Qu’est-ce qui se cache réellement derrière la faille de sécurité d’OpenAI ? Ce qui a été divulgué et ce qui n'a pas été divulgué

Étapes du site ChatGPT pour activer l'authentification multifacteur, comme on peut le voir entouré en rouge.

Fin novembre dernier, OpenAI confirmait une faille de sécurité affectant ses clients API. Mais ce qui est important dans tout cela, nous le savons désormais : OpenAI n’était pas la cible directe de l’attaque, mais elle a été affectée. La cible était Mixpanel, une société américaine incontournable pour l’analyse des données de la plus grande entreprise d’IA…

OpenAI utilise ces analyses pour surveiller la manière dont sa propre plateforme est utilisée. Un attaquant a pu accéder au compte d'un employé de Mixpanel grâce à une attaque de phishing par SMS et a réussi à infiltrer l'infrastructure de l'entreprise. Parvenant ainsi à obtenir des données client comprenant des informations telles que des noms, des e-mails ou des informations sur l'organisation.

Ce qui est rassurant, c’est qu’aucun mot de passe, clé API, détail de paiement ou conversation avec les utilisateurs n’a été divulgué. Mais cela ne signifie pas que les utilisateurs sont à l’abri de tout danger. Mais la question qui vient à l’esprit des utilisateurs est la suivante : que pouvons-nous faire pour nous protéger à l’avenir si l’écart se creuse ?

Ce qui a été divulgué et ce qui ne provenait pas d'OpenAI

Dans un premier temps, il faut faire la distinction entre le type de données qui ont été divulguées et celles qui ne l’ont pas été. Et même si de nombreux utilisateurs craignaient le pire, les données divulguées ont été assez limitées.

Parmi les données divulguées, nous avons trouvé :

  • Noms et prénoms des utilisateurs
  • Adresses e-mail
  • Informations sur l'organisation. C'est-à-dire le nom de l'entreprise ou de l'entité dans laquelle nous utilisons l'API OpenAI.
  • ID d’utilisateur interne et d’organisation.

Mais nous disposons également d'une série de données qui n'ont pas été divulguées, pour la tranquillité d'esprit des utilisateurs, il ne faut donc pas craindre :

  • Vos mots de passe dans OpenAI
  • Clés API ou jetons d'accès
  • Informations de paiement (où nous incluons les cartes de crédit ou les méthodes pgo)
  • Historique des discussions ou des conversations
  • Données spécifiques de nos requêtes API
  • Numéros d'identification, passeports ou autres documents.

Cette collecte est importante car elle signifie que, même si quelqu'un connaît notre nom et notre adresse e-mail OpenAI, il ne peut pour l'instant pas accéder à notre compte ou à nos données. Mais cela ne signifie pas que nous sommes à l’abri du danger. Les attaquants savent désormais précisément que nous sommes des utilisateurs d'OpenAI et peuvent opter pour des attaques de phishing ciblées sur notre courrier électronique de manière plus convaincante.

Mesures pratiques pour nous protéger des menaces possibles

Bien que les données divulguées n’incluent ni mots de passe ni codes d’accès, les experts en cybersécurité recommandent toujours de prendre une série de mesures préventives.

Tout d'abord, et même s'il ne s'agit pas d'un risque imminent, nous devrions changer notre mot de passe OpenAI. Que vous ayez un compte ChatGPT ou un accès à l'API, accédez aux paramètres de votre profil et modifiez votre mot de passe. Choisissez quelque chose de complet et fort, et si possible, au moins 16 caractères avec majuscules, minuscules, chiffres et symboles.

Activer l'authentification à deux facteurs. Dans la même section de paramètres, vous pouvez activer 2FA si ce n'est pas déjà fait, une couche de protection qui nous protège même si quelqu'un obtient notre mot de passe.

Activez l'authentification multifacteur (MFA) dans ChatGPT. Photo : Capture depuis Softzone.

tu devrais aussi Soyez extrêmement prudent avec les e-mails et messages suspects. Désormais, les attaquants connaissent votre adresse e-mail en tant qu'utilisateur OpenAI. Méfiez-vous donc de tout expéditeur qui vous demande des informations dans un email. Il est fort probable qu’il s’agisse d’un phishing. Si vous recevez un e-mail suspect, accédez directement au site OpenAI sans cliquer sur aucun lien.

Cela ne fait pas de mal non plus de revoir votre activité récente. Depuis votre compte ChatGPT, vous pouvez consulter votre historique d'accès et si vous voyez une tentative de connexion depuis un emplacement inconnu, modifiez votre mot de passe. Enfin, dans tous les cas, jetez un œil à votre compte bancaire. Il est vrai que les informations de paiement n'ont pas été divulguées, mais de cette façon, vous pouvez également vous assurer contre tout débit non autorisé sur votre carte.

C'est l'astuce pour changer la luminosité et le contraste de votre PC avec une seule touche

ChatGPT, prompts, tokens, hallucinations… les 7 mots-clés à connaître sur l'IA

Une question ? Une demande de partenariat ? Contactez-nous !

Contact

© 2026 Progiciels Mag - Progiciels-mag@sfr.fr

À propos