PayPal dans la tempête, des millions de mots de passe en vente sur le web et des comptes à risque
Cyrille Jeunehomme — 21 août, 2025
PayPal pensait peut-être avoir tourné la page. Mais ce 19 août 2025, la plateforme se retrouve de nouveau projetée au cœur d’une alerte massive. Un fichier baptisé Global PayPal Credential Dump 2025 circule sur le dark web. Il contient les identifiants de 15,8 millions de comptes. Adresse mail et mot de passe en clair. Pour 750 dollars seulement, l’accès est possible à une base que plusieurs sites spécialisés ont pu confirmer comme authentique.
Hackread et Cybernews ont mis la lumière sur cette vente souterraine. Et le poids du fichier 1,1 Go ne laisse que peu de place au doute. La question maintenant n’est plus de savoir si les données sont en ligne. Elle est de savoir d’où elles viennent vraiment et si vous êtes concerné.
La version de PayPal qui ne convainc pas les experts ni les utilisateurs
Face à la panique croissante, PayPal a tenté de rassurer. Selon l’entreprise, il ne s’agirait que d’une réutilisation de données issues d’une attaque par credential stuffing. Cette méthode consiste à tester en masse des couples identifiant mot de passe dérobés ailleurs. C’est un fléau courant. Et surtout, il repose sur un réflexe qu’on a tous. Utiliser le même mot de passe sur plusieurs sites.
Sauf que cette explication date. PayPal évoque un incident survenu en 2022. Or, les fichiers mis en vente seraient bien plus récents selon leur vendeur. Celui-ci affirme que les données proviennent d’une fuite survenue en mai 2025. Aucun communiqué officiel n’en fait mention. Mais la dissonance entre les deux versions réveille un soupçon que la marque peine à dissiper.
Ce que cache vraiment cette nouvelle fuite et pourquoi elle est plus grave qu’il n’y paraît
S’il ne s’agit pas d’une vieille fuite recyclée, la piste d’un malware prend de l’ampleur. Certains experts estiment qu’un logiciel espion pourrait avoir aspiré des données stockées localement sur les appareils. Mots de passe enregistrés dans le navigateur. Connexions automatiques non protégées. C’est un scénario crédible et déjà observé ailleurs.
Mais sans accès aux données, impossible de trancher. Ce flou nourrit l’inquiétude des utilisateurs et met en lumière une fragilité de fond dans les outils de paiement en ligne. Car PayPal n’en est pas à son premier avertissement. En janvier 2025, la marque avait déjà été sanctionnée pour ses failles sur les données personnelles. Deux millions de dollars d’amende aux États Unis.
Les bons réflexes à adopter dès maintenant pour protéger vos comptes en ligne
La menace est là. Visible. Concrète. Et dans le doute, mieux vaut agir vite. Changer de mot de passe est la première urgence. Il doit être long complexe unique. Minimum douze caractères. Des majuscules. Des chiffres. Des symboles.
Mais ce n’est pas suffisant. Il faut activer la double authentification. Ce système simple ajoute une vérification supplémentaire lors de la connexion. Code SMS. Notification mobile. C’est une seconde barrière. Une barrière souvent décisive.
Enfin, évitez de stocker vos identifiants dans votre navigateur ou dans un fichier texte. Utilisez un gestionnaire de mots de passe fiable. Choisissez un appareil de confiance. Et faites régulièrement le ménage dans vos connexions enregistrées.
Hygiène numérique & gestes quotidiens
Installer des routines simples pour protéger ses usages
La cybersécurité n’est pas qu’une affaire de technologies : elle repose aussi sur des habitudes quotidiennes. Beaucoup d’incidents naissent de gestes anodins, comme l’ouverture d’une pièce jointe douteuse ou l’utilisation d’un ancien mot de passe. Mettre en place une hygiène numérique solide améliore immédiatement la sécurité globale.
Les bonnes pratiques incluent : vérifier l’origine des messages, refuser les sites douteux, sécuriser ses appareils mobiles, organiser ses documents, verrouiller son poste dès qu’on s’éloigne, et privilégier les outils officiels de l’entreprise.
Protéger ses données et éviter les pratiques à risque
Certaines routines doivent devenir automatiques : mettre à jour les logiciels, gérer proprement les fichiers sensibles, trier les téléchargements, désinstaller les programmes inutiles et éviter les réseaux Wi-Fi publics pour les actions professionnelles.
Une attention particulière doit être portée aux liens et aux formulaires suspects, souvent utilisés pour récupérer des identifiants ou infecter un poste.
Sensibiliser régulièrement pour entretenir les bons réflexes
Les comportements évoluent au fil du temps : c’est pourquoi la sensibilisation continue est indispensable. Ateliers pratiques, simulations de faux e-mails, mini-formations ou rappels mensuels permettent d’entretenir une vigilance naturelle.
L’objectif n’est pas de rendre chaque collaborateur expert, mais d’instaurer un état d’esprit collectif où chacun adopte des gestes numériques sûrs. Ces habitudes, répétées au quotidien, forment une première ligne de défense extrêmement efficace.
FAQ — Risques et menaces
Quels sont les risques de cyberattaques pour une entreprise ?
Phishing, ransomwares, virus ou vol d’accès font partie des menaces les plus courantes.
Comment reconnaître une tentative de phishing ?
Des e-mails suspects, des liens inconnus ou des demandes urgentes sont des signes typiques.
Comment limiter les risques cyber ?
En adoptant une stratégie de sécurité complète et en sensibilisant les équipes.