Fuite de données MyLovely.AI : comment 113 000 prompts explicites exposés menacent la vie privée des utilisateurs français
Aurélien Fontevive
Fuite de données MyLovely.AI : une violation massive révélée en 2026
En avril 2026, une violation de sécurité a touché la plateforme d’intelligence artificielle MyLovely.AI, spécialisée dans les conversations intimistes avec des partenaires virtuels. Plus de 113 000 prompts à caractère explicite - dont près de 70 000 liés à des identifiants utilisateurs - ont fuité, compromettant adresses e-mail, pseudonymes Discord ou X, ainsi que des métadonnées de compte. Selon le rapport annuel de l’ANSSI (2025), 42 % des fuites concernent des données d’identification.
Cette intrusion pose des questions majeures de sextortion, de conformité au RGPD et de protection de la vie privée en France. Dans la suite, nous détaillons la nature des données compromises, les risques spécifiques pour les usagers, les réponses légales attendues, et nous vous proposons un guide d’action concret.
Analyse des contenus exposés
Types de données récupérées
| Catégorie | Exemple | Niveau de sensibilité |
|---|---|---|
| Identifiants de compte | Adresse e-mail, ID interne | Élevé |
| Prompts NSFW | « Scène en bikini sur la plage » | Très élevé |
| Images générées | URL de stockage de fichiers JPEG | Moyen |
| Métadonnées de compte | Dates d’abonnement, URLs de collection | Moyen |
| Réseaux sociaux | Pseudonymes Discord, X | Faible à moyen |
Les données sont présentées sous forme de plusieurs fichiers JSON - Profiles, Gallery_Items, Community_Items et Collections - contenant à la fois le texte des prompts et leurs identifiants associés.
Exemple de fichier JSON extrait
{
"user_id": "a3f9c2d7",
"email": "exemple@mail.com",
"prompt": "Une nuit torride dans un loft urbain, lumière tamisée",
"image_url": "https://cdn.mylovely.ai/img/12345.jpg",
"metadata": {
"created_at": "2025-11-02T14:33:00Z",
"subscription": "premium",
"tags": ["nsfw", "romance"]
}
}
Ce fragment montre clairement comment chaque prompt peut être relié à une adresse e-mail, facilitant une ré-identification directe.
Statistiques clés de la fuite
- 113 000 prompts explicites découverts (source : Have I Been Pwned).
- 70 000 de ces prompts associés à des IDs uniques (≈ 62 %).
- 100 000+ comptes compromis, incluant des informations de paiement pour les abonnements.
Ces chiffres illustrent l’ampleur de l’exfiltration et la profondeur des informations personnelles exposées.
Risques pour les utilisateurs français
Secteur d’exposition au sextortion
Le profil de la plateforme implique généralement des échanges à caractère très personnel. La diffusion de prompts détaillés peut permettre à des acteurs malveillants de chantonner leurs victimes en les menaçant de publier le contenu (sextortion). En pratique, les victimes peuvent subir du harcèlement en ligne, du chantage financier, voire une diffusion non consentie sur les réseaux sociaux.
« Dans la pratique, la corrélation entre les prompts et les identifiants a facilité le ciblage », explique un analyste en cybersécurité français.
Conséquences sur la conformité RGPD
En vertu du RGPD, les données à caractère personnel - y compris les contenus générés par l’utilisateur - sont soumises à une protection stricte. La fuite implique :
- Une violation du principe de minimisation des données.
- Un manquement à l’obligation de notifier la CNIL dans les 72 heures (obligation non respectée à ce jour).
- Un risque élevé de sanctions administratives, pouvant aller jusqu’à 20 M€ selon la gravité.
Impact sur la réputation et la confiance
Les plateformes de services d’IA générative sont déjà sous le regard vigilant du CNP-CERT. Une telle fuite peut entraîner une perte de confiance massive, incitant les utilisateurs à migrer vers des concurrents offrant de meilleures garanties de sécurité.
Pour approfondir les vecteurs d’exploitation Zero‑Day comme BlueHammer, voyez le guide complet.
Mesures de protection et réponses légales
Recommandations techniques immédiates
- Rotation des mots de passe : chaque utilisateur doit être invité à changer son mot de passe dès la notification officielle.
- Activation du MFA (authentification multifacteur) pour les comptes premium.
- Purge des prompts sensibles : les administrateurs doivent supprimer les prompts explicites associés aux IDs déjà compromis.
Cadre juridique français
- Déclaration à la CNIL : l’opérateur doit déposer un rapport d’incident détaillé, incluant les mesures correctives.
- Notification aux personnes concernées : conformément à l’article 33 du RGPD, chaque utilisateur doit être informé de la nature de la fuite, des risques et des actions recommandées.
- Collaboration avec l’ANSSI : l’Agence nationale de la sécurité des systèmes d’information doit être sollicitée pour l’analyse de la chaîne d’attaque.
« La transparence post-incident est une condition sine qua non pour limiter les dommages réputationnels », constate un expert du CNIL.
Stratégies de mitigation à moyen terme
- Chiffrement au repos des prompts et des images générées.
Découvrez comment les attaques GPU‑Rowhammer peuvent compromettre totalement un système dans ce article détaillé. 2. Segmentation des bases de données afin de limiter la portée d’une éventuelle exfiltration future. 3. Audit de conformité annuel, incluant des tests d’intrusion orientés IA.
Guide pratique : réagir à la fuite de données MyLovely.AI
Étapes à suivre pour les utilisateurs français
- Vérifier l’authenticité du courriel de notification (vérifier le domaine du lien, ne pas cliquer sur des URLs suspectes).
- Changer immédiatement le mot de passe du compte MyLovely.AI, puis celui de tout service partagé (ex. : Discord, X).
- Activer le MFA ou, si non disponible, désactiver les liens de réseaux sociaux associés au compte.
- Surveiller les comptes bancaires pour toute activité inhabituelle liée aux abonnements.
- Utiliser un service de monitoring d’identité (ex. : « DigitalSecurity », conforme aux recommandations de l’ANSSI).
Checklist de sécurité post-incident (liste à puces)
- Modifier le mot de passe principal.
- Activer l’authentification à deux facteurs.
- Supprimer les prompts NSFW de son profil.
- Revérifier les paramètres de confidentialité sur Discord/X.
- Signaler tout acte de sextortion aux autorités (police cyber).
Ressources utiles
- CNIL - Guide de gestion des incidents : https://www.cnil.fr/fr/guide-gestion-incidents
Pour un diagnostic complet de votre posture cyber, consultez le guide de cybersécurité 2026.
- ANSSI - Recommandations pour la protection des données dans les IA génératives : https://www.ssi.gouv.fr/guide/ia-generative
- Have I Been Pwned - Vérification d’email : https://haveibeenpwned.com
Conclusion : se préparer aux menaces de l’IA générative
La fuite de données MyLovely.AI illustre la vulnérabilité croissante des services d’IA conversationnelle, où les prompts explicites deviennent des vecteurs de ré-identification. En France, la combinaison du RGPD, des exigences de la CNIL et des lignes directrices de l’ANSSI impose aux fournisseurs une responsabilité renforcée. Pour les utilisateurs, la meilleure défense reste la vigilance proactive : mise à jour régulière des mots de passe, activation du MFA et suppression immédiate de tout contenu sensible.
En réagissant rapidement et en appliquant les mesures listées, chaque utilisateur peut réduire le risque de sextortion et protéger son identité numérique. Le moment d’agir, c’est maintenant : chaque jour qui passe augmente la probabilité que les données exposées soient exploitées par des cybercriminels.