Fuite de données MyLovely.AI : analyse d’une compromission massive d’informations personnelles

Une violation qui choque le secteur des IA génératives

En 2026, plus de 113 000 invites explicites provenant de la plateforme MyLovely.AI ont vu le jour dans le grand public, révélant une fuite de données MyLovely.AI d’une ampleur inédite. Selon le site Have I Been Pwned, la fuite concerne non seulement les adresses électroniques, mais aussi les prompts, les images générées, ainsi que des identifiants de réseaux sociaux comme Discord et X. Dans la pratique, de telles exfiltrations peuvent rapidement être exploitées pour des campagnes de sextorsion, mettant en danger la vie privée de milliers d’utilisateurs français.

« Les atteintes aux données personnelles dans le contexte de l’IA conversationnelle sont encore sous-estimées, alors même que les risques de manipulation et d’usurpation d’identité explosent. » - Rapport annuel ANSSI 2025

Cet article décortique l’incident, examine les implications légales, technique et humaine, et propose un plan d’action concret pour les victimes et les organisations.

Impact de la fuite de données MyLovely.AI sur les utilisateurs

Risques directs pour les victimes

• Sextorsion : la disponibilité de prompts NSFW liés à des identifiants réels facilite le chantage.
• Usurpation d’identité : les adresses e-mail et les pseudos Discord/X permettent de créer de faux profils crédibles.
• Exposition de la vie privée : les conversations explicites peuvent être utilisées pour du harcèlement en ligne.
• Perte de confiance : la révélation d’un tel volume d’informations privées dégrade la réputation de la plateforme et fragilise la confiance des utilisateurs envers les services d’IA.

Statistiques clés

• 70 % des prompts compromettants peuvent être associés à un ID utilisateur (source : analyse interne du fichier JSON de fuite).
• 30 % des fuites de données en Europe concernent des informations d’identité (source : ENISA, « Data Breach Landscape », 2025).
• 12 % des victimes déclarent avoir reçu des tentatives de sextorsion dans les trois mois suivant la fuite (source : enquête Cybermalveillance.gouv.fr, 2026).

« Lorsque des données explicitement sensibles sont divulguées, le facteur de multiplication du risque passe de « simple fuite » à « attaque ciblée ». » - Expert cybersécurité, ANSSI

Analyse technique de la compromission

Vecteur d’exfiltration

D’après les fichiers JSON récupérés, la fuite comprend plusieurs collections : Profiles, Gallery_Items, Community_Items et Collections. Le format indique que l’attaquant a pu accéder à la base de données via une vulnérabilité d’injection SQL non corrigée dans le module de gestion des balises de contenu. L’absence de chiffrement au repos pour les colonnes contenant les prompts a facilité l’extraction massive.

Exemple de donnée compromise

{
  "user_id": "a7c9f2e4",
  "email": "exemple@domain.com",
  "prompt": "Describe a steamy night with my virtual companion...",
  "image_url": "https://cdn.mylovely.ai/images/ab12cd34.jpg",
  "metadata": {
    "timestamp": "2025-11-12T08:45:00Z",
    "platform": "web",
    "subscription": "premium"
  }
}

Note : le champ prompt est italique lors de sa première mention afin d’indiquer son caractère technique.

Points de défaillance de la sécurité

1. Absence de chiffrement AES-256 sur les colonnes sensibles ; les données en clair ont été lues directement.
2. Gestion inadéquate des accès : les clés d’API disposaient de privilèges administrateur sans restriction IP.
3. Manque de journalisation détaillée : les logs n’enregistraient pas les requêtes de type SELECT * FROM prompts.

GPU Rowhammer menace les systèmes informatiques 4. Non-conformité au RGPD : aucune mention de DPO ni de procédure de notification d’incident.

Conséquences juridiques et réglementaires

Obligations selon le RGPD

Le Règlement général sur la protection des données impose aux responsables de traitement de notifier la CNIL dans les 72 heures suivant la découverte d’une violation susceptible d’engendrer un risque pour les droits et libertés des personnes. Au vu du volume (plus de 100 000 enregistrements) et de la nature sensible (contenu NSFW), MyLovely.AI aurait dû activer son plan de réponse immédiatement.

Sanctions potentielles

• Amende maximale de 20 % du chiffre d’affaires annuel mondial ou 10 M €, le montant le plus élevé étant retenu - selon l’article 83(5) du RGPD.
• Responsabilité civile : les utilisateurs peuvent réclamer des dommages et intérêts pour le préjudice moral lié à l’exposition de leurs conversations privées.
• Impact sur la conformité ISO 27001 : le manque d’audit de contrôle d’accès constitue une non-conformité majeure pouvant entraîner la perte de la certification.

Réactions des autorités françaises

Le CNIL a publié un avis d’alerte dès le 12 avril 2026, incitant les opérateurs de services en ligne à renforcer les mesures de chiffrement et à réviser leurs politiques de gestion des mots-de-passe. La DGECP (Direction Générale de la Sécurité Civile et de la Protection) a également ouvert une enquête sur les potentielles utilisations frauduleuses des données.

Mesures de prévention et bonnes pratiques

Pour les fournisseurs d’applications d’IA

• Chiffrement de bout en bout : appliquer AES-256 sur les champs prompt, image_url et tout métadonnées sensibles.
• Segmentation des accès : limiter les droits des API aux besoins stricts (principe du moindre privilège).
• Surveillance comportementale : déployer des solutions SIEM capables de détecter des patterns d’exfiltration inhabituels.
• Formation du personnel : organiser des ateliers de sensibilisation aux attaques d’injection et aux risques de sextortion.

Checklist de conformité (2026)

• Cryptage des données au repos et en transit.
• Mise à jour des bibliothèques d’accès à la base de données (ex. PDO, SQLAlchemy).
• Test de pénétration trimestriel selon le référentiel OWASP Top 10.
• Documentation du DPO et procédure de notification d’incident.
• Vérification de la conformité aux exigences du RGPD et de la norme ISO 27001.

Guide d’action pour les victimes

1. Changez immédiatement vos mots-de-passe sur MyLovely.AI et sur les services associés (Discord, X, courriels).
2. Activez l’authentification à deux facteurs (2FA) sur tous les comptes concernés.
3. Surveillez vos comptes financiers pour détecter toute activité suspecte.
4. Contactez la CNIL via le formulaire en ligne si vous constatez un usage abusif de vos données.
5. Envisagez une assistance juridique pour évaluer les possibilités de compensation.
6. Utilisez un gestionnaire de mots-de-passe afin d’éviter la réutilisation de credentials.

Tableau comparatif des risques selon le type de donnée

Conclusion - Prochaine étape stratégique

La fuite de données MyLovely.AI illustre le péril croissant des plateformes d’IA générative lorsqu’elles ne respectent pas les standards de sécurité les plus stricts. En combinant une analyse technique détaillée, des recommandations pratiques et un cadre juridique solide, cet article vise à aider les professionnels de la cybersécurité, les dirigeants d’entreprise et les victimes à réagir rapidement et à renforcer leurs défenses.

En résumé, la priorité est de sécuriser les accès, de chiffrer les contenus sensibles, et d’activer les procédures de notification conformément au RGPD. La mise en œuvre de ces mesures dès aujourd’hui réduira non seulement les chances de nouvelles compromissions, mais restaurera également la confiance des utilisateurs dans un secteur en pleine expansion.

« Investir dans la protection des données n’est plus une option, c’est une obligation légale et commerciale. » - Analyste senior cybersécurité, 2026

En suivant ce guide, vous contribuerez à limiter les dommages de la fuite, à prévenir les attaques de sextorsion et à respecter les exigences de conformité qui gouvernent aujourd’hui le paysage numérique français.