Un fichier de données PayPal fait surface sur le darknet. L’attaque révèle bien plus qu’une simple fuite : un écosystème numérique défaillant.
Le 6 mai 2025, un acteur malveillant connu sous le pseudonyme Chucky_BF publie une annonce sur un forum cybercriminel, offrant à la vente un fichier de 1,1 Go contenant plus de 15,8 millions d’identifiants PayPal. L’annonce promet des données en clair, adresses e‑mail, mots de passe, et URL de connexion, ce qui déclenche une vague d’alerte dans la communauté cyber. Si la fiabilité exacte de cette base reste à nuancer, son ampleur et son caractère partiellement récent inquiètent.
Des premières analyses révèlent la présence de doublons, de faux comptes et d’adresses peu crédibles. Mais l’existence de données potentiellement actives suffit à provoquer une mobilisation immédiate des spécialistes du renseignement numérique. En l’absence de déclaration officielle de PayPal, le doute plane sur l’origine précise du fichier. Néanmoins, ZATAZ juge hautement improbable une extraction directe des serveurs de l’entreprise, connue pour ne pas stocker les mots de passe en clair.
Le scénario le plus plausible pointe vers une campagne massive d’infostealers, ces logiciels espions furtifs qui récoltent automatiquement les données des navigateurs compromis. Ces malwares ciblent les coffres-forts de mots de passe, les cookies d’authentification et les données auto-complétées, constituant ainsi des butins exploitables à grande échelle. Le credential stuffing, les attaques ciblées par phishing, et l’accès ultérieur à d’autres comptes via des mots de passe réutilisés sont les menaces principales liées à cette fuite.
Le fichier est proposé à 750 dollars (environ 690 €), un tarif attractif dans les milieux cybercriminels. Un détail important, selon le Service de Veille de ZATAZ, le Chucky_BF semble être un copycat, un usurpateur du pirate informatique disparu, il y a quelques semaines, avec son forum fermé au même moment que plusieurs autres : DarkArmy ou encore BreachForums. Il n’a en tout pas le langage, les méthodes et les contenus qu’on pouvait lui connaitre : piratage de la marque RIP Curl (2022) ou encore des 1 000 backups de sociétés que le malveillant avait collecté.
Pour les utilisateurs, la réponse doit être rapide : modification des mots de passe, activation de l’authentification à deux facteurs, surveillance des activités inhabituelles, et scan complet des terminaux. Cette affaire démontre une nouvelle fois que les données personnelles ne sont plus de simples informations, mais un levier stratégique dans les conflits numériques modernes. [en savoir plus sur cette vente]
