Le 26 novembre 2025, OpenAI, l’entreprise derrière ChatGPT, a révélé une fuite limitée de données analytiques touchant certains utilisateurs de son API. Contrairement à une cyberattaque directe sur ses systèmes, l’incident provient d’un problème de sécurité chez Mixpanel, un outil d’analyse comportementale des utilisateurs que l’IA américaine utilisait jusqu’alors.
Mixpanel, spécialiste du « product analytics », traque les interactions des usagers sur les plateformes numériques pour optimiser les produits. Parmi ses clients figurait OpenAI, qui s’en servait pour décrypter l’usage de ses modèles comme GPT-5 ou GPT-5.1. Mais un dysfonctionnement chez ce prestataire a exposé des profils d’utilisateurs professionnels – principalement des développeurs intégrant l’API d’OpenAI dans leurs applications, bots ou sites web.
Les données concernées restent circonscrites : noms et adresses e-mail des comptes API, localisation approximative (ville, État, pays) via le navigateur, système d’exploitation et navigateur utilisés, sites de référence, ainsi qu’identifiants d’organisations ou d’utilisateurs. Bonne nouvelle : aucune conversation, requête API, clé d’accès, information de paiement ou pièce d’identité n’a été compromise. OpenAI insiste sur le caractère « limité » de la brèche, épargnant la grande majorité de ses millions d’utilisateurs.
Face à l’événement, la réponse a été rapide. OpenAI a immédiatement rompu avec Mixpanel en le retirant de ses services de production, tout en collaborant pour évaluer l’ampleur exacte de la fuite. Les victimes potentielles – un nombre restreint – seront notifiées individuellement. L’entreprise en profite pour lancer des audits de sécurité renforcés sur l’ensemble de ses fournisseurs, signal d’une vigilance accrue dans un écosystème IA de plus en plus scruté.
Cette affaire, bien que mineure, souligne les risques des chaînes d’approvisionnement numériques. Pour les développeurs impactés, la prudence s’impose : méfiance accrue face aux phishing ciblés exploitant ces infos personnelles. OpenAI réaffirme sa priorité à la protection des données, un enjeu crucial pour maintenir la confiance dans ses innovations disruptives. À suivre : les leçons tirées pourraient redessiner les standards de sécurité chez les géants de l’IA.