OpenAI a commencé à alerter certains de ses utilisateurs passant par l’API de ChatGPT, les informant qu’une partie de leurs informations a été exposée. L’incident ne provient pas d’une faille dans les systèmes de l’entreprise d’intelligence artificielle, mais d’une brèche de sécurité chez Mixpanel, son fournisseur d’outils d’analyse d’audience.
Une attaque par SMS fait tomber les défenses de Mixpanel
La source du problème est une campagne de « smishing » (phishing par SMS) détectée par Mixpanel le 8 novembre. Cette attaque a permis aux pirates d’accéder à un ensemble de données analytiques restreint. OpenAI a reçu les détails précis du jeu de données compromis le 25 novembre, après avoir été informé de l’enquête en cours chez son prestataire.
L’impact se limite aux utilisateurs passant par l’API d’OpenAI. Ceux qui utilisent ChatGPT via le Web ou l’application ne sont pas concernés. OpenAI insiste sur le fait qu’aucun élément critique n’a filtré : « Aucune discussion, requête API, donnée d’utilisation API, mot de passe, identifiant, clé API, détail de paiement ou pièce d’identité gouvernementale n’a été compromis ou exposé ».
Ce que les pirates ont récupéré
Malgré l’absence de données sensibles, les informations dérobées restent suffisantes pour monter des attaques ciblées. Le butin inclut :
- Les noms et adresses e-mail associés aux comptes API
- La localisation approximative (ville, état, pays)
- Le système d’exploitation et le navigateur utilisés
- Les sites Web référents et les identifiants d’organisation ou d’utilisateur
En réponse, OpenAI a immédiatement débranché Mixpanel de sa plateforme par mesure de précaution. Bien qu’aucune réinitialisation de mot de passe ne soit nécessaire, l’entreprise appelle à une vigilance extrême face au risque d’ingénierie sociale. Ces données pourraient servir à crédibiliser de futurs messages malveillants. La recommandation est claire : activer la double authentification (2FA) et vérifier systématiquement l’origine des liens reçus.
