OpenAI, le créateur de ChatGPT, confirme une violation de données catastrophique majeure
OpenAI, l'éditeur de ChatGPT, confirme une violation de données catastrophique majeure, exposant les noms et adresses e-mail des utilisateurs : « La transparence est importante pour nous ».
La violation de Mixpanel a exposé des millions de noms d'utilisateurs et d'adresses e-mail de l'API OpenAI, soulevant des inquiétudes mondiales en matière de sécurité. OpenAI a confirmé que ses serveurs n'avaient pas été compromis et qu'aucune conversation, aucun mot de passe ni aucune donnée de paiement n'avait été divulgué. Les utilisateurs sont invités à rester vigilants face aux tentatives d'hameçonnage et à sécuriser leurs comptes à l'aide de l'authentification multifactorielle (MFA) et de mots de passe mis à jour.
OpenAI (« AI » pour artificial intelligence, ou intelligence artificielle) est une entreprise américaine d'intelligence artificielle (IA) fondée en 2015 à San Francisco en Californie. Sa mission est de développer et de promouvoir une intelligence artificielle générale « sûre et bénéfique à toute l'humanité ». Son lancement de ChatGPT en novembre 2022 a déclenché un intérêt mondial pour les agents conversationnels et l'IA générative.
ChatGPT est lancé en novembre 2022 dans une version gratuite où il n'a pas accès à Internet comme source d'informations. Il bénéficie aussitôt d’une large exposition médiatique et reçoit un accueil globalement positif, bien que son exactitude factuelle soit critiquée. En janvier 2023, ChatGPT compte plus de 100 millions de comptes enregistrés, et la société OpenAI est alors valorisée à 29 milliards de dollars américains.
Récemment, des millions d'enregistrements d'utilisateurs connectés aux services API d'OpenAI ont été exposés après que des pirates aient compromis les systèmes de Mixpanel, un fournisseur d'analyses tiers. Selon les informations communiquées aux utilisateurs concernés d'OpenAI, les données divulguées comprenaient les noms d'utilisateur, les adresses e-mail et les métadonnées organisationnelles associées à l'utilisation de l'API.
Les spécialistes en cybersécurité avertissent que ces informations apparemment inoffensives peuvent néanmoins être utilisées à des fins malveillantes. Les pirates exploitent souvent les noms et les adresses e-mail pour créer des messages de phishing convaincants destinés à inciter les utilisateurs à révéler leurs identifiants ou à cliquer sur des liens malveillants. C'est pourquoi même une violation impliquant des enregistrements non sensibles peut comporter des risques à long terme.
Dans sa déclaration officielle, OpenAI a précisé que ses serveurs n'avaient pas été compromis. L'entreprise a ajouté que la violation s'était produite entièrement au sein de l'infrastructure de Mixpanel, qui stockait des données analytiques limitées liées à certains comptes API. OpenAI a souligné que les utilisateurs réguliers de ChatGPT n'avaient pas été affectés et qu'aucune conversation, demande API, identifiant, pièce d'identité officielle, mot de passe ou information de paiement n'avait été exposé à aucun moment.
Mixpanel a découvert l'accès non autorisé le 9 novembre 2025. Le 25 novembre 2025, la société a communiqué les données concernées à OpenAI afin que cette dernière puisse commencer à vérifier ce qui n'avait pas fonctionné. Dès qu'OpenAI a pris connaissance du problème, elle a immédiatement supprimé Mixpanel de tous ses systèmes en ligne afin d'empêcher toute nouvelle fuite de données. Elle a ensuite examiné attentivement tous les enregistrements concernés et a commencé à informer tous les utilisateurs et organisations touchés à travers le monde.
En plus de corriger le problème, OpenAI a également annoncé de nouvelles mesures visant à renforcer la sécurité pour tous ses partenaires tiers. Cela montre que l'entreprise fera désormais preuve d'une plus grande prudence à mesure qu'elle continue de se développer et de lancer de nouveaux outils qui dépendent de services externes. Bien que la violation n'ait pas révélé d'informations sensibles telles que des mots de passe, des informations de paiement ou des conversations ChatGPT, l'exposition des détails de base des comptes a tout de même suscité une inquiétude généralisée au sein de la communauté mondiale des développeurs, y compris dans des pays comme l'Inde.
OpenAI a exhorté tous les utilisateurs, qu'ils pensent ou non que leurs informations ont été compromises, à rester vigilants face à d'éventuelles tentatives d'hameçonnage. Les noms et adresses e-mail ayant été divulgués, les pirates pourraient se faire passer pour OpenAI ou des services connexes en envoyant des messages qui semblent légitimes. Les utilisateurs doivent se méfier des liens, pièces jointes ou demandes d'informations personnelles inattendus.
OpenAI rappelle à tous qu'il ne demande jamais de mots de passe, de clés API, de codes de vérification ou d'autres informations sensibles par e-mail ou SMS. Tout message contenant une telle demande doit être considéré comme suspect. Vérifier que les e-mails proviennent des domaines officiels d'OpenAI offre une protection supplémentaire. Pour réduire davantage les risques, les utilisateurs sont encouragés à activer l'authentification multifactorielle (MFA) sur tous les comptes liés à l'adresse e-mail exposée. Vérifier les autres services qui utilisent les mêmes identifiants, mettre à jour les mots de passe si nécessaire et surveiller toute activité inhabituelle peut aider à limiter les dommages potentiels.
Ce rapport intervient alors qu'OpenAI fait face à une autre controverse. En effet, un récent rapport a révélé qu'OpenAI ne sera pas rentable d'ici 2030 et doit encore trouver 207 milliards de dollars supplémentaires pour financer ses projets de croissance. L’information heurte par son ampleur : OpenAI aurait besoin de lever au moins 207 milliards de dollars d’ici 2030 pour poursuivre sa trajectoire actuelle, selon des projections de l'équipe américaine de HSBC chargée des logiciels et des services, relayées dans la presse économique. À l’échelle du secteur technologique, ce chiffre frôle l’irréel. Pourtant, il reflète une réalité devenue incontournable : l’intelligence artificielle moderne coûte une fortune monumentale, et chaque nouveau palier technologique transforme cette facture en précipice.
Voici le communiqué d'OpenAI de l'incident :
Ce qu'il faut savoir au sujet d'un récent incident de sécurité chez Mixpanel
La transparence est importante pour nous, c'est pourquoi nous tenons à vous informer d'un récent incident de sécurité chez Mixpanel, un fournisseur d'analyses de données utilisé par OpenAI pour l'analyse web sur l'interface frontale de notre produit API (platform.openai.com(s'ouvre dans une nouvelle fenêtre)).
L'incident s'est produit au sein des systèmes de Mixpanel et a concerné des données analytiques limitées relatives à certains utilisateurs de l'API. Les utilisateurs de ChatGPT et d'autres produits n'ont pas été affectés.
Il ne s'agit pas d'une violation des systèmes d'OpenAI. Aucune conversation, demande API, donnée d'utilisation API, mot de passe, identifiant, clé API, détail de paiement ou pièce d'identité officielle n'a été compromise ou exposée.
Que s'est-il passé ?
Le 9 novembre 2025, Mixpanel a découvert qu'un pirate informatique avait accédé sans autorisation à une partie de ses systèmes et exporté un ensemble de données contenant des informations limitées permettant d'identifier les clients et des informations analytiques. Mixpanel a informé OpenAI qu'il menait une enquête et, le 25 novembre 2025, il nous a communiqué l'ensemble de données concerné.
Quelles sont les conséquences pour les utilisateurs concernés ?
Les informations de profil utilisateur associées à l'utilisation de platform.openai.com(s'ouvre dans une nouvelle fenêtre) peuvent avoir été incluses dans les données exportées depuis Mixpanel. Les informations susceptibles d'avoir été compromises se limitent à :
- Le nom qui nous a été fourni sur le compte API
- L'adresse e-mail associée au compte API
- La localisation approximative basée sur le navigateur de l'utilisateur API (ville, état, pays)
- Système d'exploitation et navigateur utilisés pour accéder au compte API
- Sites web référents
- Identifiants d'organisation ou d'utilisateur associés au compte API
Notre réponse
Dans le cadre de notre enquête de sécurité, nous avons supprimé Mixpanel de nos services de production, examiné les ensembles de données concernés et travaillons en étroite collaboration avec Mixpanel et d'autres partenaires afin de comprendre pleinement l'incident et son ampleur. Nous sommes en train d'informer directement les organisations, les administrateurs et les utilisateurs concernés. Bien que nous n'ayons trouvé aucune preuve d'un quelconque effet sur les systèmes ou les données en dehors de l'environnement de Mixpanel, nous continuons à surveiller de près tout signe d'utilisation abusive.
La confiance, la sécurité et la confidentialité sont fondamentales pour nos produits, notre organisation et notre mission. Nous nous engageons à faire preuve de transparence et informons tous les clients et utilisateurs concernés. Nous tenons également nos partenaires et fournisseurs responsables du respect des normes les plus strictes en matière de sécurité et de confidentialité de leurs services. Après avoir examiné cet incident, OpenAI a mis fin à son utilisation de Mixpanel.
Au-delà de Mixpanel, nous menons des examens de sécurité supplémentaires et élargis dans l'ensemble de notre écosystème de fournisseurs et renforçons les exigences de sécurité pour tous nos partenaires et fournisseurs.
Ce que vous devez garder à l'esprit
Les informations qui ont pu être compromises dans le cadre de cet incident pourraient être utilisées dans le cadre d'attaques de phishing ou d'ingénierie sociale contre vous ou votre organisation.
Étant donné que des noms, des adresses e-mail et des métadonnées de l'API OpenAI (par exemple, des identifiants d'utilisateur) étaient inclus, nous vous encourageons à rester vigilant face aux tentatives d'hameçonnage ou aux spams qui semblent crédibles. Pour rappel :
- Traitez les e-mails ou messages inattendus avec prudence, en particulier s'ils contiennent des liens ou des pièces jointes.
- Vérifiez que tout message prétendant provenir d'OpenAI est bien envoyé depuis un domaine officiel d'OpenAI.
- OpenAI ne demande jamais de mots de passe, de clés API ou de codes de vérification par e-mail, SMS ou chat.
- Protégez davantage votre compte en activant l'authentification multifactorielle(s'ouvre dans une nouvelle fenêtre).
La sécurité et la confidentialité de nos produits sont primordiales, et nous restons déterminés à protéger vos informations et à communiquer de manière transparente lorsque des problèmes surviennent. Nous vous remercions de votre confiance.
Source : Rapport d'OpenAI
Et vous ?
Pensez-vous que cette déclaration d'OpenAI est crédible ou pertinente ?
Voir aussi :
Répondre avec citation
Partager