Fuite de données MyLovely.AI : 113 000 prompts explicites exposés, quelles menaces pour les utilisateurs ?

Séraphine Clairlune

En 2026, la fuite de données MyLovely.AI a mis en lumière les risques inhérents aux plateformes d’intelligence artificielle générative. Plus de 113 000 prompts explicites, dont près de 70 000 rattachés à des identifiants utilisateurs, se sont retrouvés en ligne, accompagnés d’adresses e-mail, de liens vers des images NSFW et de profils sociaux. Cette exposition soulève des questions cruciales sur la protection de la vie privée, la conformité au RGPD et les scénarios de sextorsion. Dans cet article, nous décortiquons la portée de la fuite, les dangers pour les victimes, les réponses attendues et les bonnes pratiques à adopter dès maintenant.

Comprendre la portée de la fuite de données MyLovely.AI

Volume et nature des données compromises

Le jeu de données divulgué comprend plusieurs types d’informations :

  • 113 000 prompts explicitement marqués comme NSFW;
  • 70 000 de ces prompts liés à des IDs utilisateurs spécifiques;
  • adresses e-mail, noms d’utilisateur Discord et X (anciennement Twitter);
  • métadonnées de collection, URLs de stockage d’images, et rapports de modération.

Ces éléments sont regroupés dans des fichiers JSON - notamment Profiles.json, Gallery_Items.json et Collections.json - facilitant la corrélation entre prompts, images générées et identités réelles. Selon le site Have I Been Pwned, la fuite a touché plus de 100 000 comptes, ce qui place l’incident parmi les plus importantes divulgations de données liées à l’IA générative en Europe.

Méthode de divulgation et sources

Le jeu de données a d’abord été signalé sur un forum de cybercriminalité, où des acteurs malveillants partageaient des extraits de fichiers JSON. Le même contenu a ensuite été répertorié par des services de surveillance des fuites comme Have I Been Pwned. Les enquêteurs de l’ANSSI ont confirmé que l’accès non autorisé provenait d’une faiblesse dans l’API de gestion des contenus, permettant à un acteur extérieur d’extraire massivement les collections d’utilisateurs.

“La gravité réside non seulement dans le volume, mais surtout dans la nature intime des prompts, qui peuvent être exploités à des fins de chantage numérique.” - Analyste cybersécurité, ANSSI, 2026

Risques pour les victimes : sextorsion et usurpation d’identité

Scénarios d’exploitation des prompts explicites

Les prompts NSFW contiennent souvent des descriptions détaillées de préférences sexuelles, de fantasmes et parfois de données biométriques implicites. Un cybercriminel peut :

  1. Assembler un profil complet à partir des prompts, e-mails et liens sociaux;
  2. Diffuser ces contenus sur des forums de sextorsion, menaçant les victimes de les rendre publics;
  3. Utiliser les images générées comme preuves frauduleuses dans des tentatives d’extorsion financière.

Dans la pratique, les victimes voient leurs conversations privées transformées en armes de chantage, avec un impact psychologique et financier considérable.

Implications juridiques et conformité (RGPD, ANSSI)

Le RGPD impose aux responsables de traitement une obligation de protection des données sensibles, classées sous la catégorie “données à caractère personnel particulièrement sensibles”. La diffusion de contenus à caractère sexuel constitue une violation grave, pouvant entraîner des sanctions allant jusqu’à 4 % du chiffre d’affaires annuel mondial. De plus, l’ANSSI recommande la mise en place de mécanismes de chiffrement au repos et en transit, ainsi que des audits de sécurité API réguliers.

“Les entreprises doivent démontrer que les mesures de sécurité sont proportionnées aux risques, sous peine d’une responsabilité accrue en cas de fuite massive comme celle de MyLovely.AI.” - Rapport de conformité, CNIL, 2025

Mesures de prévention et réponse immédiate

Actions à entreprendre pour les utilisateurs affectés

Si vous pensez être concerné, suivez ces étapes :

  • Changez immédiatement le mot de passe de votre compte MyLovely.AI et activez l’authentification à deux facteurs (2FA);
  • Surveillez vos comptes e-mail et réseaux sociaux pour détecter d’éventuels messages de phishing ou de sextorsion;
  • Contactez les autorités locales (Police nationale, CNIL) pour déclarer l’incident et obtenir un accompagnement juridique.
  • Utilisez un service de surveillance de l’identité afin d’être alerté en cas d’apparition de vos données sur le dark web.

Bonnes pratiques pour les plateformes AI

Les fournisseurs de services IA doivent :

  • Implémenter le principe du least privilege pour les accès API;
  • Chiffrer les données sensibles à l’aide de standards comme AES-256;
  • Effectuer des tests de pénétration trimestriels ciblant les vecteurs d’extraction de données;
  • Mettre à disposition des utilisateurs des options de effacement complet de leurs données, conformément à l’article 17 du RGPD.

Comparatif des réponses des incidents similaires

IncidentAnnéeDonnées exposéesRéponse légaleMesures correctives majeures
MyLovely.AI2026113 000 prompts, e-mail, IDEnquête CNIL en cours, possibles amendes RGPDChiffrement renforcé, API revamp, 2FA obligatoire
Replika202445 000 messages privés, métadonnéesNotification aux autorités, sanctions minimesImplémentation de sandbox, audit sécurité annuel
AI-Companion X202578 000 images générées, logsProcédure de notification obligatoireMise à jour des politiques de rétention, formation du personnel

Le tableau montre que la plupart des plateformes réagissent tardivement, laissant les utilisateurs exposés pendant plusieurs semaines.

Guidelines pratiques pour sécuriser vos interactions AI en 2026

Voici une checklist actionable pour chaque utilisateur qui souhaite protéger ses échanges avec des IA génératives :

  1. Évaluez la sensibilité du contenu que vous partagez : évitez d’inclure des informations personnellement identifiables (PII) dans les prompts.
  2. Activez les protections de votre compte (2FA, alertes de connexion).
  3. Utilisez des alias ou pseudonymes pour les plateformes publiques, limitant la corrélation avec votre identité réelle.
  4. Sauvegardez vos données localement de façon chiffrée, afin de pouvoir les effacer du serveur en cas de besoin.
  5. Restez informé des mises à jour de sécurité des services que vous utilisez et désactivez les API publiques non essentielles.
// Exemple de fragment JSON extrait du dump MyLovely.AI
{
  "user_id": "a1b2c3d4",
  "email": "example@example.com",
  "prompt": "Create a seductive scene with a futuristic setting, describing the protagonist's desires in vivid detail.",
  "nsfw": true,
  "image_url": "https://cdn.mylovely.ai/gallery/abcd1234.jpg",
  "metadata": {
    "timestamp": "2026-04-08T14:12:00Z",
    "subscription_level": "premium",
    "moderation_flag": false
  }
}

En pratique, comment réduire le risque de sextorsion ?

  • Limitez la diffusion de captures d’écran ou d’URL d’images générées ; utilisez des plates-formes qui appliquent des restrictions d’accès aux contenus.
  • Évitez les comptes liés à votre identité réelle sur les services d’IA à caractère NSFW.
  • Réagissez rapidement aux premiers signes de chantage ; la plupart des escrocs cherchent à obtenir un paiement avant de publier les contenus.

Prochaines étapes recommandées pour les entreprises du secteur IA

  • Audit de conformité : réévaluer les exigences RGPD et ISO 27001 avant la fin de l’année 2026.
  • Formation du personnel à la sécurité des données sensibles et à la gestion des incidents.
  • Déploiement d’un SOC interne dédié aux menaces spécifiques aux IA génératives, incluant la surveillance des vecteurs de compromission API.

En conclusion, la fuite de données MyLovely.AI illustre l’urgence d’adopter des mesures de cybersécurité robustes tant du côté des utilisateurs que des fournisseurs. En suivant les bonnes pratiques présentées, vous réduirez significativement les risques de sextorsion et d’usurpation d’identité. Restez vigilant, chiffrez vos interactions et n’attendez pas qu’une violation survienne pour agir.

Mots-clés : fuite de données MyLovely.AI, confidentialité IA, sextorsion, RGPD, ANSSI, sécurité API, prompts NSFW.