Comment la fuite de données MyLovely.AI expose vos conversations intimes et quelles mesures prendre

Lysandre Beauchêne

Pourquoi la fuite de données MyLovely.AI constitue une menace majeure

En 2026, une fuite de données MyLovely.AI – exploits zero‑day Windows a mis au jour plus de 113 000 prompts explicites, dont près de 70 000 associés à des identifiants utilisateurs. MyLovely.AI était une plateforme d’assistante virtuelle pour adultes, où chaque échange pouvait contenir des informations très personnelles, allant de préférences sexuelles à des coordonnées de réseaux sociaux. Selon le registre Have I Been Pwned, les éléments compromis comprennent des adresses e-mail, des liens vers des images générées automatiquement – attaque GPUBreach Rowhammer GPU, ainsi que des identifiants Discord et X. Cette situation représente un risque inédit pour la vie privée, notamment en France où la législation RGPD impose des exigences strictes en matière de protection des données.

“Les violations de données impliquant des contenus à caractère sexuel ouvrent la porte à la sextorsion, une forme de chantage qui exploite la vulnérabilité émotionnelle des victimes” - ANSSI, 2025.

Analyse détaillée des éléments compromis

Types de données divulguées

  • Adresses e-mail : exposées en texte clair, facilitant les tentatives de phishing – diagnostic cybersécurité guide complet
  • Prompts NSFW : contenu textuel fourni par les utilisateurs pour générer des images.
  • URLs d’images : liens directs vers les fichiers générés, souvent hébergés sur des serveurs tiers.
  • Identifiants sociaux : noms d’utilisateur Discord et X, permettant de croiser les profils en ligne.
  • Métadonnées : informations sur les abonnements, les collections et les historiques de modération.

Ces catégories, combinées, offrent une carte complète du profil numérique d’un individu, bien au-delà de ce que l’on pourrait imaginer pour une simple interaction avec une IA.

Volume et lien avec les identifiants utilisateurs

Le dataset comprend plusieurs fichiers JSON : Profiles, Gallery_Items, Community_Items et Collections. Parmi eux, deux ensembles contiennent environ 113 000 prompts explicites. Sur ce total, ≈ 70 000 prompts peuvent être rattachés à des user-IDs uniques, ce qui rend la réidentification possible même si les noms réels ne sont pas immédiatement visibles. Selon Have I Been Pwned, cela représente ≈ 62 % du total des prompts exposés.

“Lorsque des données d’identification sont associées à du contenu sensible, le risque de réidentification passe de rare à probable” - Rapport annuel de l’ENISA, 2025.

Risques pour les utilisateurs français

  1. Sextorsion : des acteurs malveillants pourraient menacer de diffuser les images ou les prompts si la victime ne paie pas.
  2. Phishing ciblé : avec les adresses e-mail et les profils sociaux, les cybercriminels peuvent envoyer des messages très personnalisés pour récupérer davantage d’informations.
  3. Atteinte à la réputation : la diffusion de contenu NSFW peut entraîner des préjudices professionnels ou personnels.
  4. Atteinte au RGPD : les responsables de traitement doivent notifier la Commission Nationale de l’Informatique et des Libertés (CNIL) sous 72 heures, sous peine d’amendes allant jusqu’à 4 % du chiffre d’affaires mondial.

Cas concret en France

Une utilisatrice parisienne, pseudonyme « Léa », a découvert que son compte Discord était lié à un prompt explicitement sexuel publié dans la fuite. En moins de 48 heures, une communauté de hackers a commencé à diffuser ces informations sur des forums, la forçant à demander la suppression de son compte et à consulter un avocat spécialisé en cybersécurité. Ce cas illustre la rapidité avec laquelle les données peuvent être exploitées et l’importance d’une réaction immédiate.

Bonnes pratiques pour se protéger après une violation

  • Changez immédiatement vos mots de passe sur tous les services où vous avez réutilisé le même identifiant.
  • Activez l’authentification à deux facteurs (2FA) sur chaque compte, particulièrement sur Discord, X et votre messagerie principale.
  • Surveillez vos comptes bancaires et signalez toute activité suspecte.
  • Utilisez un gestionnaire de mots de passe pour générer et stocker des identifiants uniques.
  • Vérifiez les paramètres de confidentialité de vos profils sociaux afin de réduire la visibilité publique.
  • Contactez la CNIL si vous estimez que vos droits n’ont pas été respectés par le responsable du traitement.

Liste de vérification rapide

  1. Modifier les mots de passe (au moins 12 caractères, majuscules, minuscules, chiffres, caractères spéciaux).
  2. Activer le 2FA sur Discord, X, e-mail.
  3. Examiner les autorisations d’applications tierces.
  4. Signaler tout message de chantage à la police nationale.
  5. Consulter un conseiller juridique spécialisé en protection des données.

Mise en œuvre - étapes concrètes

{
  "user_id": "123456789",
  "email": "user@example.com",
  "prompt": "Create a private scene with ...",
  "image_url": "https://cdn.mylovely.ai/images/abc123.jpg",
  "social_profiles": {
    "discord": "UserDiscord#1234",
    "x": "@userX"
  }
}

Le bloc ci-dessus montre un exemple typique de l’un des enregistrements récupérés. Il illustre clairement la combinaison d’informations personnelles et de contenus explicites.

Étape 1 - Identifier les comptes compromis

  • Exportez la liste de vos e-mail exposés depuis le site Have I Been Pwned.
  • Croisez ces adresses avec vos comptes en ligne (Google, Apple, etc.).

Étape 2 - Sécuriser les accès

ServiceAction recommandéeResponsable
E-mailModifier le mot de passe et activer 2FAVous
DiscordRéinitialiser le token et désactiver les applications tiercesVous
X (Twitter)Vérifier les sessions actives et révoquer les appareils inconnusVous
MyLovely.AI (si compte actif)Demander la suppression du profil auprès du supportSupport MyLovely.AI

Étape 3 - Nettoyer votre présence en ligne

  • Supprimez les publications contenant les identifiants exposés.
  • Utilisez les outils de right-to-be-forgotten pour demander le retrait des URLs indexées par les moteurs de recherche.
  • Envisagez d’utiliser un pseudonyme distinct pour les interactions futures sur des plateformes à contenu sensible.

Conclusion - protéger sa vie privée dès maintenant

La fuite de données MyLovely.AI montre que même les services de divertissement pour adultes peuvent devenir des vecteurs de menace majeure lorsqu’ils stockent des informations sensibles. En appliquant les mesures décrites - changement de mots de passe, activation du 2FA, surveillance rapprochée des comptes et recours aux autorités - vous réduisez significativement le risque de sextorsion et de harcèlement. N’attendez pas que les cybercriminels agissent ; agissez dès aujourd’hui pour reprendre le contrôle de votre identité numérique.