Nouveau coup dur pour la confiance numérique. La société OpenAI, créatrice du célèbre agent conversationnel ChatGPT, se retrouve au cœur d'une affaire de fuite de données. L'incident ne provient cependant pas d'une faille directe de ses systèmes, mais bien d'une vulnérabilité identifiée chez l'un de ses partenaires.

La société en cause est Mixpanel, spécialisée dans l'analyse du comportement des utilisateurs sur des sites et applications. C'est via une intrusion dans les serveurs de ce prestataire que des informations sensibles ont pu être dérobées par des acteurs malveillants.

hacker

Quelles sont les données précisément compromises ?

Bien que les systèmes internes d'OpenAI n'aient pas été violés, cette fuite collatérale n'est pas sans conséquence. Le butin des pirates est bien identifié et concerne principalement les métadonnées des comptes de la plateforme API. Les informations compromises incluent :

  • Le nom associé au compte utilisateur ;
  • L'adresse e-mail de contact ;
  • La localisation approximative, déduite de l'adresse IP ;
  • Les identifiants d'organisation et d'utilisateur ;
  • Des informations techniques sur le navigateur et le système d'exploitation.

OpenAI a cependant tenu à rassurer rapidement ses utilisateurs en confirmant que le cœur de son service, notamment les conversations avec ChatGPT ou les données de paiement, n'est absolument pas touché par cet incident. La brèche reste donc circonscrite à un périmètre bien défini.

openai

Qui est réellement concerné par cette fuite ?

Il est crucial de comprendre que cet incident ne cible pas l'utilisateur grand public de ChatGPT. Les personnes directement affectées sont les développeurs et les entreprises qui exploitent l'interface de programmation (API) via le portail platform.openai.com. Ces données analytiques permettaient à OpenAI de comprendre comment les professionnels interagissaient avec ses outils, via les services de Mixpanel.

Aucune conversation privée, aucune requête envoyée à l'intelligence artificielle, ni aucune clé API ou information de paiement n'a été compromise. De même, les mots de passe et les identifiants de connexion restent en sécurité, car ils n'étaient pas gérés ou stockés par le partenaire affecté.

openai

Quelles mesures ont été prises par OpenAI ?

Face à cet incident, la réaction d'OpenAI a été double. D'une part, la firme a immédiatement coupé les ponts avec Mixpanel, suspendant l'utilisation de l'outil d'analyse en attendant les conclusions complètes de l'enquête. D'autre part, une campagne de communication par e-mail a été lancée pour informer tous les utilisateurs potentiellement touchés.

L'entreprise met en garde contre les risques accrus de phishing. Les pirates pourraient en effet se servir des informations volées pour monter des arnaques plus crédibles et personnalisées. La vigilance est donc de mise face aux emails ou messages inattendus qui sembleraient provenir d'OpenAI. Pour renforcer la sécurité des comptes, l'entreprise rappelle l'importance capitale d'activer l'authentification à deux facteurs, une barrière efficace contre les accès non autorisés.