Fuite de données MyLovely.AI : comment 113 000 prompts explicites exposés menacent la vie privée

Orphée Grandsable

Hook : une fuite qui révèle 113 000 prompts NSFW

En 2026, plus de 100 000 utilisateurs de la plateforme MyLovely.AI voient leurs données personnelles exposées. Selon le registre Have I Been Pwned, plus de 113 000 prompts explicites ont fuité, dont près de 70 000 sont directement rattachés à des identifiants utilisateurs. Cette situation soulève d’importantes questions de vie privée, de sextorsion et de conformité aux exigences telles que le RGPD et les recommandations de l’ANSSI.

Impact de la fuite de données MyLovely.AI sur la vie privée

La plateforme MyLovely.AI permettait à chaque utilisateur de créer du contenu NSFW personnalisé et d’interagir en temps réel avec des IA simulant des compagnes. Les données compromises comprennent :

  • les adresses e-mail,
  • les prompts texte détaillant des fantasmes ou scénarios intimes,
  • les URL d’images générées,
  • des identifiants Discord et X (Twitter).

« La compromission de données à caractère sexuel constitue un vecteur de chantage de plus en plus fréquent », explique l’ANSSI.

En pratique, la fuite de données MyLovely.AI entraîne un risque accru de phishing ciblé, de réidentification à partir d’images stockées, et surtout de sextorsion, où un acteur malveillant exploite le caractère sensible du contenu pour extorquer les victimes.

Risques spécifiques pour les utilisateurs français

  • Réidentification : même sans nom, les métadonnées de prompts et les URL d’images peuvent être croisées avec des bases publiques pour identifier les personnes.
  • Sextorsion : la divulgation de contenus explicites fournit une monnaie de chantage puissante, notamment dans un contexte où la loi française (article 226-4 du Code pénal) prévoit des peines aggravées.
  • Atteinte à la réputation : la visibilité de contenus intimes sur des réseaux sociaux peut engendrer des dommages irréversibles.

Analyse technique du jeu de données divulgué

Le corpus publié sur un forum de cybercriminalité inclut plusieurs fichiers JSON détaillant les profils, galeries, et collections d’utilisateurs. Voici un extrait typique :

{
  "user_id": "123456",
  "email": "exemple@domain.com",
  "prompts": ["Create a rainy night scenario with your AI companion..."],
  "gallery_items": ["https://cdn.mylovely.ai/img/abc123.jpg"],
  "subscriptions": {"tier": "premium", "expires": "2027-01-01"}
}

Cette structure montre clairement comment les prompts sont liés à un identifiant unique. Ce phénomène illustre également les risques liés aux attaques matérielles telles que le Rowhammer GPU. En croisant ces fichiers avec les informations publiques disponibles (p. ex. profils Discord), un analyste pourrait établir des corrélations très précises.

Types de données exposées

Type de donnéeRisque principalExemple d’exploitation
Adresses e-mailPhishing cibléEnvoi de messages contenant des captures d’écran de chats NSFW pour inciter à la divulgation d’informations supplémentaires
Prompts NSFW liés à un IDSextorsionDemande de rançon sous menace de diffusion du contenu sur des plateformes publiques
URLs d’imagesRéidentificationUtilisation d’outils de reconnaissance faciale pour associer les images à des profils en ligne
Identifiants Discord / XHarcèlementContact direct via les réseaux sociaux pour exercer du chantage

« Les fuites massives de données personnelles, surtout lorsqu’elles concernent des contenus intimes, constituent aujourd’hui le point d’entrée préféré des cybercriminels », indique le rapport annuel de l’ANSSI (2025).

Risques de sextorsion et vecteurs d’exploitation

Dans la pratique, les acteurs malveillants (Bluehammer exploit) combinent les données extraites avec des techniques d’ingénierie sociale pour maximiser leurs profits. Le scénario type :

  1. Recherche d’une cible : l’attaquant utilise l’adresse e-mail pour identifier la personne sur les réseaux sociaux.
  2. Collecte de preuves : il télécharge les images et les prompts associés, créant un dossier de « preuves » compromettantes.
  3. Contact : via Discord ou X, il menace la victime en prétendant publier le contenu sans consentement.
  4. Demande de rançon : paiement souvent exigé en cryptomonnaie pour éviter la traçabilité.

Les statistiques récentes montrent que plus de 30 % des incidents de sextorsion en Europe sont liés à des fuites de données similaires (source : Eurostat, 2025). Cette proportion souligne la nécessité d’une réponse rapide et coordonnée.

Mesures de conformité et bonnes pratiques (RGPD, ISO 27001)

Les organisations qui hébergent des plateformes comme MyLovely.AI sont tenues de respecter des cadres de sécurité reconnus. Voici quelques actions clés à mettre en œuvre :

  • Évaluation d’impact sur la protection des données (Guide diagnostic cybersécurité) (DPIA) : obligatoire pour tout traitement de données sensibles (article 35 du RGPD).
  • Chiffrement des données au repos et en transit : conformément à la norme ISO 27001.
  • Gestion du consentement : les utilisateurs doivent pouvoir révoquer l’accès à leurs données à tout moment.
  • Surveillance continue : déploiement de systèmes de détection d’intrusion (IDS) et de journaux d’audit détaillés.
  • Plan de réponse aux incidents : processus clairement défini pour notifier la CNIL dans les 72 heures en cas de violation.

Checklist rapide pour les responsables de plateformes

  • Inventorier toutes les données sensibles collectées.
  • Appliquer le chiffrement AES-256 sur les bases de données.
  • Mettre en place une authentification à deux facteurs (2FA) pour les comptes administrateur.
  • Réaliser des tests de pénétration au moins une fois par an.
  • Documenter les procédures de notification et d’escalade.

Guide d’action pour les utilisateurs affectés

Si vous avez découvert que vos informations figurent parmi les données exposées, suivez ces étapes :

  1. Changez immédiatement vos mots de passe sur tous les services liés (e-mail, réseaux sociaux, plateformes de paiement).
  2. Activez la double authentification partout où elle est disponible.
  3. Surveillez vos comptes pour toute activité suspecte ; inscrivez-vous à un service de notification de fuite (ex. Have I Been Pwned).
  4. Contactez les autorités si vous êtes menacé de sextorsion - la police nationale possède une brigade spécialisée dans les crimes en ligne.
  5. Documentez les preuves : capture d’écran des menaces, sauvegarde des e-mails, afin de faciliter les procédures judiciaires.

« Ne jamais répondre à une demande de rançon ; la coopération avec les forces de l’ordre augmente les chances de contrer le cybercriminel », rappelle le Service de lutte contre la cybercriminalité du Ministère de l’Intérieur.

Conclusion - se préparer à l’avenir

La fuite de données MyLovely.AI illustre les vulnérabilités inhérentes aux services qui traitent des contenus sensibles. En combinant une analyse technique rigoureuse, la mise en œuvre de cadres de conformité tels que le RGPD et l’ISO 27001, ainsi qu’une réaction proactive des utilisateurs, il est possible de réduire considérablement les dommages.

En 2026, alors que les plateformes d’IA générative se multiplient, chaque acteur du secteur doit placer la protection de la vie privée au cœur de son modèle. Agissez dès maintenant en vérifiant vos comptes, en renforçant vos pratiques de sécurité, et en restant vigilant face aux tentatives de sextorsion.