Comme bon nombre d’entre vous, je dispose d’un compte PayPal même si je ne l’utilise plus depuis plusieurs années. En revanche, je sais que mon gendre règle de nombreux achats avec ce mode de paiement ! C’est pratique, rapide, et normalement très sécurisé. Imaginez maintenant que vos identifiants PayPal, soigneusement gardés derrière un mot de passe que vous pensiez unique, se baladent librement sur un forum du Dark Web. C’est précisément ce que prétend un certain Chucky_BF, relayé par le site bitdefenfer.com, un vendeur bien connu dans les cercles de cybercriminels, qui met en vente pas moins de 15,8 millions de logins PayPal. Prix de départ ? Environ 750 dollars pour l’intégralité du fichier. Une somme dérisoire face aux risques encourus par des millions d’utilisateurs. Pour rappel, PayPal, service de paiement en ligne fondé en 1998, est utilisé par plus de 400 millions d’internautes dans le monde. Et, même si l’entreprise n’a pas confirmé de faille dans ses systèmes, cette annonce fait froid dans le dos. Décryptage.
D’où viennent ces données ?
Contrairement à ce que l’on pourrait croire, il ne s’agit probablement pas d’un piratage direct des serveurs PayPal. Non, la méthode est bien plus sournoise : les informations proviendraient de malwares de type «infostealer », ces logiciels espions qui s’installent à votre insu sur un ordinateur ou un smartphone pour voler les données enregistrées dans le navigateur (courriels, mots de passe, historiques de connexion…). Une fois récoltées, elles sont revendues en gros sur le marché noir. Malheureusement, ces techniques sont monnaie courante et visent à exploiter nos failles humaines : réutilisation du même mot de passe, absence de double authentification, ou encore clics malheureux sur des liens frauduleux.
Pourquoi c’est inquiétant ?
Le danger n’est pas seulement que quelqu’un accède à votre compte PayPal pour vider votre solde. Le vrai problème, c’est la réutilisation des mots de passe. Beaucoup d’internautes utilisent le même code secret pour PayPal, leur boîte mail, Facebook ou encore leur banque en ligne. Autant dire que si ces 15,8 millions d’identifiants sont authentiques, cela ouvre la porte à une vague d’attaques dites de « credential stuffing » (tester les mêmes identifiants partout). Et là, cela peut faire très mal, bien au-delà de PayPal. Comme le rappelle Hackread, les cybercriminels considèrent ces bases comme de véritables mines d’or. On peut aisément le comprendre !
Comment se protéger, concrètement ?
La bonne nouvelle, c’est qu’il existe des parades simples pour ne pas finir dans la prochaine liste noire. Première règle : changer régulièrement vos mots de passe, et surtout ne jamais les réutiliser. Ensuite, activez la double authentification (2FA) sur PayPal, Gmail et autres comptes sensibles : c’est un petit code supplémentaire qui peut tout bloquer, évitez de mettre votre année de naissance par contre. Enfin, pensez à utiliser un gestionnaire de mots de passe : il en existe de très efficaces, certains gratuits, qui créent pour vous des combinaisons impossibles à deviner. Alors, allez-vous changer immédiatement votre mot de passe PayPal ou attendre de voir votre compte siphonné par un pirate ? Ce sujet vous fait réagir ? Partagez vos idées ou votre vécu, cliquez ici pour publier un commentaire . Une erreur s’est glissée ? Vous pouvez également nous en faire part !