quant à la faille logicielle ayant exposé des données aussi sensibles que les numéros de sécurité sociale, elle interroge sur les processus internes de sécurité chez les géants de la tech. Comment une modification de code défectueuse a-t-elle pu passer inaperçue pendant six mois ? Quels contrôles et quelles procédures de validation auraient dû permettre de détecter plus tôt cette brèche ? PayPal assure que ses systèmes n'ont pas été "compromis" au sens strict du terme, mais pour les utilisateurs concernés, la distinction est purement sémantique. Leurs données personnelles ont été exposées, certains ont perdu de l'argent et tous devront vivre avec la crainte d'une éventuelle usurpation d'identité dans les mois ou les années à venir.