OpenAI victime d'une fuite de données via son prestataire Mixpanel

Le 26 novembre 2025, OpenAI annonce une fuite limitée de données utilisateurs liée à Mixpanel, son ancien fournisseur d’analyse. Aucune donnée sensible n’a été compromise, mais l’incident soulève des questions sur la sécurité des API.

OpenAI, la société américaine derrière ChatGPT, a révélé le 26 novembre 2025 qu’une fuite de données avait affecté certains utilisateurs de son API. Cette fuite provient d’un incident chez Mixpanel, un prestataire spécialisé dans l’analyse comportementale des utilisateurs, qui suivait les interactions avec les services d’OpenAI. Bien que l’entreprise assure qu’aucune donnée sensible n’a été exposée, la situation met en lumière les risques liés à la gestion des données par des tiers.

Mixpanel, un acteur clé de l’analyse produit au cœur de la fuite

Mixpanel est une société américaine qui fournit des outils de « product analytics », permettant aux entreprises de comprendre précisément comment les utilisateurs interagissent avec leurs applications ou sites web. En collectant des données sur les clics, parcours et autres comportements, elle aide à orienter les décisions stratégiques basées sur des données réelles plutôt que sur des suppositions. OpenAI utilisait ce service pour analyser l’usage de son API, notamment celle intégrant les modèles GPT-5 et GPT-5.1.

Le 26 novembre 2025, OpenAI a annoncé avoir retiré Mixpanel de ses services de production suite à un incident de sécurité. Selon le communiqué, une fuite a exposé un « nombre limité de données analytiques relatives à certains utilisateurs de l’API ». Cette fuite ne résulte pas d’une intrusion dans les systèmes d’OpenAI, mais d’une faille chez Mixpanel.

Quelles données ont été exposées ?

OpenAI précise que les informations compromises ne comprennent ni conversations, ni requêtes API, ni données de connexion, ni clés API, ni informations de paiement ou pièces d’identité. Les données concernées sont principalement des métadonnées liées aux comptes API professionnels, notamment :

  • Le nom et l’adresse e-mail associés au compte API,
  • La localisation approximative basée sur le navigateur (ville, État, pays),
  • Le système d’exploitation et le navigateur utilisés,
  • Les sites web référents,
  • Les identifiants d’organisation ou d’utilisateur liés au compte API.

Ces informations concernent surtout des développeurs et organisations ayant intégré l’API OpenAI à leurs propres applications, ce qui pourrait exposer ces utilisateurs à des risques de phishing ciblé.

OpenAI renforce ses audits de sécurité

En réponse à cet incident, OpenAI a cessé d’utiliser Mixpanel et collabore avec son ancien prestataire pour évaluer précisément l’étendue des données exposées. L’entreprise s’engage à notifier directement les utilisateurs et organisations affectés. Par ailleurs, des audits de sécurité supplémentaires sont en cours pour l’ensemble de son écosystème de fournisseurs, afin de prévenir de futurs incidents.

À lire