Piratage PayPal : 35000 comptes touchés, que faut-il craindre ?

PayPal; le célèbre service de paiement dématérialis, a été victime d'un piratage. Un hacker a pu accéder aux données personnelles de près de 35000 utilisateursé. Pour éviter toute fraude, activez vite l'authentification à double facteur !

PayPal est régulièrement la cible de tentatives de piratage ou de campagne de phishing de la part de hackers qui cherchent à s'emparer des sacro-saintes données personnelles et bancaires des utilisateurs, qui représentent une véritable mine d'or pour eux – il ne se passe pas un mois sans que de nouvelles tentatives impliquant le nom de PayPal aient lieu. Avec ses 286 millions de comptes, le service est l'un des moyens de paiement les plus utilisés pour envoyer et recevoir de l'argent sur Internet, et est donc une cible de choix – c'est ce qu'on appelle la rançon du succès ! Malheureusement, il semblerait que la persévérance des pirates ait fini par porter ses fruits. Le 20 janvier 2023, PayPal a commencé à envoyer un e-mail à certains de ses utilisateurs afin de les prévenir qu'une brèche de sécurité avait pu compromettre leur compte.

Piratage PayPal : la technique du bourrage d'identifiants

L'intrusion s'est déroulée entre le 6 et le 8 décembre 2022 – effectivement, il était temps d'alerter les utilisateurs concernés. "Pendant cette période, les tiers non autorisés ont pu consulter, et potentiellement récupérer, des informations personnelles concernant certains utilisateurs de PayPal", indique le service. Sont concernés les noms, adresses, numéros de sécurité sociale, numéros d'identification fiscale individuels et la date de naissance des utilisateurs – tout ce qu'il faut pour cibler ces victimes avec des courriels de phishing et des escroqueries d'usurpation d'identité –, mais les pirates n'auraient pas réussi à mettre la main sur l'historique des transactions, les détails des cartes de crédit ou de débit connectées et les données de facturation PayPal, qui sont également accessibles sur les comptes. Près de 35 000 comptes ont été compromis. Pour l'instant, le géant du paiement en ligne assure qu'il n'y aucune preuve concrète que ces données personnelles aient été utilisées à des fins malveillantes. Il n'y également aucune trace de transactions frauduleuses sur les comptes concernés.

Pour accéder à ces comptes, les hackers ont eu recours à une attaque de "credential stuffing" ("bourrage d'identifiants" en français). Cette technique consiste à réaliser, à l'aide de logiciels ou de façon manuelle, des tentatives d'authentification massives sur des sites et services Web à partir de couples identifiants/mots de passe, qui ont généralement été dérobés sur d'autres sites et services Web puis revendus sur le Dark Web. En effet, de nombreux – trop nombreux – utilisateurs ont recours à un même mot de passe facile à mémoriser – afin de le retenir – plusieurs fois. Aussi, lorsqu'il est compromis une fois, sur Twitter par exemple, il l'est aussi sur les autres sites et plateformes où il est utilisé. Une technique qui a déjà récemment fait ses preuves, comme l'a démontré le récent piratage de Norton.

PayPal assure avoir réinitialisé les mots de passe et "mis en place des contrôles de sécurité renforcés." Ainsi, lors de leur prochaine connexion, les utilisateurs concernés devront créer un nouveau mot de passe, et ils bénéficieront d'un accès gratuit pendant deux ans au service de contrôle d'identité en ligne Equifax. Mieux vaut également réinitialiser le mot de passe qui a été utilisé à l'identique sur d'autres comptes, sous peine d'être victime d'un nouvel bourrage d'identifiants. Cette nouvelle intrusion démontre bien l'importance que revêt l'utilisation de mots de passe forts et uniques, ainsi que la nécessité d'activer l'authentification à double facteur (2FA) et de recourir à un gestionnaire des mots de passe – quand ces derniers ne se font pas à leur tour pirater.