OpenAI est contraint d'informer ses utilisateurs professionnels qu'une faille de sécurité chez son partenaire, Mixpanel, a exposé des informations d'identification. Suite à cette attaque par smishing (hameçonnage par SMS), l'entreprise a immédiatement mis fin à son partenariat. OpenAI tient à rassurer : ses propres serveurs ne sont pas en cause, et les comptes des utilisateurs ChatGPT grand public ne sont pas concernés.
Le coup de canif dans le contrat Mixpanel
L'incident trouve son origine chez Mixpanel, une société spécialisée dans l'analyse d'utilisation web, que la firme de Sam Altman utilisait pour comprendre la façon dont les développeurs interagissaient avec sa plateforme API. La brèche a été détectée par Mixpanel le 8 novembre 2025 après une campagne de smishing.
L'information, transmise à OpenAI le 25 novembre, a provoqué une réaction immédiate. Jugeant la faille inacceptable, OpenAI a retiré Mixpanel de ses systèmes de production et met fin à leur collaboration. L'entreprise procède à une réévaluation complète des exigences de sécurité pour l'ensemble de ses fournisseurs tiers.
Quelles données sont parties dans la nature ?
A priori, les informations les plus sensibles sont intactes. Les mots de passe, les clés API (qui permettent d'accéder aux services), les détails de paiement et, surtout, le contenu des conversations ChatGPTn'ont pas été compromis.
Les données dérobées sont celles des utilisateurs des services API (développeurs et entreprises). Elles incluent des informations d'identification basiques : le nom et l'adresse e-mail du compte, une localisation géographique approximative (ville, pays), des détails sur le navigateur et l'OS utilisé, ainsi que l'ID unique de l'utilisateur ou de l'organisation.
La nouvelle menace : le phishing ciblé
Ce qui est préoccupant, c'est l'usage potentiel de ces données. Même si elles ne sont pas très sensibles, elles sont suffisantes pour monter des attaques de phishing extrêmement crédibles. Les pirates peuvent désormais cibler les développeurs en les contactant par e-mail ou SMS en utilisant leur nom et leur statut de client OpenAI.
C'est pourquoi OpenAI conseille aux utilisateurs API d'être très prudents avec tout message inattendu. Il est recommandé de toujours vérifier l'expéditeur et les liens, et d'activer l'authentification à deux facteurs (2FA). Il n'est heureusement pas nécessaire de changer les mots de passe.
On en dit quoi ?
C'est toujours un vrai problème. Qu'une faille majeure chez un acteur technologique de premier plan soit causée par une attaque de smishing chez un partenaire montre que la sécurité peut s'effondrer sur le maillon le plus faible. La décision d'OpenAI de mettre Mixpanel à la porte est la seule réponse logique pour restaurer la confiance. Même en étant à la pointe de l'IA, la gestion des risques tiers est loin d'être parfaite.
