PayPal est régulièrement la cible de tentatives de piratage ou de campagne de phishing[2] de la part de hackers qui cherchent à s’emparer des sacro-saintes données personnelles et bancaires des utilisateurs, qui représentent une véritable mine d’or pour eux – il ne se passe pas un mois sans que de nouvelles tentatives impliquant le nom de PayPal aient lieu. Avec ses 286 millions de comptes, le service est l’un des moyens de paiement les plus utilisés pour envoyer et recevoir de l’argent sur Internet[3], et est donc une cible de choix – c’est ce qu’on appelle la rançon du succès ! Malheureusement, il semblerait que la persévérance des pirates ait fini par porter ses fruits. Le 20 janvier 2023, PayPal a commencé à envoyer un e-mail à certains de ses utilisateurs afin de les prévenir qu’une brèche de sécurité avait pu compromettre leur compte.
Piratage PayPal : la technique du bourrage d’identifiants
L’intrusion s’est déroulée entre le 6 et le 8 décembre 2022 – effectivement, il était temps d’alerter les utilisateurs concernés. « Pendant cette période, les tiers non autorisés ont pu consulter, et potentiellement récupérer, des informations personnelles concernant certains utilisateurs de PayPal », indique le service. Sont concernés les noms, adresses, numéros de sécurité sociale, numéros d’identification fiscale individuels et la date de naissance des utilisateurs – tout ce qu’il faut pour cibler ces victimes avec des courriels de phishing et des escroqueries d’usurpation d’identité –, mais les pirates n’auraient pas réussi à mettre la main sur l’historique des transactions, les détails des cartes de crédit ou de débit connectées et les données de facturation PayPal, qui sont également accessibles sur les comptes. Près de 35 000 comptes ont été compromis. Pour l’instant, le géant du paiement en ligne assure qu’il n’y aucune preuve concrète que ces données personnelles aient été utilisées à des fins malveillantes. Il n’y également aucune trace de transactions frauduleuses sur les comptes concernés.
Pour accéder à ces comptes, les hackers ont eu recours à une attaque de « credential stuffing » (« bourrage d’identifiants » en français). Cette technique consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services Web[5] à partir de couples identifiants/mots de passe, qui ont généralement été dérobés sur d’autres sites et services Web[5] puis revendus sur le Dark Web[5]. En effet, de nombreux – trop nombreux – utilisateurs ont recours à un même mot de passe facile à mémoriser – afin de le retenir – plusieurs fois. Aussi, lorsqu’il est compromis une fois, sur Twitter par exemple, il l’est aussi sur les autres sites et plateformes où il est utilisé. Une technique qui a déjà récemment fait ses preuves, comme l’a démontré le récent piratage de Norton.
PayPal assure avoir réinitialisé les mots de passe et « mis en place des contrôles de sécurité renforcés. » Ainsi, lors de leur prochaine connexion, les utilisateurs concernés devront créer un nouveau mot de passe[1], et ils bénéficieront d’un accès gratuit pendant deux ans au service de contrôle d’identité en ligne Equifax. Mieux vaut également réinitialiser le mot de passe[1] qui a été utilisé à l’identique sur d’autres comptes, sous peine d’être victime d’un nouvel bourrage d’identifiants. Cette nouvelle intrusion démontre bien l’importance que revêt l’utilisation de mots de passe forts et uniques, ainsi que la nécessité d’activer[4] l’authentification à double facteur (2FA) et de recourir à un gestionnaire des mots de passe – quand ces derniers ne se font pas à leur tour pirater.
A chaque compte que vous créerez en ligne (sur le site de votre banque, sur une boutique en ligne, pour lire vos mails…) vous aurez besoin de créer un mot de passe.
Ne mettez jamais votre date d’anniversaire, le nom de votre chien ou de votre fils. Cela est trop facile à deviner. Optez pour un mot de passe combinant des chiffres et des lettres, et essayez de ne pas avoir le même mot de passe pour chaque compte utilisateur.
Plus le mot de passe est fort, plus il sera difficile à deviner.
Quand vous tapez un mot de passe sur Internet, il ne sera pas affiché, pour chaque caractère tapé, des points seront affichés, afin de garantir la confidentialité de celui-ci.
Il faut être très attentif au phishing et observer quelques règles simples afin de ne pas sombrer dans la crédulité. Fiez-vous à votre instinct et ne prenez pas de risque. Ne croyez pas automatiquement des messages du genre : vous avez gagné, votre ordinateur a un virus, votre banque vous redemande votre mot de passe
Pourquoi ?
- Généralement sur Internet, il y a parfois des publicités vous indiquant que vous avez gagné, ce qui n’est pas vrai. Ne tombez pas dans le panneau. Dans le doute, n’y allez pas.
- Vous aurez aussi parfois des pubs imitant la fenêtre windows, indiquant que vous êtes infecté. Ce n’est pas une pub sur Internet qui doit vous avertir de ça, mais votre ordinateur, ne cliquez donc pas !
- Votre banque ne vous redemandera jamais votre mot de passe. Elle l’a, c’est donc une autre personne, malveillante, qui cherche à obtenir vos informations.
Un seul mot d’ordre : restez vigilants, et dans le doute, ne cliquez pas !
Quand on dit « je vais sur Internet » c’est que l’on ouvre son navigateur et que l’on commence à consulter des sites Internet et des applications en ligne : Réseaux sociaux, sites d’informations, vidéos, banque en ligne, boutiques en ligne…
En savoir plus sur l’histoire d’Internet sur Wikipédia, cliquez ici.
Activer’ un système informatique ou une fonctionnalité de ce système signifie « mettre en service ». Activer un appareil informatique revient à l’allumer et à effectuer les manipulations qui le rendront opérationnel. On peut activer un programme informatique sans que toutes ses fonctions possibles soient opérationnelles.
Le web est apparenté à Internet, cliquez ici pour voir la définition d’Internet.
De quoi j’ai besoin pour naviguer sur le web ?
Premièrement, vous devez souscrire un abonnement chez un fournisseur d’accès à Internet comme Orange ou Free, qui vous enverra ensuite une Box Internet pour vous connecter.
Pour naviguer sur le web depuis votre ordinateur, vous aurez besoin d’un navigateur Internet comme Firefox, Google Chrome ou Edge.
Vous pourrez ensuite consulter vos mails, lire les actualités, voir la météo, regarder des films et séries, communiquer avec vos proches sur les réseaux sociaux, et bien d’autres choses encore !