Passer au contenu principal
OpenAI

26 novembre 2025

EntrepriseSécurité

Ce qu’il faut savoir sur le récent incident de sécurité chez Mixpanel

Clarification du 19 décembre 2025 : Nous mettons à jour le blog pour clarifier la description des utilisateurs concernés. Le blog original indiquait que les « utilisateurs de l’API » étaient concernés. Il a été mis à jour pour ajouter : « Il a également affecté un nombre limité d’utilisateurs de ChatGPT qui ont soumis des tickets au centre d’aide ou qui étaient connectés à platform.openai.com(ouverture dans une nouvelle fenêtre). » Tous les utilisateurs concernés ont été identifiés et notifiés en même temps dans le cadre de la communication initiale adressée aux utilisateurs. Hormis cette clarification, rien d’autre n’a changé dans notre compréhension de l’incident, y compris le type d’informations impliquées.

La transparence nous tient à cœur ; c’est pourquoi nous souhaitons vous informer d’un incident de sécurité récent chez Mixpanel, un fournisseur d’analyses de données qu’OpenAI a utilisé pour effectuer des analyses web sur l’interface front-end de notre produit API (platform.openai.com(ouverture dans une nouvelle fenêtre)). 

L’incident s’est produit au sein des systèmes de Mixpanel et a impliqué des données analytiques limitées concernant certains utilisateurs de l’API. Il a également affecté un nombre limité d’utilisateurs de ChatGPT qui ont soumis des demandes au centre d’aide ou qui étaient connectés à platform.openai.com.

Il ne s’agit pas d’une violation des systèmes d’OpenAI. Aucun chat, aucune requête API, aucune donnée d’utilisation de l’API, aucun mot de passe, aucune information d’identification, aucune clé API, aucun détail de paiement ou identifiant gouvernemental n’a été compromis ni exposé.

Que s’est-il passé ?

Le 9 novembre 2025, Mixpanel a appris qu’un pirate avait obtenu un accès non autorisé à une partie de ses systèmes et exporté un ensemble de données contenant des informations limitées permettant d’identifier des clients ainsi que des informations analytiques. Mixpanel a informé OpenAI qu’elle enquêtait et, le 25 novembre 2025, elle nous a communiqué l’ensemble des données concernées. 

Ce que cela signifie pour les utilisateurs concernés

Il se peut que des informations de profil utilisateur associées à l’utilisation de platform.openai.com(ouverture dans une nouvelle fenêtre) aient été incluses dans les données exportées de Mixpanel. Les informations susceptibles d’avoir été affectées se limitent aux éléments suivants :

  • Nom qui nous a été fourni sur le compte 
  • Adresse e-mail associée au compte
  • Emplacement approximatif basé sur le navigateur de l’utilisateur (ville, région, pays)
  • Système d’exploitation et navigateur utilisés pour accéder au compte
  • Sites web référents
  • Identifiants d’organisation ou d’utilisateur associés au compte

Notre réponse  

Dans le cadre de notre enquête de sécurité, nous avons retiré Mixpanel de nos services de production, examiné les ensembles de données affectés, et nous travaillons en étroite collaboration avec Mixpanel et d’autres partenaires pour bien comprendre l’incident et son ampleur. Nous sommes en train d’informer directement les organisations, les administrateurs et les utilisateurs concernés. Bien que nous n’ayons trouvé aucune preuve d’un effet sur les systèmes ou les données en dehors de l’environnement de Mixpanel, nous continuons à surveiller de près tout signe d’utilisation abusive. 

La confiance, la sécurité et la confidentialité sont des éléments fondamentaux pour nos produits, notre organisation et notre mission. Nous nous engageons à faire preuve de transparence, et nous procédons à informer tous les clients et utilisateurs concernés. Nous demandons également à nos partenaires et à nos fournisseurs de respecter les normes les plus strictes en matière de sécurité et de confidentialité concernant leurs services. Après avoir examiné cet incident, OpenAI a cessé d’utiliser Mixpanel. 

Au-delà de Mixpanel, nous procédons à des examens de sécurité supplémentaires et élargis dans l’ensemble de notre écosystème de fournisseurs, et nous renforçons les exigences de sécurité pour tous les partenaires et fournisseurs.

Ce que vous devez garder à l’esprit  

Les informations potentiellement affectées pourraient être utilisées dans le cadre de tentatives de phishing ou d’ingénierie sociale contre vous ou votre organisation. 

Étant donné que des noms, des adresses e-mail et des métadonnées de l’API OpenAI (par exemple, des identifiants d’utilisateur) ont été inclus, nous vous encourageons à rester vigilants face aux tentatives de phishing crédibles et aux spams. À titre de rappel :

  • Traitez les e-mails ou les messages inattendus avec prudence, surtout s’ils contiennent des liens ou des pièces jointes.
  • Veuillez vérifier que tout message prétendant provenir d’OpenAI est envoyé depuis un domaine officiel d’OpenAI.
  • OpenAI ne demande pas de mots de passe, de clés API ni de codes de vérification par e-mail, SMS ou chat.
  • Renforcez la protection de votre compte en activant l’authentification multifacteur(ouverture dans une nouvelle fenêtre)

La sécurité et la confidentialité de nos produits sont primordiales, et nous restons déterminés à protéger vos informations et à communiquer de manière transparente en cas de problème. Nous vous remercions pour votre confiance continue. 

OpenAI

FAQ

Pourquoi OpenAI a-t-elle utilisé Mixpanel ?

  • Mixpanel a été utilisé comme fournisseur tiers d’analyses web pour nous aider à comprendre l’utilisation du produit et à améliorer nos services pour notre produit API (platform.openai.com). Un nombre limité d’utilisateurs de ChatGPT qui ont soumis des tickets via le centre d’aide ou qui étaient connectés à platform.openai.com ont pu voir les informations décrites ci-dessus enregistrées par Mixpanel. Ces utilisateurs ont été identifiés à ce moment-là et ont déjà été notifiés.

Cela est-il dû à une vulnérabilité des systèmes d’OpenAI ?

  • Non. Cet incident était limité aux systèmes de Mixpanel et n’a pas impliqué d’accès non autorisé à l’infrastructure d’OpenAI.

Comment savoir si mon organisation ou moi-même avons été impactés ?

  • Nous sommes en train d’informer les personnes concernées, et nous vous contacterons, vous ou l’administrateur de votre organisation, directement par e-mail pour vous en informer.

Certains prompts, certaines données ou sorties de mon API ont-elles été affectées ?

  • Non. Le contenu des chats, les prompts, les réponses ou les données d’utilisation de l’API n’ont pas été affectés.

Les comptes ChatGPT ont-ils été affectés ?

  • Certains utilisateurs de ChatGPT qui ont soumis des tickets via le centre d’aide ou qui étaient connectés à platform.api.com ont pu être affectés. Ils avaient déjà été informés auparavant.

Les mots de passe OpenAI, les clés API ou les informations de paiement ont-ils été exposés ?

  • Non. Les mots de passe OpenAI, les clés API, les informations de paiement, les identifiants gouvernementaux et les informations d’identification n’ont pas été affectés. De plus, nous avons confirmé que les tokens de session, les tokens d’authentification et d’autres paramètres sensibles pour les services OpenAI n’ont pas été affectés.

Dois-je réinitialiser mon mot de passe ou renouveler mes clés API ?

  • Étant donné que les mots de passe et les clés API n’ont pas été affectés, nous ne recommandons pas de réinitialiser ou de faire une rotation des clés en réponse à cet incident.

Que faites-vous pour protéger mes informations personnelles et ma vie privée ?

  • Nous avons obtenu les ensembles de données concernés pour un examen indépendant et nous continuons à enquêter sur l’impact potentiel et à surveiller de près tout signe d’utilisation abusive. Nous informons toutes les organisations et tous les utilisateurs individuellement impactés, et nous sommes en contact avec Mixpanel pour déterminer des actions supplémentaires en réponse.

Mixpanel a-t-il été retiré des produits OpenAI ?

  • Oui. 

Devrais-je activer l’authentification multifacteur pour mon compte ?

  • Oui. Bien que les informations d’identification ou les tokens de compte n’aient pas été affectés par cet incident, en guise de sécurité recommandée, nous conseillons à tous les utilisateurs d’activer l’authentification multifacteur pour protéger davantage leurs comptes. Pour les entreprises et les organisations, nous recommandons que l’authentification multifacteur (MFA) soit activée au niveau de l’authentification unique (SSO). 

Recevrai-je d’autres mises à jour si quelque chose change ?

  • Nous nous engageons à faire preuve de transparence et vous tiendrons informé si nous découvrons de nouvelles informations qui affectent de manière significative les utilisateurs concernés. Nous mettrons également cette FAQ à jour. 

Y a-t-il quelqu’un à qui je peux m’adresser si j’ai des questions ?

  • Si vous avez des questions, des préoccupations ou des problèmes de sécurité, vous pouvez contacter l’équipe d’assistance à l’adresse mixpanelincident@openai.com

Auteur

OpenAI

Poursuivez votre lecture

Tout afficher
dell
OpenAI et Dell Technologies s’associent pour déployer Codex dans des environnements d’entreprise hybrides et sur site

Entreprise

codex windows > art card
Créer une sandbox sûre et efficace pour activer Codex sur Windows

Ingénierie

Frame
Notre réponse à l’attaque de la chaîne d’approvisionnement npm de TanStack

Entreprise