PayPal est victime d'une grave faille de sécurité. En exploitant cette brèche, des pirates sont capables de prendre le contrôle de votre compte pour réaliser des achats à votre insu. Sur les réseaux sociaux, de nombreux témoignages affirment en effet avoir remarqué des transactions inconnues depuis quelques jours.

Des pirates utilisent une faille de sécurité de PayPal pour commander des objets en ligne, rapportent nos confrères de ZDNet ce mardi 25 février 2020. Depuis quelques jours, les témoignages de victimes se sont multipliés sur les réseaux sociaux, notamment sur Reddit ou Twitter. “Je viens de recevoir une notification PayPal concernant 3 commandes passées chez Target (NDLR : une boutique en ligne américaine). J'habite en Allemagne et je ne suis jamais allé à Target ni aux États-Unis” explique un internaute sur Reddit.

Parmi les achats effectués par les escrocs, on trouve notamment plusieurs paires d'AirPods. Au total, les pirates seraient déjà parvenus à dérober des dizaines de milliers d'euros. Pour l'heure, la plupart des victimes résident visiblement en Allemagne. La plupart des transactions frauduleuses ont pourtant été réalisées dans des magasins en ligne basés aux Etats-Unis. Pour tromper les mécanisme anti-fraude de PayPal, les hackers se sont probablement équipés d'un VPN, d'un proxy et d'un logiciel d'anti-détection tel que FraudFox.

Lire également : attention à cette attaque phishing sur PayPal qui peut vider votre compte en banque

Une faille dans l'intégration de Google Pay

Les transactions frauduleuses sont créditées en provenance du compte Google Pay des victimes. Depuis juin dernier, il est en effet possible de lier son compte Google Pay avec Paypal afin de faire des achats sur des sites de e-commerce. D'après Markus Fenske, un chercheur en cybersécurité, les pirates ont exploité une faille dans l'intégration de Google Pay dans PayPal. Sur Twitter, l'expert affirme avoir averti la firme de l'existence d'une brèche il y a plus d'un an. Malheureusement, le groupe n'aurait pas pris en compte la découverte de Fenske.

Lorsque vous liez un compte PayPal à un compte Google Pay, PayPal crée une carte de crédit virtuelle, avec son propre numéro de carte, sa date d'expiration et son CVV, assure Fenske. “PayPal autorise les paiements sans contact via Google Pay. Si vous l'avez configurée, vous pouvez lire les détails de la carte d'une carte de crédit virtuelle à partir du mobile. Pas d'authentification nécessaire” regrette Markus Fenske. Dans ces conditions, les pirates sont alors en mesure de collecter les coordonnées des cartes virtuelles. Grâce à ces données, un hacker n'a aucune difficulté à faire des achats en magasin sur votre compte.

PayPal mène l'enquête

Interrogé par ZDNet, PayPal assure être au courant de la faille de sécurité. L'équipe de sécurité de la plateforme a d'ailleurs lancé une enquête sur les transactions non autorisées. “La sécurité des comptes clients est une priorité absolue pour l'entreprise. Nous examinons et évaluons ces informations et prendrons toutes les mesures appropriées jugées nécessaires pour protéger davantage nos clients” déclare PayPal. En attendant que la faille soit corrigée, on vous invite à surprendre la connexion entre votre compte Google Pay et votre compte PayPal par mesure de sécurité.

https://twitter.com/iblueconnection/status/1231962980964847618?s=20

Source : ZDNet