Un dump de 15,8 millions d’identifiants PayPal en vente (août 2025)
Mi-août 2025, une annonce apparaît sur un forum clandestin du dark web, proposant à la vente un jeu de données massif présenté comme des identifiants PayPal volés. Un fichier intitulé « Global PayPal Credential Dump 2025 » contiendrait les adresses e-mail et mots de passe en clair de 15,8 millions de comptes PayPal. Le vendeur (surnommé Chucky_BF) affirme que la base regroupe des comptes du monde entier et inclut des URL liées aux services PayPal, ce qui pourrait faciliter des tentatives de connexion automatisées. La taille de l’archive est estimée à 1,1 Go et son accès est proposé pour 750 dollars US.
Des sites spécialisés en cybersécurité ont signalé cette mise en vente en examinant des extraits de l’échantillon. Par exemple, Hackread a observé des adresses Gmail associées à des mots de passe en clair, liés directement à la page de connexion PayPal, ce qui accrédite l’authenticité de la fuite.
De son côté, Cybernews a rapporté l’existence de cette base tout en notant qu’aucune vérification indépendante complète n’a pu être faite, les échantillons publiés étant limités. En résumé, tous les indices suggèrent qu’une fuite massive de données d’utilisateurs PayPal circule illicitement en ligne à cette date.
PayPal dément un nouveau piratage et évoque un incident antérieur (2022)
Face à l’alerte médiatique, PayPal a nié avoir subi une nouvelle brèche de sécurité. La société affirme que les identifiants en question proviendraient en réalité d’une ancienne fuite déjà connue, liée à une attaque par credential stuffing survenue fin 2022.
Pour rappel, le credential stuffing est une méthode où des identifiants volés sur d’autres services sont testés en masse sur une plateforme ciblée, en pariant sur la réutilisation de mots de passe par les utilisateurs.
D’après PayPal, une telle attaque a eu lieu en décembre 2022, permettant à des hackers de s’introduire sur environ 35 000 comptes PayPal en utilisant des couples login/mot de passe obtenus ailleurs.
Cet incident de 2022 n’avait pas révélé une compromission généralisée de la base de données de PayPal, mais il a exposé des données sensibles (noms, adresses, numéros de sécurité sociale, etc.) pour les comptes affectés. PayPal a envoyé des notifications de violation aux clients concernés en janvier 2023.
Par la suite, les régulateurs de l’État de New York ont sanctionné PayPal d’une amende de 2 millions de dollars début 2025, estimant que la société n’avait pas respecté certaines obligations de sécurité informatique liées à cet incident.
Dans le cas de la nouvelle fuite de 2025, PayPal maintient qu’il s’agit de données rediffusées issues de l’attaque de 2022, et non d’un piratage récent de ses serveurs. Cependant, cette version est mise en doute par de nombreux experts et utilisateurs, d’autant plus que le vendeur du dump prétend que les données ont été obtenues en mai 2025, ce dont aucun communiqué officiel de PayPal n’a fait état.
Hypothèse d’une fuite indirecte par un malware voleur d’informations
Si l’origine n’est pas une ancienne base recyclée, quel vecteur a pu fournir 15 millions d’identifiants PayPal à jour ?
Les spécialistes penchent pour un scénario indirect, impliquant un maliciel voleur d’informations (infostealer) plutôt qu’une intrusion des serveurs de PayPal. En effet, PayPal n’a jamais subi de cyberattaque majeure entraînant le vol direct de millions de comptes sur ses systèmes internes. En revanche, des cas similaires ont été observés sur d’autres services où des logiciels espions infectent les ordinateurs des victimes et y récoltent les identifiants enregistrés.
Les informations ainsi volées (souvent sous forme URL + login + password) sont ensuite agrégées et revendues sur les forums clandestins.
Il est donc plausible que le fichier Global PayPal Credential Dump 2025 soit le résultat d’une campagne à grande échelle de vols de données par malware, compilant des identifiants PayPal collectés sur de nombreux appareils compromis. Cette hypothèse expliquerait pourquoi les mots de passe se trouvent en clair (extraits depuis les navigateurs ou la mémoire des systèmes infectés) et pourquoi de nombreux comptes PayPal de divers pays sont touchés sans qu’une faille interne à PayPal n’ait été découverte.
Des utilisateurs à risque malgré l’absence de faille interne avérée
À ce jour, l’origine exacte de la fuite de 2025 n’est pas confirmée par une enquête officielle.
PayPal campe sur la thèse de l’exploitation de données anciennes, tandis que les éléments observés pointent vers une collecte malveillante récente externe à l’entreprise. Quoi qu’il en soit, si les 15,8 millions d’enregistrements mis en vente sont authentiques, la menace pour les utilisateurs est bien réelle. Les identifiants (emails et mots de passe) ainsi exposés peuvent être utilisés par des fraudeurs pour tenter d’accéder illicitement aux comptes PayPal concernés, en particulier si la double authentification n’est pas activée sur ces comptes.
De plus, il apparaît que de nombreux mots de passe de la liste étaient réutilisés sur plusieurs services par les victimes. Cela signifie que le danger s’étend potentiellement au-delà de PayPal : des attaquants pourraient essayer ces mêmes couples email/mot de passe sur d’autres sites (banques, e-commerce, réseaux sociaux), exploitant la mauvaise hygiène de sécurité de certains utilisateurs.
En résumé, l’affaire du dump PayPal de 2025 illustre deux vecteurs majeurs de fuite de données aujourd’hui : la réutilisation d’identifiants compromis lors d’attaques de type credential stuffing, et le vol de données par malware sur les terminaux des utilisateurs. Dans les deux cas, la confiance dans la sécurité de la plateforme n’est pas directement remise en cause par une intrusion classique, mais les conséquences pour les comptes clients n’en demeurent pas moins sérieuses. Le flou persistant autour de l’incident de 2025 entretient l’inquiétude, dans l’attente de clarifications ou d’analyses plus approfondies des données divulguée.
Sources utilisées pour cet article
- ACI Technology – PayPal dans la tempête, des millions de mots de passe en vente sur le web et des comptes à risque (Blog, 21 août 2025) : https://acitechnology.eu/paypal-dans-la-tempete-des-millions-de-mots-de-passe-en-vente-sur-le-web-et-des-comptes-a-risque/
- Cybernews – PayPal breach exposed nearly 16M login credentials, hackers claim (Actualité, 18 août 2025) : https://cybernews.com/security/paypal-credential-dump-hacker-claims/
- Hackread – Threat Actor Claims to Sell 15.8 Million Plain-Text PayPal Credentials (Actualité, 18 août 2025) : https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/
- The Record – PayPal penalized $2 million over data breach involving 35K Social Security numbers (Article, 24 janvier 2025) : https://therecord.media/paypal-penalty-millions-data-breach
