Le créateur de ChatGPT est victime d’un dommage collatéral. Suite au piratage de son prestataire d’analyse Mixpanel, des données personnelles d’utilisateurs de la plateforme API ont été dérobées. OpenAI a immédiatement rompu son contrat avec le fournisseur suite à cette fuite de données.
La forteresse OpenAI n’a pas cédé, mais ses remparts extérieurs ont été brisés. L’entreprise de Sam Altman a confirmé hier soir faire face à une fuite de données indirecte.
L’origine du problème ne vient pas de ses propres serveurs, mais de ceux de Mixpanel, un partenaire chargé de l’analyse d’audience web.
Si les utilisateurs grand public de ChatGPT peuvent souffler, l’incident soulève aussi la question critique de la sécurité de la chaîne d’approvisionnement (supply chain) dans la tech.
16 jours de flou
La chronologie de l’attaque révèle des failles de communication. L’intrusion dans les systèmes de Mixpanel a été détectée le 9 novembre 2025.
Pourtant, ce n’est que le 25 novembre, soit 16 jours plus tard, qu’OpenAI a été informé de l’ampleur réelle des dégâts et de la nature des données exfiltrées.
Le pirate a en effet réussi à exporter un fichier contenant des informations sur les utilisateurs de platform.openai.com, l’interface dédiée aux développeurs et aux entreprises utilisant l’API d’OpenAI.
Êtes-vous touché par cette fuite de données d’OpenAI et quelles données ont fuité ?
Je tiens à établir une distinction nette entre les différents usagers de la plateforme. La grande majorité, à savoir les utilisateurs quotidiens de l’application et du site ChatGPT, peut se rassurer. Si c’est votre cas, vous êtes totalement épargnés par cet incident.
OpenAI confirme toutefois qu’aucune conversation, aucun historique de chat ni aucune donnée bancaire n’a été compromis pour le grand public.
Par contre, la brèche cible spécifiquement la communauté technique et les développeurs exploitant l’interface de programmation (API) se retrouvant en première ligne de cette fuite.
Pour ces derniers, le butin des hackers comprend :
- Noms et adresses e-mail ;
- Identifiants d’organisations ;
- Localisation approximative (déduite de l’IP) ;
- Type de navigateur et système d’exploitation utilisé.
OpenAI insiste toutefois sur ce qui a été préservé. Aucun mot de passe, aucune clé API (le sésame pour utiliser les services payants), ni aucune donnée bancaire n’a été exposée.
Réaction radicale : OpenAI coupe les ponts
La réponse d’OpenAI a été immédiate et sans appel. Dès la confirmation de la fuite, l’entreprise a cessé toute collaboration avec Mixpanel.
Elle a même retiré le prestataire de ses services en production et résilié définitivement le contrat.
Cet incident pousse le géant de l’IA à revoir sa copie en matière de gestion des tiers. Un audit de sécurité approfondi de tous les autres fournisseurs est en cours pour éviter qu’un tel scénario ne se reproduise.
Attention au phishing
Pour les victimes, le risque immédiat n’est pas le piratage de leur compte, mais l’ingénierie sociale. Avec des listes d’emails qualifiés de développeurs utilisant OpenAI, les pirates disposent de la matière première idéale pour lancer des campagnes de phishing (hameçonnage) très ciblées.
OpenAI recommande la plus grande vigilance face aux emails suspects demandant des mots de passe ou des clés API, et rappelle l’importance d’activer l’authentification à double facteur (2FA).
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
