Publié le 20 février 2026 16:02:00. PayPal a averti ses clients d’une importante faille de sécurité qui a exposé des données personnelles, notamment des numéros de sécurité sociale, pendant près de six mois. La société offre une surveillance gratuite du crédit pour atténuer les risques.
- Une erreur logicielle dans l’application PayPal Working Capital a permis la fuite de données entre le 1er juillet 2025 et le 13 décembre 2025.
- Les informations compromises incluent les noms, adresses e-mail, numéros de téléphone, adresses professionnelles, numéros de sécurité sociale et dates de naissance.
- PayPal offre deux ans de services gratuits de surveillance du crédit et de restauration d’identité via Equifax aux utilisateurs concernés.
PayPal a récemment informé ses clients d’une violation de données significative affectant potentiellement un nombre indéterminé d’utilisateurs. La faille, découverte le 12 décembre 2025, est due à une erreur dans le code de l’application PayPal Working Capital, un outil destiné à faciliter l’obtention de prêts aux petites entreprises.
Selon PayPal, l’accès aux données a été bloqué le 13 décembre 2025, après la correction du code défectueux. La société a tenu à préciser qu’elle n’a pas retardé l’annonce de la violation en raison d’une enquête des autorités.
« PayPal a depuis annulé le changement de code à l’origine de cette erreur, qui pourrait avoir exposé des données personnelles. Nous n’avons pas retardé cette notification en raison d’une enquête des forces de l’ordre. »
PayPal
Outre les informations d’identification de base telles que les noms et les adresses e-mail, la fuite a compromis des données sensibles comme les numéros de téléphone, les adresses professionnelles, les numéros de sécurité sociale et les dates de naissance. PayPal a également constaté des transactions non autorisées sur un nombre limité de comptes, et a remboursé les clients concernés.
En guise de mesure de précaution, PayPal propose aux utilisateurs affectés deux ans de services gratuits de surveillance du crédit et de restauration d’identité via Equifax. L’inscription à ces services est obligatoire avant le 30 juin 2026. La société conseille également à ses clients de surveiller attentivement leurs relevés de crédit et leurs comptes bancaires pour détecter toute activité suspecte.
PayPal rappelle qu’elle ne demandera jamais par téléphone, SMS ou e-mail des mots de passe, des codes à usage unique ou d’autres informations d’authentification. Cette vigilance est essentielle pour se protéger contre les tentatives de phishing, qui sont souvent exploitées après des violations de données. Le nombre d’attaques de phishing a doublé en un an, selon une étude récente.
PayPal a réinitialisé les mots de passe de tous les comptes potentiellement compromis. Les utilisateurs seront invités à créer de nouveaux identifiants lors de leur prochaine connexion, s’ils ne l’ont pas déjà fait.
Cette violation intervient après d’autres incidents de sécurité chez PayPal. En 2022, environ 35 000 comptes avaient été compromis suite à une attaque de « credential stuffing » (réutilisation de données d’identification volées). Plus récemment, en 2025, une base de données contenant les informations de connexion de 15,8 millions de comptes PayPal est apparue sur le dark web. PayPal avait alors attribué cette fuite à l’incident de 2022 et non à une nouvelle attaque.