Cybercriminalité : Plus de 15 millions de mots de passe dérobés chez PayPal, affirme un hacker

Un cybercriminel affirme vendre des millions de combinaisons d’identifiants PayPal sur un forum clandestin, évoquant une brèche massive, rapporte Forbes et plusieurs sites spécialisés. Mais la société dément toute nouvelle attaque. Selon PayPal, ces données proviendraient d’un incident de 2022 et non d’une intrusion récente.

Derrière le pseudonyme Chucky_BF, le vendeur prétend proposer « 15,8 millions de paires d’identifiants en clair » comprenant « des entrées email : mot de passe : url sur des domaines du monde entier ». Mais le tarif de seulement 750 dollars alimente le scepticisme : une base aussi massive vaudrait bien plus, ce qui renforce l’idée qu’il s’agit d’anciennes fuites recyclées ou d’un mélange de vrais et faux comptes.

Mélange de comptes et de données factices

Le site spécialisé HackRead, qui a révélé l’affaire, a analysé des échantillons : certains contiennent des adresses Gmail assorties de mots de passe pointant vers la page de connexion PayPal, d’autres montrent un même compte décliné en version web et mobile. Selon les experts interrogés, il s’agit « probablement d’un mélange de comptes valides et de données factices ou de test, comme c’est souvent le cas avec les bases revendues sur les forums ».

Notre dossier sur la cybercriminalité

Même si PayPal affirme qu’« il n’y a pas eu de nouvelle violation », le risque reste réel. Beaucoup d’utilisateurs conservent le même mot de passe des années durant, et le réemploient sur plusieurs services. Résultat : une fuite ancienne peut ouvrir la porte à des attaques bien actuelles. Mais comme le souligne HackRead, « si les affirmations s’avéraient exactes, il s’agirait de l’une des plus importantes fuites récentes ciblant PayPal ».