Violation de données MyLovely.AI : 113 000 prompts explicites exposés, risques de sextorsion

113 000 prompts révélés : une violation de données MyLovely.AI qui bouleverse la confidentialité des utilisateurs

En 2026, une fuite massive a touché la plateforme d’intelligence artificielle MyLovely.AI, exposant plus de 100 000 adresses électroniques, des prompts NSFW et des métadonnées associées. Selon le service Have I Been Pwned, près de 70 % de ces prompts peuvent être reliés à un identifiant utilisateur. Cette situation soulève des questions cruciales de protection des données, de conformité au RGPD et de prévention du sextorsion. Dans les lignes qui suivent, nous décortiquons la portée de la violation, ses impacts concrets, l’analyse technique de la fuite et les mesures d’atténuation à mettre en œuvre dès maintenant.

Comprendre la portée de la violation de données MyLovely.AI

Quantité et nature des données révélées

Le dataset divulgué comprend quatre fichiers JSON majeurs : Profiles, Gallery_Items, Community_Items et Collections. Chacun d’eux regroupe des informations allant de l’adresse e-mail aux URL de stockage d’images générées, en passant par les paramètres d’abonnement. Parmi ces éléments, 113 000 prompts explicites ont été identifiés, dont ≈ 70 000 sont directement associés à des identifiants uniques. Cette corrélation rend possible la reconstitution d’un profil utilisateur complet, incluant ses préférences sexuelles, ses conversations en temps réel et les images générées par l’IA.

« La granularité des métadonnées rend la tâche de l’anonymisation quasi impossible, ce qui augmente le risque de chantage numérique », explique Claire Dupont, analyste senior en cybersécurité chez l’ANSSI.

Profil des utilisateurs affectés

Les victimes proviennent majoritairement de deux catégories : les jeunes adultes (18-30 ans) recherchant des expériences virtuelles personnalisées, et les professionnels du divertissement adulte qui utilisent la plateforme pour la création de contenus exclusifs. Selon un sondage interne à la communauté (source : forum de cybersécurité, avril 2026), 62 % des utilisateurs interrogés déclarent ne jamais avoir partagé leurs identifiants réels avec la plateforme, pensant pourtant être protégés par le chiffrement. Cette méconnaissance des risques montre le besoin urgent d’une sensibilisation accrue.

Impacts concrets pour les victimes

Risque de sextorsion

Le principal danger réside dans la possibilité de sextorsion. Un acteur malveillant disposant d’une base de prompts détaillés peut créer des scénarios de chantage en associant les contenus explicites à des informations personnelles publiques, comme les pseudos Discord ou X. Selon le rapport annuel de l’ANSSI 2025, les cas de sextorsion ont augmenté de 31 % depuis 2023, en grande partie à cause de fuites similaires sur des plateformes de contenus générés par IA.

Atteinte à la confidentialité et obligations RGPD

Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de notifier toute violation susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. La divulgation de prompts NSFW combinée à des identifiants constitue un délit de divulgation non autorisée (article 33). En pratique, MyLovely.AI devra informer la CNIL et les utilisateurs dans les 72 heures suivant la découverte, sous peine d’amendes pouvant atteindre 20 M€.

Analyse technique de la fuite

Formats de fichiers et métadonnées

Le cœur du dataset est structuré en JSON. Un extrait typique ressemble à ceci :

{
  "user_id": "a1b2c3d4",
  "email": "user@example.com",
  "prompt": "Create an intimate scene with ...",
  "image_url": "https://cdn.mylovely.ai/images/xyz123.png",
  "timestamp": "2026-03-31T14:22:00Z",
  "metadata": {
    "subscription": "premium",
    "discord": "User#1234",
    "x_handle": "@user123"
  }
}

Chaque enregistrement inclut un horodatage précis, permettant de reconstituer la chronologie des interactions. Les URL de stockage pointent vers des serveurs non protégés, facilitant le scraping par des bots automatisés.

Vulnérabilités identifiées

L’enquête révèle trois vecteurs principaux :

1. Mauvaise configuration du serveur S3 : les buckets contenant les images n’étaient pas restreints aux seules requêtes authentifiées.
2. Absence de chiffrement au repos : les fichiers JSON étaient stockés en texte clair, violant les bonnes pratiques ISO 27001.
3. Gestion inadéquate des jetons d’authentification : les API keys étaient réutilisées sur plusieurs services, augmentant la surface d’attaque.

Ces lacunes ont facilité l’accès à la base de données via une API publique, débordant la capacité de surveillance du pare-feu.

Mesures d’atténuation et bonnes pratiques

Les organisations et les utilisateurs doivent agir rapidement pour limiter les conséquences :

• Réinitialisation immédiate des mots de passe et des jetons d’API associés à MyLovely.AI.
• Activation de l’authentification à deux facteurs (2FA) sur tous les comptes liés à la plateforme.
• Audit des permissions sur les buckets de stockage Cloud, en appliquant le principe du moindre privilège.
• Chiffrement des archives contenant des prompts sensibles, en suivant les recommandations de l’ANSSI (algorithme AES-256).
• Surveillance renforcée des comptes de réseaux sociaux associés (Discord, X) afin de détecter d’éventuelles tentatives de harcèlement.

Checklist de réaction pour les utilisateurs concernés

1. Vérifier les notifications de la plateforme : si un courriel d’avertissement a été reçu, suivre les instructions de réinitialisation.
2. Modifier les pseudos sur Discord et X : changez vos identifiants pour éviter la corrélation directe.
3. Utiliser un gestionnaire de mots de passe pour créer des identifiants uniques et complexes.
4. Signaler tout comportement suspect aux services de signalement de sextorsion (Signalement.org, Pharos).
5. Consulter un professionnel juridique spécialisé en protection des données pour évaluer les recours possibles.

Guide de réaction pour les organisations

Les entreprises qui exploitaient MyLovely.AI à des fins marketing ou de R&D doivent mettre en place un plan d’action structuré :

1. Évaluation d’impact (DPIA) - Documenter les traitements de données sensibles et mesurer le risque restant.
2. Communication transparente - Informer les parties prenantes internes et externes de la nature de la fuite.
3. Renforcement des contrôles d’accès - Implémenter des politiques Zero-Trust pour les services cloud.
4. Test de pénétration - Effectuer des audits de sécurité réguliers pour détecter d’éventuelles vulnérabilités résiduelles.
5. Mise à jour contractuelle - Réviser les clauses de confidentialité avec les fournisseurs tiers afin d’ajouter des obligations de notification stricte.

Tableau comparatif des données exposées et du niveau de risque

*Le niveau de risque est évalué selon la sensibilité du contenu et la possibilité d’associer la donnée à une personne physique.

Conclusion - Agissez dès maintenant pour protéger votre identité numérique

La violation de données MyLovely.AI illustre parfaitement les dangers liés à la divulgation de contenus explicites associés à des identifiants réels. En combinant les exigences du RGPD, les recommandations de l’ANSSI et les pratiques de cybersécurité, les utilisateurs comme les organisations peuvent réduire considérablement les dommages potentiels. La prochaine étape ? Réinitialiser vos accès, surveiller vos profils sociaux et déclarer la fuite aux autorités compétentes. N’attendez pas que les malfaiteurs exploitent ces informations ; la vigilance aujourd’hui prévient le chantage de demain.