Alerte de faille de sécurité chez OpenAI : un incident expose des données utilisateur limitées

L'entreprise affirme qu'aucune donnée API ni aucun identifiant n'a été exposé, mais met en garde ses utilisateurs contre les tentatives d'hameçonnage.

Une faille de sécurité chez un tiers expose des métadonnées de comptes API limitées

OpenAI informe ses clients d'un incident de sécurité concernant Mixpanel, un fournisseur d'analyse tiers utilisé auparavant sur l'interface de sa plateforme API. L'intrusion s'est produite entièrement au sein des systèmes de Mixpanel et a affecté un sous-ensemble de données analytiques liées aux comptes utilisateurs API, précise l'entreprise. OpenAI souligne que son infrastructure reste sécurisée :

« Il ne s'agit pas d'une faille dans les systèmes d'OpenAI. Aucune conversation, requête API, donnée d'utilisation de l'API, mot de passe, identifiant, clé API, information de paiement ou pièce d'identité officielle n'a été compromise ni exposée.»

Mixpanel a détecté l'accès non autorisé le 9 novembre 2025. Les enquêteurs ont confirmé par la suite qu'un attaquant avait exporté un ensemble de données contenant des métadonnées permettant d'identifier les clients. Le fournisseur a transmis à OpenAI l'ensemble de données concerné le 25 novembre, permettant ainsi un examen approfondi des informations exposées.

Quelles données ont été affectées ?

Les informations compromises concernaient principalement les profils et les données analytiques associés aux connexions sur platform.openai.com. OpenAI a informé ses clients que les enregistrements exportés pouvaient contenir les éléments suivants :

• Noms de compte
• Adresses e-mail
• Localisation approximative déduite des données du navigateur
• Détails de l’appareil
• Sites web de provenance
• Identifiants d’utilisateur ou d’organisation

L’entreprise a précisé qu’aucune donnée d’authentification sensible ni aucun contenu d’API n’était concerné.

Bien que la faille soit restée circonscrite à Mixpanel, les métadonnées impliquées pourraient être utilisées à des fins d’hameçonnage ciblé ou d’usurpation d’identité. OpenAI a réitéré cette préoccupation dans son communiqué, avertissant que des attaquants pourraient concevoir des messages crédibles en utilisant des identifiants exposés tels que les adresses e-mail et les identifiants d’utilisateur.

OpenAI cesse d’utiliser Mixpanel et renforce ses contrôles de sécurité des fournisseurs

Suite à cet incident, OpenAI a retiré Mixpanel de tous ses environnements de production et a commencé à informer les organisations et les administrateurs concernés. L’entreprise a indiqué qu’elle continue de surveiller toute utilisation abusive et n’a constaté « aucun impact sur les systèmes ou les données en dehors de l’environnement Mixpanel ».

En réponse à la faille de sécurité, OpenAI a mis fin à sa collaboration avec Mixpanel et a lancé des audits de sécurité approfondis au sein de son écosystème de fournisseurs. L'entreprise a déclaré renforcer les exigences de sécurité pour tous ses partenaires et a réaffirmé son engagement en matière de transparence et de protection des utilisateurs.

Les utilisateurs sont invités à renforcer la sécurité de leurs comptes

OpenAI a exhorté ses clients API à rester vigilants, soulignant que la divulgation de métadonnées pouvait alimenter des attaques d'ingénierie sociale. L'entreprise leur a conseillé de traiter avec prudence les messages inattendus, de vérifier que les communications proviennent bien des domaines officiels d'OpenAI, d'éviter de partager leurs mots de passe ou clés API et d'activer l'authentification multifacteur (MFA) pour renforcer la sécurité de leurs comptes.

Pour réduire davantage les risques d'usurpation d'identité et protéger leurs identifiants personnels, les utilisateurs peuvent également envisager d'utiliser des outils de protection dédiés.

Bitdefender Digital Identity Protection surveille les fuites de données personnelles sur Internet et vous alerte si vos informations apparaissent dans des violations de données ou sur des plateformes malveillantes. En cas de messages suspects ou de tentatives d'hameçonnage potentielles, Bitdefender Scamio offre une solution simple pour vérifier les e-mails, les liens, les captures d'écran et les conversations afin de détecter les signes de fraude avant d'interagir avec eux. Ces deux outils peuvent servir de protection supplémentaire à un moment où les acteurs malveillants utilisent souvent à mauvais escient même des métadonnées limitées.