Incident de sécurité chez Mixpanel, fournisseur d’analyses de données d’OpenAI

Par /
Une image d'un cadenas numérique stylisé sur un fond abstrait de données et de codes, représentant la sécurité des données et la cybersécurité.

En résumé : un incident « limité »… mais très instructif

Cet incident chez Mixpanel rappelle une réalité souvent sous-estimée : même si vos données ne sont pas directement stockées ou traitées par un fournisseur comme OpenAI, l’écosystème de prestataires tiers (analytics, monitoring, support, etc.) fait partie intégrante de votre surface d’attaque.

Dans ce cas précis :

  • L’attaque a eu lieu chez Mixpanel, pas chez OpenAI.
  • Les données exposées concernent des métadonnées de comptes API (nom, e-mail, localisation approximative, navigateur, OS, sites référents, IDs d’organisation et d’utilisateur).
  • Aucun contenu d’API, aucune clé, mot de passe ou donnée de paiement ne fait partie du périmètre de l’incident.

OpenAI a depuis cessé d’utiliser Mixpanel et engagé un renforcement des contrôles sur l’ensemble de ses fournisseurs.

Pour autant, les informations divulguées sont suffisantes pour alimenter des campagnes de phishing très ciblées, notamment auprès des équipes techniques (développeurs, DevOps, data, RSSI).

Voici l’email qu’à reçu les clients ChatGPT le 27 Novembre 2025

Incident de sécurité impliquant un prestataire tiers

La transparence est importante pour nous, c’est pourquoi nous souhaitons vous informer d’un récent incident de sécurité chez Mixpanel, un fournisseur d’analyses de données qu’OpenAI utilisait pour l’analytique web sur l’interface frontend de notre produit API (platform.openai.com).
L’incident s’est produit au sein des systèmes de Mixpanel et concerne un ensemble limité de données d’analytique liées à votre compte API.

Il ne s’agit pas d’une violation des systèmes d’OpenAI.
Aucune conversation, requête API, donnée d’utilisation de l’API, aucun mot de passe, identifiant, clé d’API, détail de paiement ou pièce d’identité gouvernementale n’a été compromis ou exposé.

Ce qui s’est passé

Le 9 novembre 2025, Mixpanel a découvert qu’un attaquant avait obtenu un accès non autorisé à une partie de ses systèmes et avait exporté un jeu de données contenant des informations identifiables limitées sur des clients ainsi que des informations d’analytique.
Mixpanel a informé OpenAI qu’ils enquêtaient, et le 25 novembre 2025 ils nous ont transmis le jeu de données concerné.

Ce que cela signifie pour vous

Les informations de profil utilisateur associées à l’utilisation de platform.openai.com peuvent avoir été incluses dans les données exportées depuis Mixpanel.
Les informations potentiellement affectées se limitent à :

  • Nom fourni sur le compte API
  • Adresse e-mail associée au compte API
  • Localisation approximative déterminée depuis le navigateur de l’utilisateur de l’API (ville, région/État, pays)
  • Système d’exploitation et navigateur utilisés pour accéder au compte API
  • Sites web référents
  • Identifiants d’organisation ou d’utilisateur associés au compte API

Notre réponse

Dans le cadre de notre enquête de sécurité, nous avons retiré Mixpanel de nos services de production, examiné les jeux de données affectés, et nous travaillons en étroite collaboration avec Mixpanel et d’autres partenaires pour comprendre pleinement l’incident et son périmètre.
Nous sommes en train de notifier directement les organisations, administrateurs et utilisateurs impactés.

Même si nous n’avons trouvé aucune preuve d’un impact sur des systèmes ou des données en dehors de l’environnement de Mixpanel, nous continuons à surveiller de près tout signe d’utilisation abusive.

La confiance, la sécurité et la confidentialité sont au cœur de nos produits, de notre organisation et de notre mission. Nous nous engageons à être transparents et à informer tous les clients et utilisateurs impactés.
Nous tenons également nos partenaires et prestataires à un niveau d’exigence élevé en matière de sécurité et de confidentialité de leurs services. Après examen de cet incident, OpenAI a mis fin à son utilisation de Mixpanel.

Au-delà de Mixpanel, nous menons des examens de sécurité supplémentaires et étendus sur l’ensemble de notre écosystème de prestataires et relevons nos exigences de sécurité pour tous les partenaires et fournisseurs.

Ce que vous devez garder à l’esprit

Les informations potentiellement concernées pourraient être utilisées dans le cadre d’attaques de phishing ou d’ingénierie sociale vous visant, vous ou votre organisation.

Étant donné que les noms, adresses e-mail et métadonnées liées à l’API OpenAI (par exemple les identifiants utilisateur) étaient inclus, nous vous encourageons à rester vigilant face à d’éventuelles tentatives de phishing ou au spam. Pour rappel :

  • Traitez avec prudence tout e-mail ou message inattendu, en particulier s’il contient des liens ou des pièces jointes.
  • Vérifiez soigneusement que tout message prétendant provenir d’OpenAI est bien envoyé depuis un domaine officiel d’OpenAI.
  • OpenAI ne demande jamais de mots de passe, clés d’API ou codes de vérification par e-mail, SMS ou chat.
  • Protégez davantage votre compte en activant l’authentification multi-facteur.

La sécurité et la confidentialité de nos produits sont primordiales, et nous restons déterminés à protéger vos informations et à communiquer de manière transparente lorsqu’un problème survient. Merci pour la confiance que vous nous accordez.

Pour plus d’informations sur cet incident et sur ce qu’il implique pour les utilisateurs concernés, veuillez consulter notre article de blog à ce sujet.

Veuillez contacter votre interlocuteur OpenAI habituel si vous avez des questions ou si vous avez besoin d’assistance.

Pourquoi cet incident concerne directement votre entreprise

Même si vous n’êtes pas client direct d’OpenAI :

  1. Vous utilisez probablement déjà des services avec des prestataires tiers en chaîne
    Outils d’IA, CRM, marketing automation, analytics, support client… chacun de ces services repose lui-même sur d’autres briques (CDN, logs, analytics, hébergeurs, services de sécurité, etc.).
  2. Le risque ne vient plus seulement du « fournisseur principal »
    Dans ce cas, les systèmes d’OpenAI n’ont pas été compromis, mais l’incident touche malgré tout des données clients liées à son API.
    → C’est typiquement ce qu’on appelle un risque de chaîne de sous-traitance au sens RGPD.
  3. Les attaquants adorent les métadonnées
    Une simple combinaison nom + e-mail pro + technologie utilisée + organisation permet :
    • de cibler les bonnes personnes (ex : développeurs API) ;
    • de construire des e-mails très crédibles (« votre compte API OpenAI nécessite une vérification… ») ;
    • de tester ensuite d’autres vecteurs (SSO, VPN, outils de dev, etc.).

5 questions à poser à vos fournisseurs d’IA et de données

Cet incident est un bon prétexte pour revoir les contrats et pratiques avec vos prestataires cloud et IA :

  1. Quels prestataires tiers utilisez-vous pour l’analytics, le monitoring, le support ?
    – Existe-t-il une liste tenue à jour des sous-traitants de niveau 2 / 3 ?
  2. Quelles données sont envoyées à ces tiers ?
    – S’agit-il uniquement de métadonnées techniques ?
    – Y a-t-il des identifiants, des e-mails, des contenus métiers, des logs d’erreurs contenant des données sensibles ?
  3. Quelles clauses contractuelles s’appliquent en cas d’incident chez un sous-traitant ?
    – Délais de notification ?
    – Obligations d’investigation et de transparence ?
    – Engagements de suppression des données ?
  4. Pouvez-vous désactiver ou remplacer ces prestataires tiers si nécessaire ?
    – Exemple : capacité à désactiver un outil d’analytics ou à le remplacer par une solution auto-hébergée.
  5. Les équipes métiers / IT sont-elles informées de ces risques ?
    – Sensibilisation spécifique aux risques de phishing ciblé liés aux outils d’IA.

Bonnes pratiques à mettre en place dès maintenant

Voici quelques actions concrètes que nous recommandons aux RSSI / DPO / DSI après ce type d’incident :

  1. Cartographier les usages d’OpenAI et des autres LLM dans l’entreprise
    • Qui utilise quoi (API, ChatGPT, assistants internes, connecteurs) ?
    • Quelles données sortent effectivement de votre SI ?
  2. Limiter les données envoyées dans le cloud
    • Éviter d’envoyer des données personnelles ou sensibles dans les prompts par défaut.
    • Privilégier une approche RAG : les documents restent dans votre infrastructure, seul le « contexte » minimal est envoyé au modèle.
  3. Réduire la dépendance aux prestataires tiers non maîtrisés
    • Préférer, quand c’est possible, des outils d’analytics auto-hébergés ou open source.
    • Vérifier si vos fournisseurs d’IA proposent des options sans tracking tiers pour les environnements entreprise.
  4. Renforcer la défense contre le phishing ciblé
    • Rappel des bonnes pratiques déjà indiquées par OpenAI (méfiance envers les liens, vérification du domaine, jamais de partage de clés ou mots de passe, MFA systématique).
    • Campagnes de sensibilisation dédiées aux équipes qui manipulent des clés API et des comptes privilégiés.
  5. Mettre à jour vos procédures d’incident de sécurité
    • Intégrer explicitement la gestion d’incidents chez des sous-traitants (notification, analyse de périmètre, communication interne).
    • Prévoir un canal de communication clair vers les métiers quand un fournisseur d’IA est concerné.

Ce que cet incident dit de l’IA « d’entreprise »

Cet épisode illustre bien la différence entre :

  • Consommer un service d’IA grand public / cloud sans cadrage,
  • Mettre en place une véritable plateforme d’IA d’entreprise, avec :
    • gouvernance des données,
    • maîtrise de la chaîne de sous-traitance,
    • séparation claire entre données sensibles internes et outils externes,
    • contrôles de sécurité et de conformité à votre niveau (et pas seulement à celui du fournisseur).

Pour beaucoup d’ETI et d’organisations publiques, cela plaide pour une approche hybride :

  • des usages cloud bien cadrés, pour certains cas d’usage ;
  • et, en parallèle, des solutions IA open source ou souveraines, déployées sur une infrastructure maîtrisée pour les données les plus sensibles.

Comment Noroit peut vous accompagner

Chez Noroit, nous aidons les entreprises à tirer parti de l’IA tout en gardant la main sur leurs données :

  • Analyse de votre exposition actuelle
    Cartographie des usages IA (OpenAI, autres LLM, outils SaaS), identification des données qui sortent de votre SI et des prestataires tiers impliqués.
  • Choix d’architecture et de modèles
    Aide au choix entre LLM cloud et LLM open source auto-hébergés, selon la sensibilité des données, les besoins métiers et les contraintes réglementaires.
  • Mise en place d’une base de connaissances IA maîtrisée
    Conception de solutions de type RAG où vos documents restent chez vous : Votre IA, vos données, votre indépendance.
  • Formation des équipes (RSSI, DPO, métiers, IT)
    Sensibilisation aux risques spécifiques liés à l’IA générative (fuite de données, sous-traitants, phishing ciblé) et bonnes pratiques de prompts, de paramétrage et de sécurité.
  • Maintenance et accompagnement dans la durée
    Pour faire évoluer votre plateforme IA au rythme des incidents, des nouvelles exigences de sécurité et des avancées technologiques.

Laisser un commentaire

Retour en haut

En savoir plus sur Noroit

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture