OpenAI a récemment confirmé une faille de sécurité majeure ayant exposé des données personnelles d’utilisateurs. Bien que l’incident n’implique pas leurs propres systèmes, la situation requiert une vigilance accrue de la part des utilisateurs, surtout concernant d’éventuels courriels frauduleux.
OpenAI a communiqué sur la situation
Le courriel que personne ne souhaite recevoir, mais qui devient trop fréquent dans nos boîtes de réception. OpenAI, la société derrière ChatGPT et pionnière de l’intelligence artificielle, a confirmé un incident de sécurité. Ce n’est pas une rumeur. L’entreprise a émis un communiqué indiquant que des données de milliers d’utilisateurs sont désormais exposées.
Si vous pensez que « cela ne m’affectera pas parce que j’utilise seulement ChatGPT pour des résumés », détrompez-vous. Bien que l’incident présente des nuances, la réalité est qu’une base de données contenant des informations personnelles est actuellement entre de mauvaises mains. Voici les détails sur ce qui s’est passé, quelles données ont été compromises, et surtout, ce que vous devez faire maintenant.
Ce ne sont pas OpenAI, mais ses fournisseurs
Pour comprendre la gravité du problème, il est important de saisir comment fonctionnent ces grandes entreprises. OpenAI ne fait pas tout toute seule ; elle engage des tiers pour analyser l’utilisation de ses services. Dans ce cas, la faille de sécurité n’était pas sur les serveurs de Sam Altman, mais sur ceux de Mixpanel, une entreprise d’analyse de données utilisée par OpenAI pour mesurer le trafic et l’utilisation de son interface web.
Le 9 novembre 2025, un attaquant a obtenu un accès non autorisé aux systèmes de Mixpanel et a « exporté » (c’est-à-dire volé) un ensemble de données contenant des informations sur les utilisateurs d’OpenAI.
La société, confrontée à d’autres défis ces dernières semaines, a tenu à préciser que ses propres systèmes n’ont pas été compromis. Ni vos conversations avec le chatbot, ni vos mots de passe, ni vos informations de carte de crédit n’ont été touchés. Cependant, cela ne veut pas dire que le risque est inexistant.
Quelles données ont été volées exactement ?
C’est ici que cela devient délicat. L’attaque a principalement affecté les utilisateurs de l’API d’OpenAI (la plateforme pour développeurs platform.openai.com), et non nécessairement ceux de la version gratuite de ChatGPT. Toutefois, étant donné le nombre d’utilisateurs utilisant l’API ou l’ayant intégrée dans leurs entreprises, la liste est énorme.
Les données volées comprennent :
- Votre nom complet (celui que vous avez fourni lors de l’inscription).
- Votre adresse e-mail.
- Votre localisation approximative (ville, état et pays basés sur l’IP).
- Des informations techniques comme le système d’exploitation et le navigateur utilisés.
- Les ID d’utilisateur et d’organisation associés au compte.
Rappelons-le : aucun mot de passe, clé API ou données bancaires n’ont été compromis. Cependant, votre e-mail a été obtenu et ils savent que vous êtes client d’OpenAI.
« Eh bien, mais s’ils n’ont pas ma carte de crédit, qu’est-ce que ça change ? »
Le danger de cette fuite ne réside pas dans l’accès immédiat à votre compte, mais dans ce que les criminels tenteront de faire dans les semaines à venir. En ayant votre nom, votre e-mail et la connaissance de votre utilisation de l’API d’OpenAI, ils disposent d’un « kit de démarrage » idéal pour lancer des attaques de phishing et d’ingénierie sociale très crédibles.
Imaginez recevoir un courriel dit : « Bonjour [Votre Nom], nous avons détecté un problème avec votre API d’OpenAI à [Votre Ville]. Pour des raisons de sécurité, nous avons besoin que vous vérifiez votre clé ici ». Cela semble légitime, ils ont vos données, et la peur joue le reste. C’est ici qu’ils peuvent réellement voler votre compte.
La réponse d’OpenAI et ce que vous devez faire
OpenAI a rapidement réagi : elle a rompu toute relation avec Mixpanel et procède à un audit de ses autres fournisseurs.
Cependant, la balle est maintenant dans votre camp. Bien qu’OpenAI indique qu’il n’est pas nécessaire de changer de mot de passe, car aucune fuite n’a eu lieu, ma recommandation reste la même :
- Faites preuve de prudence : méfiez-vous de TOUT courriel prétendument envoyé par OpenAI dans les semaines à venir, surtout s’il vous demande des données ou vous incite à cliquer rapidement sur un lien.
- Vérifiez l’expéditeur : assurez-vous que les courriels proviennent d’un domaine officiel d’OpenAI.
- Activez l’authentification à deux facteurs (2FA/MFA) : si vous ne l’aviez pas déjà fait, il est grand temps. C’est la seule barrière efficace empêchant quelqu’un d’accéder à votre compte même s’ils parviennent à obtenir votre mot de passe par tromperie.