La violation de Mixpanel a exposé des millions de noms d'utilisateurs et d'adresses e-mail de l'API OpenAI, soulevant des inquiétudes mondiales en matière de sécurité. OpenAI a confirmé que ses serveurs n'avaient pas été compromis et qu'aucune conversation, aucun mot de passe ni aucune donnée de paiement n'avait été divulgué. Les utilisateurs sont invités à rester vigilants face aux tentatives d'hameçonnage et à sécuriser leurs comptes à l'aide de l'authentification multifactorielle (MFA) et de mots de passe mis à jour.OpenAI (« AI » pour artificial intelligence, ou intelligence artificielle) est une entreprise américaine d'intelligence artificielle (IA) fondée en 2015 à San Francisco en Californie. Sa mission est de développer et de promouvoir une intelligence artificielle générale « sûre et bénéfique à toute l'humanité ». Son lancement de ChatGPT en novembre 2022 a déclenché un intérêt mondial pour les agents conversationnels et l'IA générative.
ChatGPT est lancé en novembre 2022 dans une version gratuite où il n'a pas accès à Internet comme source d'informations. Il bénéficie aussitôt d’une large exposition médiatique et reçoit un accueil globalement positif, bien que son exactitude factuelle soit critiquée. En janvier 2023, ChatGPT compte plus de 100 millions de comptes enregistrés, et la société OpenAI est alors valorisée à 29 milliards de dollars américains.
Récemment, des millions d'enregistrements d'utilisateurs connectés aux services API d'OpenAI ont été exposés après que des pirates aient compromis les systèmes de Mixpanel, un fournisseur d'analyses tiers. Selon les informations communiquées aux utilisateurs concernés d'OpenAI, les données divulguées comprenaient les noms d'utilisateur, les adresses e-mail et les métadonnées organisationnelles associées à l'utilisation de l'API.
Les spécialistes en cybersécurité avertissent que ces informations apparemment inoffensives peuvent néanmoins être utilisées à des fins malveillantes. Les pirates exploitent souvent les noms et les adresses e-mail pour créer des messages de phishing convaincants destinés à inciter les utilisateurs à révéler leurs identifiants ou à cliquer sur des liens malveillants. C'est pourquoi même une violation impliquant des enregistrements non sensibles peut comporter des risques à long terme.
Dans sa déclaration officielle, OpenAI a précisé que ses serveurs n'avaient pas été compromis. L'entreprise a ajouté que la violation s'était produite entièrement au sein de l'infrastructure de Mixpanel, qui stockait des données analytiques limitées liées à certains comptes API. OpenAI a souligné que les utilisateurs réguliers de ChatGPT n'avaient pas été affectés et qu'aucune conversation, demande API, identifiant, pièce d'identité officielle, mot de passe ou information de paiement n'avait été exposé à aucun moment.
Mixpanel a découvert l'accès non autorisé le 9 novembre 2025. Le 25 novembre 2025, la société a communiqué les données concernées à OpenAI afin que cette dernière puisse commencer à vérifier ce qui n'avait pas fonctionné. Dès qu'OpenAI a pris connaissance du problème, elle a immédiatement supprimé Mixpanel de tous ses systèmes en ligne afin d'empêcher toute nouvelle fuite de données. Elle a ensuite examiné attentivement tous les enregistrements concernés et a commencé à informer tous les utilisateurs et organisations touchés à travers le monde.
En plus de corriger le problème, OpenAI a également annoncé de nouvelles mesures visant à renforcer la sécurité pour tous ses partenaires tiers. Cela montre que l'entreprise fera désormais preuve d'une plus grande prudence à mesure qu'elle continue de se développer et de lancer de nouveaux outils qui dépendent de services externes. Bien que la violation n'ait pas révélé d'informations sensibles telles que des mots de passe, des informations de paiement ou des conversations ChatGPT, l'exposition des détails de base des comptes a tout de même suscité une inquiétude généralisée au sein de la communauté mondiale des développeurs, y compris dans des pays comme l'Inde.
OpenAI a exhorté tous les utilisateurs, qu'ils pensent ou non que leurs informations ont été compromises, à rester vigilants face à d'éventuelles tentatives d'hameçonnage. Les noms et adresses e-mail ayant été divulgués, les pirates pourraient se faire passer pour OpenAI ou des services connexes en envoyant des messages qui semblent légitimes. Les utilisateurs doivent se méfier des liens, pièces jointes ou demandes d'informations personnelles inattendus.
OpenAI rappelle à tous qu'il ne demande jamais de mots de passe, de clés API, de codes de vérification ou d'autres informations sensibles par e-mail ou SMS. Tout message contenant une telle demande doit être considéré comme suspect. Vérifier que les e-mails proviennent des domaines officiels d'OpenAI offre une protection supplémentaire. Pour réduire davantage les risques, les utilisateurs sont encouragés à activer l'authentification multifactorielle (MFA) sur tous les comptes liés à l'adresse e-mail exposée. Vérifier les autres services qui utilisent les mêmes identifiants, mettre à jour les mots de passe si nécessaire et surveiller toute activité inhabituelle peut aider à limiter les dommages potentiels.
Ce rapport intervient alors qu'OpenAI fait face à une autre controverse. En effet, un récent rapport a révélé qu'OpenAI ne sera pas rentable d'ici 2030 et doit encore trouver 207 milliards de dollars supplémentaires pour financer ses projets de croissance. L’information heurte par son ampleur : OpenAI aurait besoin de lever au moins 207 milliards de dollars d’ici 2030 pour poursuivre sa trajectoire actuelle, selon des projections de l'équipe américaine de HSBC chargée des logiciels et des services, relayées dans la presse économique. À l’échelle du secteur technologique, ce chiffre frôle l’irréel. Pourtant, il reflète une réalité devenue incontournable : l’intelligence artificielle moderne coûte une fortune monumentale, et chaque nouveau palier technologique transforme cette facture en précipice.
Voici le communiqué d'OpenAI de l'incident :
Ce qu'il faut savoir au sujet d'un récent incident de sécurité chez Mixpanel
La transparence est importante pour nous, c'est pourquoi nous tenons à vous informer d'un récent incident de sécurité chez Mixpanel, un fournisseur d'analyses de données utilisé par OpenAI pour l'analyse web sur l'interface frontale de notre produit API (platform.openai.com(s'ouvre dans une nouvelle fenêtre)).
L'incident s'est produit au sein des systèmes de Mixpanel et a concerné des données analytiques limitées relatives à certains utilisateurs de l'API. Les utilisateurs de ChatGPT et d'autres produits n'ont pas été affectés.
Il ne s'agit pas d'une violation des systèmes d'OpenAI. Aucune conversation, demande API, donnée d'utilisation API, mot de passe, identifiant, clé API, détail de paiement ou pièce d'identité officielle n'a été compromise ou exposée.
Que s'est-il passé ?
Le 9 novembre 2025, Mixpanel a découvert qu'un pirate informatique avait accédé sans autorisation à une partie de ses systèmes et exporté un ensemble de données contenant des informations limitées permettant d'identifier les clients et des informations analytiques. Mixpanel a informé OpenAI qu'il menait une enquête et, le 25 novembre 2025, il nous a communiqué l'ensemble de données concerné.
Quelles sont les conséquences pour les utilisateurs concernés ?
Les informations de profil utilisateur associées à l'utilisation de platform.openai.com(s'ouvre dans une nouvelle fenêtre) peuvent avoir été incluses dans les données exportées depuis Mixpanel. Les informations susceptibles d'avoir été compromises se limitent à :
- Le nom qui nous a été fourni sur le compte API
- L'adresse e-mail associée au compte API
- La localisation approximative basée sur le navigateur de l'utilisateur API (ville, état, pays)
- Système d'exploitation et navigateur utilisés pour accéder au compte API
- Sites web référents
- Identifiants d'organisation ou d'utilisateur associés au compte API
Notre réponse
Dans le cadre de notre enquête de sécurité, nous avons supprimé Mixpanel de nos services de production, examiné les ensembles de données concernés et travaillons en étroite collaboration avec Mixpanel et d'autres partenaires afin de comprendre pleinement l'incident et son ampleur. Nous sommes en train d'informer directement les organisations,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.