OpenAI a commencé à alerter certains de ses utilisateurs passent par l'API de ChatGPT, les informant qu'une partie de leurs informations ont été exposées. L'incident ne découle pas d'une faille dans les systèmes de la société d'intelligence artificielle, mais d'une faille de sécurité chez Mixpanel, son fournisseur d'outils d'analyse d'audience.
Une attaque SMS fait tomber les défenses de Mixpanel
La source du problème est une campagne de « smishing » (SMS phishing) détecté par Mixpanel le 8 novembre. Cette attaque a permis aux pirates informatiques d’accéder à un ensemble restreint de données analytiques. OpenAI a reçu des détails précis sur l'ensemble de données compromis le 25 novembre, après avoir été informé de l'enquête en cours par son fournisseur.
L’impact est limité aux utilisateurs passant par l’API OpenAI. Ceux qui utilisent ChatGPT via le Web ou une application ne sont pas concernés. OpenAI insiste sur le fait qu’aucun élément critique n’a fuité : « Aucun chat, requête API, donnée d'utilisation de l'API, mot de passe, nom d'utilisateur, clé API, détails de paiement ou identifiant gouvernemental n'a été compromis ou exposé ».
Ce que les pirates ont récupéré
Malgré l’absence de données sensibles, les informations volées restent suffisantes pour lancer des attaques ciblées. Le butin comprend :
- Noms et adresses e-mail associés aux comptes API
- Localisation approximative (ville, état, pays)
- Le système d'exploitation et le navigateur utilisés
- Sites Web référents et identifiants d’organisation ou d’utilisateur
En réponse, OpenAI a immédiatement débranché Mixpanel de sa plateforme par mesure de précaution. Même si aucune réinitialisation du mot de passe n’est nécessaire, l’entreprise appelle à une extrême vigilance face aux risques d’ingénierie sociale. Ces données pourraient être utilisées pour crédibiliser de futurs messages malveillants. La recommandation est claire : activer la double authentification (2FA) et vérifier systématiquement l'origine des liens reçus.
