Fuite de données OpenAI : qui sont les utilisateurs concernés par cette cyberattaque sur un fournisseur

La dernière fuite d'OpenAI met en lumière les risques de sécurité liés à la transmission de données avec les prestataires.
La Tribune Montage

La dernière fuite d'OpenAI met en lumière les risques de sécurité liés à la transmission de données avec les prestataires.
La Tribune Montage
OpenAI a informé ses utilisateurs par email ce 27 novembre d'une fuite de données impliquant Mixpanel, un service tiers d'analyse Web. L'incident, détecté le 9 novembre, a permis à un attaquant d'accéder à des informations limitées concernant certains utilisateurs de la plateforme « platform.openai », l'interface destinée aux développeurs qui intègrent les technologies d'OpenAI dans leurs propres applications. L'entreprise précise d'emblée que ChatGPT et ses autres produits grand public ne sont pas concernés.
Dans sa communication, OpenAI se veut rassurante. Il ne s'agit pas d'une fuite dans ses propres systèmes. Aucune conversation ChatGPT, aucun mot de passe, information de paiement ou document d'identité n'a été compromis. Les données potentiellement exposées se limitent « seulement » aux informations de profil liées à l'utilisation de la plateforme API : nom et adresse email fournis lors de la création du compte, localisation approximative déduite du navigateur (ville, région, pays), système d'exploitation et navigateur utilisés, ainsi que les identifiants d'organisation ou d'utilisateur.
L'attaque a eu lieu au sein même des systèmes de Mixpanel. Le pirate a exporté un ensemble de données contenant ces informations d'identification et des données analytiques. Mixpanel a alerté OpenAI qu'une enquête était en cours. En réponse, OpenAI a immédiatement cessé d'utiliser Mixpanel et contacte directement les utilisateurs impactés.
Mixpanel est un prestataire connu dans la Silicon Valley. La société propose une plateforme d'analyse comportementale qui permet aux sites Web et applications de suivre comment leurs utilisateurs interagissent avec leurs services. Concrètement, le logiciel collecte en arrière plan des données sur les actions des visiteurs : pages consultées, boutons cliqués, temps passé, parcours de navigation. Ces informations aident les entreprises à optimiser leurs interfaces et leurs fonctionnalités.
OpenAI met en garde les développeurs, indiquant que les informations piratées pourraient être exploitées dans le cadre d'attaques de phishing ou d'ingénierie sociale. Les cybercriminels pourraient utiliser ces données pour créer des emails frauduleux personnalisés, se faisant passer pour OpenAI ou d'autres services légitimes. L'entreprise recommande à ses utilisateurs d'activer l'authentification à deux facteurs et de redoubler de vigilance face aux tentatives d'hameçonnage.
Chaque jour à 13h, l’essentiel de l’actualité tech.

Cet incident illustre un enjeu émergent de l'écosystème des intelligences artificielles génératives. Les entreprises d'IA accumulent des volumes considérables de données utilisateurs pour améliorer leurs modèles et analyser les usages, tout en s'appuyant sur de multiples partenaires externes pour l'analyse et l'infrastructure. Même si OpenAI sécurise correctement ses propres systèmes, il suffit qu'un seul de ses prestataires soit compromis pour qu’une masse d’informations sensibles soit dérobée.