Pendant près de six mois en 2025, une erreur de code dans PayPal Working Capital a laissé des données sensibles consultables. PayPal parle d’absence de piratage, mais confirme un accès non autorisé et des fraudes.
PayPal a averti une partie de ses clients d’un incident de sécurité lié à PayPal Working Capital (PPWC), son service de financement pour petites entreprises. Une modification logicielle défectueuse a rendu accessibles des informations personnelles entre le 1er juillet et le 12 décembre 2025, jusqu’à sa détection le 12 décembre et son annulation le lendemain. Les données exposées pouvaient inclure identité, coordonnées, adresse professionnelle, date de naissance et numéro de sécurité sociale. PayPal évoque environ 100 clients concernés, impose une réinitialisation des mots de passe, signale quelques transactions non autorisées.
Une faille de code, une fenêtre d’exposition de six mois
L’histoire commence comme un incident « technique » et finit comme un risque d’identité. PayPal a envoyé ces derniers jours des mails à certains clients pour les prévenir d’une exposition de données touchant PayPal Working Capital (PPWC). Ce service vise les petites entreprises, avec une promesse simple, obtenir vite des financements. Sauf qu’entre le 1er juillet et le 12 décembre 2025, une modification introduite dans le code de l’application a rendu des informations personnelles accessibles à des « individus non autorisés », selon les notifications datées du 10 février 2026.
Le 12 décembre 2025, PayPal dit avoir identifié le problème. Le 13 décembre, l’entreprise indique avoir annulé le changement logiciel incriminé, ce qui met fin à l’accès non autorisé. Sur le papier, le correctif paraît rapide une fois l’anomalie repérée. La tension se situe ailleurs, dans la durée d’exposition, près de six mois, et dans la nature des données. Les clients concernés sont informés que des informations potentiellement consultées incluent nom et prénom, adresse électronique, numéro de téléphone, adresse professionnelle, date de naissance, mais aussi numéro de sécurité sociale.
Ce dernier point change la lecture cyber. Aux États-Unis, le numéro de sécurité sociale constitue un identifiant pivot, exploitable pour des scénarios d’usurpation d’identité, d’ouverture de comptes, ou d’attaques de social engineering très ciblées. Ici, PayPal ne décrit pas une exfiltration massive, mais une mise à disposition involontaire, ce qui, en renseignement d’origine technique, revient au même dilemme opérationnel, une donnée sensible devient « visible » dans un contexte où l’on ne maîtrise plus qui regarde, quand, ni comment l’information est recoupée.
News & Réseaux Sociaux ZATAZ
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.
« Pas compromis », mais accès non autorisé et fraude réelle
PayPal insiste sur un point de langage, ses systèmes n’auraient pas été « compromis ». Après publication de l’affaire, un porte-parole a expliqué que l’entreprise doit informer les personnes concernées dès qu’il existe un risque d’exposition, tout en affirmant qu’il ne s’agit pas d’une intrusion classique. L’entreprise avance aussi un ordre de grandeur, environ 100 clients potentiellement concernés.
Le choix des mots n’efface pourtant pas le cœur du dossier. Les lettres évoquent la « résiliation de l’accès non autorisé aux systèmes PayPal« , ce qui admet qu’un acteur externe a pu consulter des données internes, même si la porte d’entrée n’est pas un piratage au sens habituel. En cybersécurité, la frontière entre compromission et exposition accidentelle est souvent juridique et narrative. Pour l’attaquant, la différence est surtout tactique, une vulnérabilité de logique applicative, ou une erreur de contrôle d’accès, peut fournir un accès discret, durable, et plus difficile à détecter qu’un malware bruyant.
Autre élément qui pèse, PayPal reconnaît que « quelques clients » ont subi des transactions non autorisées en lien direct avec l’incident, sans donner de chiffre. L’entreprise affirme avoir remboursé les victimes. Sur le plan renseignement, ces fraudes constituent un indicateur de passage à l’acte. Elles suggèrent que l’accès non autorisé n’a pas été purement théorique, et qu’au moins une partie des informations consultées a été convertie en usage financier, potentiellement via des chaînes de fraude qui mélangent données d’identité et tests transactionnels.
Dans la réponse, PayPal a réinitialisé les mots de passe des comptes touchés. Les utilisateurs devront créer de nouveaux identifiants lors de leur prochaine connexion. L’entreprise recommande aussi de surveiller relevés et historiques, et rappelle qu’elle ne demande “jamais” mot de passe, code à usage unique ou autres informations sensibles par téléphone, SMS ou mail. Ce rappel n’est pas anodin. Après une notification, le bruit informationnel attire presque mécaniquement des campagnes de hameçonnage, capables d’exploiter la peur, l’urgence et l’apparente légitimité de l’expéditeur.
Le contexte rappelé dans le même récit renforce l’enjeu de confiance. PayPal avait déjà notifié en janvier 2023 une fuite liée à une attaque par bourrage d’identifiants, compromettant 35 000 comptes sur une fenêtre du 6 au 8 décembre 2022. Puis, en janvier 2025, l’État de New York a annoncé un accord amiable de 2 000 000 $ lié à des accusations de non-respect de règles de cybersécurité, en lien avec la violation de 2022. Même si les mécanismes diffèrent, l’addition raconte une même réalité opérationnelle, l’attaque n’a pas besoin d’un « piratage » spectaculaire quand la surface applicative, les processus et les mots choisis ouvrent déjà des failles exploitables.
