Un fichier contenant des millions de logins PayPal en clair circule sur le darknet. Derrière ce chaos, l’ombre des infostealers rôde.

Un pirate surnommé Chucky_BF revend un fichier de 1,1 Go comprenant plus de 15,8 millions de combinaisons e‑mail/mot de passe PayPal en clair. Ce leak, apparu début mai 2025, alimente de vives inquiétudes dans la sphère cyber. Bien que l’origine exacte reste floue, le fichier semble avoir été constitué via des données collectées par des infostealers.

Une fuite, un alias, une alerte rouge dans le cyberespace

Le 6 mai 2025, un pseudo qui n’en est pas à son coup d’essai refait surface sur les tréfonds d’un forum fréquenté par la crème des cybercriminels. Chucky, avatar d’un vendeur dont les traces remontent à plusieurs leaks de crédibilité variable, poste une annonce qui résonne immédiatement dans les canaux spécialisés. Il propose un fichier de 1,1 Go, contenant, selon ses dires, 15,8 millions de logins PayPal. En clair. Avec mail, mot de passe et même l’URL exacte du service ciblé. Il faut savoir que Chucky, aprés la fermeture de son forum, il y a quelques semaines, doit se refaire une renommée et réputation. Alors que son habitude était de diffuser, gratuitement, des données piratées, le hacker malveillant, revend massivement ce qu'il indique être des piratages. Bémol sur le personnage. Il y a de forte chance que le Chucky d'origine ne soit pas le Chucky_BF (BF voulant dire BreachForum). Un usurpateur, revendeur, de vieilles données.

Ce type de fuite suscite systématiquement deux types de réactions : l’emballement des acheteurs potentiels, et la levée de doute immédiate des analystes du renseignement cyber.

Car entre storytelling marketing de pirate et réalité technique, il y a souvent un gouffre. Ici, des échantillons fournis à titre de démonstration présentent une réalité plus contrastée que ne le laisse entendre l’annonce. Des doublons, des comptes de test, des adresses manifestement fictives, et une diversité étonnante de sous-domaines PayPal. Bref, une base bancale :) mais pas anodine.

La date avancée du leak, début mai 2025, attire cependant l’attention. Elle laisse penser que certains identifiants sont récents, peut-être issus de sessions toujours actives ou de cookies encore valides. Cela suffit à justifier un branle-bas de combat du côté des équipes de threat intelligence.

Car quand bien même la source ne viendrait pas directement des serveurs de PayPal, hypothèse jugée improbable Paypal chiffre les mots de passe, l’impact potentiel, lui, est bien réel. Surtout dans un écosystème où les identifiants recyclés sont légion.

Infostealers : les rats d’égouts numériques de la finance en ligne

La vraie origine de cette fuite n’est pas à chercher dans une quelconque compromission des infrastructures PayPal. L’entreprise ne stocke pas de mots de passe en clair, un fait confirmé à maintes reprises par les professionnels de la sécurité. Le scénario le plus probable est celui d’une campagne massive d’infostealers, ces malwares discrets qui aspirent silencieusement les données stockées sur les terminaux infectés. Ces "outils" pirates sont des élèments que le Service de Veille de ZATAZ traque (ils sont 20% de nos découvertes).

Ce type de vol repose sur une mécanique bien huilée. L’utilisateur clique sur un lien malicieux — souvent déguisé en PDF, facture ou mise à jour — et déclenche à son insu l’installation d’un stealer. Ce dernier fouille les navigateurs à la recherche de coffres-forts de mots de passe, de cookies d’authentification, de données de saisie automatique. En quelques secondes, l’ensemble est empaqueté et exfiltré vers un serveur distant. Là, soit l’auteur revend directement le butin, soit il l’intègre à des bases vendues en gros, comme celle que propose aujourd’hui Chucky_BF.

Les usages d’un tel fichier sont multiples. Le plus classique reste le credential stuffing : injecter automatiquement ces combinaisons sur des dizaines de services pour identifier ceux où l’utilisateur réutilise ses accès. Viennent ensuite les campagnes de phishing ciblé, rendues bien plus efficaces par la connaissance préalable de l’adresse e‑mail et du service utilisé. Enfin, certains attaquants misent sur le temps : dans les mois qui suivent, un mot de passe oublié et non changé peut offrir une porte d’entrée tardive mais fatale.

Si certains comptes listés sont obsolètes ou inventés, il suffit que quelques centaines de milliers soient encore valides pour faire basculer l’équilibre. Et dans l’économie parallèle des cyberattaques, les informations fraîches valent cher. Le vendeur demande 750 dollars (environ 690 €) pour l’ensemble du fichier. Une somme modique à l’échelle d’un groupe cybercriminel organisé, susceptible d’exploiter chaque donnée au maximum. C'est pour cela que nous sommes certains, à 95% que ce Chucky n'est qu'un copycat.

Le renseignement numérique face à la criminalité diffuse

Dans les cercles de renseignement cyber, cette fuite soulève une problématique ancienne mais toujours d’actualité : comment trier le vrai du faux dans un océan de données volées, et comment réagir vite sans céder à la panique ? L’absence de communication officielle de PayPal n’aide pas à y voir plus clair. L’entreprise, habituée à gérer des incidents, semble opter ici pour la prudence, voire le silence stratégique.

En parallèle, les outils de veille analysent déjà les occurrences du fichier, sa circulation sur Telegram, IRC, sur des channels [russophones, Philippins et Brésiliens] mais aussi sur des plateformes plus confidentielles où se croisent brokers de données et groupes affiliés.

Pour les victimes, la priorité reste la réactivité. Modifier son mot de passe PayPal est une première étape, mais loin d’être suffisante. Tous les services où un mot de passe similaire a pu être utilisé doivent être sécurisés, l’authentification à deux facteurs systématisée, et les terminaux analysés pour repérer d’éventuelles traces de malware résiduels.