Une faille de sécurité sur PayPal conduit à des paiements non autorisés

Ils sont des centaines à signaler cette vulnérabilité sur les forums de PayPal, sur Twitter ou encore sur la plateforme Reddit. Des utilisateurs du service de paiement américain ont été victimes d'une faille dans l'intégration de Google Pay à PayPal, qui résulte en des transactions non autorisées sur leurs comptes, relève ZDNet. 

Au-delà de 1000 euros

Depuis ce vendredi 21 février, des transactions dépassant parfois le millier d'euros apparaissent ainsi dans leur historique PayPal, comme provenant de leur compte Google Pay. Sur Twitter, l'une des victimes indique ainsi avoir constaté un achat inhabituel de trois paires d'AirPods, pour l'équivalent de 500 dollars. Impossible, dès lors, d'annuler l'achat. Les dommages estimés se chiffrent pour le moment en dizaines de milliers d'euros, sur la base de rapports publics.

Les captures d'écran mises en avant laissent entendre que la plupart des achats non autorisés ont été réalisés dans des magasins américains. Les principales victimes, pour leur part, sont pour l'heure essentiellement des clients allemands. 

En 2019 déjà, un chercheur en sécurité allemand avait signalé à PayPal une faille de cette facture, sans réponse concrète du géant du paiement américain, fait-il savoir sur Twitter. La vulnérabilité en question avait trait au fait d'associer un compte Google Pay à un compte PayPal.

En l'occurrence, cette liaison crée une carte virtuelle, avec son propre numéro de carte et sa date d'expiration. Les pirates auraient trouvé le moyen de découvrir les coordonnées de ces mêmes cartes, pour les réutiliser à leur profit, bien souvent sur la boutique en ligne Target, basée aux Etats-Unis. Ce scénario est actuellement examiné par les équipes de PayPal.