Un incident de sécurité survenu chez Mixpanel, l’un des principaux fournisseurs d’analytiques numériques, a suscité de nombreuses inquiétudes, notamment en raison de l’absence de transparence dans l’annonce de la faille. Le 13 novembre, à quelques heures seulement de la fin de la semaine de Thanksgiving aux États-Unis, la PDG de Mixpanel, Jen Taylor, a publié un court billet de blog annonçant la détection d’un incident de sécurité le 8 novembre, sans préciser le type de données compromises, le nombre d’utilisateurs concernés, ni les conséquences concrètes. L’entreprise a indiqué avoir pris des mesures pour éliminer l’accès non autorisé, mais n’a fourni aucune information sur la nature de l’attaque, la source ou la durée de l’intrusion. Malgré plusieurs relances, la direction n’a pas répondu aux questions de TechCrunch, notamment sur la possibilité d’un chantage par les cybercriminels ou l’application de l’authentification à deux facteurs sur les comptes internes. L’un des clients impactés, OpenAI, a publié un billet deux jours plus tard, confirmant que des données de ses utilisateurs avaient été volées via Mixpanel. L’entreprise a expliqué que son utilisation de l’outil de suivi de Mixpanel visait à analyser l’interaction des développeurs avec sa documentation technique. Les données compromises comprenaient le nom, l’adresse e-mail, l’emplacement approximatif (ville, État) basé sur l’adresse IP, ainsi que des informations sur le dispositif (système d’exploitation, version du navigateur). Cependant, OpenAI a souligné que des identifiants sensibles comme l’Android Advertising ID ou l’IDFA d’Apple n’avaient pas été exposés, ce qui limite potentiellement le risque d’identification personnelle précise. L’incident n’a pas affecté directement les utilisateurs de ChatGPT, et OpenAI a immédiatement interrompu son utilisation de Mixpanel. Le cas de Mixpanel met en lumière les risques liés à l’industrie des outils d’analyse, qui collecte des milliards de données sur le comportement des utilisateurs à travers des applications et sites web. Avec 8 000 clients, dont des géants comme OpenAI, le volume d’informations potentiellement exposées est considérable. Ces outils, intégrés via un code embarqué, enregistrent chaque interaction — clics, glissements, connexions — en associant ces actions à des métadonnées sur l’appareil, permettant une identification par « empreinte digitale » du dispositif. Même si les données sont censées être pseudonymisées, elles peuvent être reconstituées pour identifier des individus. De plus, des fonctionnalités comme les « reprises de session » (session replays) peuvent, malgré les protections, capturer des informations sensibles, comme des mots de passe, comme l’a reconnu Mixpanel en 2018. L’incident soulève des questions fondamentales sur la sécurité, la transparence et la gouvernance des données dans une industrie qui, sans être visible pour le grand public, joue un rôle central dans la surveillance numérique. Mixpanel reste muet sur les détails cruciaux, ce qui nuit à la confiance et laisse planer l’incertitude quant à l’étendue du préjudice. L’absence de communication claire, notamment en période de forte vigilance des utilisateurs, illustre une pratique défaillante dans la gestion des crises de cybersécurité. Experts du secteur soulignent que cette faille illustre les dangers inhérents à la centralisation des données d’analyse : un point de défaillance peut compromettre des millions d’utilisateurs à travers des chaînes de sous-traitance complexes. Les entreprises doivent désormais renforcer leurs contrôles, adopter des pratiques de minimisation des données et améliorer leur transparence. Mixpanel, désormais sous pression, devra faire face à une évaluation rigoureuse de ses protocoles de sécurité et de sa stratégie de communication.