Un hacker utilisant le pseudonyme “Chucky_B” prétend avoir mis la main sur 15,8 millions d'identifiants et mots de passe PayPal — une quantité XXL de données qu'il propose désormais à la vente. Le pirate affirme que cette fuite massive aurait eu lieu en mai 2025 et que la base diffusée contient des emails (Gmail, Yahoo, Hotmail...) associés à des mots de passe en clair.
Interrogé, PayPal n'a ni confirmé ni démenti pour l'instant la réalité de cette fuite, comme l'explique 01Net, premier média à avoir relayé l'affaire en France. La société n'a pas répondu aux sollicitations des journalistes. De nombreuses voix s'élèvent toutefois pour questionner la nature exacte de cet incident.
Changer son mot de passe pour se protéger
Parmi elles, Troy Hunt, le fondateur du site « Have I Been Pwned », considère que « les mots de passe ne proviennent certainement pas de PayPal ». Il suggère plutôt qu'il s'agit d'un phénomène courant : des infostealers (logiciels malveillants subtilisant en temps réel les données des utilisateurs) ou du credential stuffing.
Ces techniques, très répandues, permettent de récupérer des identifiants fragilisés sur d'autres plateformes, ou interceptés via des sites commerciaux compromis. Selon Kaspersky, près de dix millions de dispositifs sont infectés par ce type de malware chaque année.
Dans le pire scénario où cette fuite s'avèrerait véridique, les utilisateurs de PayPal pourraient voir leurs comptes compromis — avec des paiements non autorisés ou des transferts frauduleux —, bien que les systèmes anti-fraude de PayPal constituent un obstacle non négligeable. Qui plus est, si les mêmes identifiants sont utilisés ailleurs, les pirates pourraient tenter leur chance sur plusieurs sites à la fois.
Restez prudent : même si l'origine réelle de cette fuite reste floue, il est plus que jamais recommandé — par simple précaution — de changer dès maintenant votre mot de passe PayPal, surtout s'il est utilisé ou réutilisé sur d'autres services.
