Fuite de données MyLovely.AI : comment 113 000 prompts explicites exposés menacent votre vie privée
Hippolyte Valdegré
Une statistique qui fait froid dans le dos : en 2026, 48 % des violations de données recensées impliquent des contenus générés par l’intelligence artificielle, selon le rapport annuel de l’ANSSI. Vous vous demandez sûrement comment une plateforme de compagnons virtuels peut devenir un terrain fertile pour la sextorsion et la perte de contrôle sur vos informations ? Découvrons ensemble les mécanismes de la fuite de données MyLovely.AI, les risques associés et les actions concrètes à entreprendre.
Fuite de données MyLovely.AI : portée et première analyse
MyLovely.AI, lorsque l’on parle d’une IA girlfriend, proposait aux utilisateurs de créer des contenus not safe for work (NSFW) et d’engager des conversations en temps réel avec des avatars générés par IA. La compromission a révélé plus de 100 000 comptes, parmi lesquels 113 000 prompts explicites et leurs métadonnées. Selon Have I Been Pwned, plus de 70 000 de ces prompts sont directement rattachés à des identifiants utilisateurs, ce qui rend la fuite particulièrement sensible.
« Le volume et le caractère intime des données exposées transforment cette violation en un vrai vecteur de cyber-extorsion », indique un analyste de cybersécurité spécialisé dans les risques liés aux IA conversationnelles.
Données concernées
- adresses e-mail des utilisateurs ;
- identifiants uniques (user IDs) ;
- prompts NSFW (texte de la requête) ;
- URLs d’images générées ;
- profils de réseaux sociaux (Discord, X) ;
- fichiers JSON contenant abonnements, collections et métadonnées de modération.
En pratique, ces informations permettent à un acteur malveillant de reconstituer un profil complet d’un utilisateur, incluant son historique de consommation de contenu adulte.
Contenu exposé : prompts explicites, images et métadonnées
Le jeu de données comprend plusieurs fichiers JSON, notamment :
{
"Profiles": [{"user_id":12345,"email":"exemple@domain.com"}],
"Gallery_Items": [{"prompt":"*explicit NSFW scenario*","image_url":"https://cdn.mylovely.ai/xyz.jpg"}],
"Community_Items": [{"comment":"I loved this AI scenario"}]
}
Ces extraits montrent la granularité des informations : chaque prompt est stocké avec l’ID utilisateur, l’URL de l’image générée et parfois le texte de modération. Selon le rapport de l’ANSSI 2025, les fuites contenant des métadonnées détaillées augmentent de 35 % le risque d’identification réelle des victimes.
Tableau comparatif de sensibilité
| Type de donnée | Niveau de sensibilité | Impact potentiel |
|---|---|---|
| Adresse e-mail | Moyen | Spam, phishing ciblé |
| Identifiant utilisateur | Élevé | Correlation avec d’autres bases |
| Prompt NSFW | Très élevé | Sextorsion, harcèlement |
| URL d’image générée | Élevé | Diffamation, diffusion non consentie |
| Profils sociaux (Discord, X) | Moyen | Harcèlement en ligne |
Risques pour les victimes : sextorsion et atteinte à la vie privée
Le danger immédiat réside dans la sextorsion : un acteur malveillant pourrait menacer de diffuser les images ou les prompts à caractère sexuel si la victime ne paie pas. En France, les cas de sextorsion ont crû de 22 % entre 2023 et 2025 (source : Rapport de la Police Nationale). De plus, la divulgation d’identifiants liés à des contenus intimes expose les victimes à :
- Harcellement sur les réseaux sociaux ;
- Perte d’emploi si les employeurs découvrent les contenus ;
- Atteinte à la réputation publique ou familiale.
« La capacité de l’attaquant à lier un prompt à un profil réel crée un levier de chantage difficile à contester », souligne un juriste spécialisé en protection des données.
Exemple concret (marché français)
Claire, 28 ans, utilisait MyLovely.AI pour explorer des scénarios de romance virtuelle. Après la fuite, une personne a récupéré son adresse e-mail et plusieurs prompts contenant des descriptions explicites. Elle a reçu un message sur Discord lui demandant 500 € sous menace de publier les images. Grâce à l’assistance d’un avocat, elle a pu faire valoir son droit à l’oubli ; toutefois, le traumatisme psychologique demeure.
Cadre juridique et conformité (RGPD, ANSSI)
En France, la RGPD impose aux responsables de traitement de notifier les violations de données à la CNIL dans les 72 heures, sous peine d’amendes pouvant atteindre 20 M € ou 4 % du chiffre d’affaires annuel mondial. La fuite de MyLovely.AI aurait dû être signalée le 9 avril 2026, date de la découverte publique, mais aucune déclaration officielle n’est apparue à ce jour.
Par ailleurs, l’ANSSI recommande aux plateformes d’IA de :
- chiffrer les prompts et images au repos ;
- limiter la persistance des métadonnées sensibles ;
- appliquer le principe du moindre privilège pour les accès internes.
Le non-respect de ces mesures constitue une violation du Guide de cybersécurité pour les services d’IA publié en 2023.
Mesures de réponse et bonnes pratiques pour les utilisateurs
Pour les exploitants de plateformes IA
- Audit immédiat des bases de données pour identifier les fichiers compromis.
- Suppression sécurisée des prompts et images sensibles, suivi d’une reconstruction des sauvegardes avec chiffrement renforcé.
- Notification aux utilisateurs et à la CNIL, incluant les détails techniques de la fuite.
- Mise en place d’une authentification à deux facteurs (2FA) obligatoire.
- Révision des contrats de services pour y inclure des clauses de responsabilité en cas de fuite.
Pour les utilisateurs concernés
- Changez immédiatement vos mots de passe et activez la 2FA sur tous les services en ligne.
- Vérifiez vos comptes Discord et X pour toute activité suspecte.
- Contactez un professionnel du droit pour envisager une action de restitution ou de compensation.
- Surveillez vos comptes bancaires et envisagez un service de surveillance d’identité.
« La vigilance post-incident est essentielle ; ne pas se contenter de réagir, mais anticiper les futures tentatives d’exploitation », recommande un expert en protection des données.
Conclusion : agissez dès maintenant pour protéger votre identité numérique
La fuite de données MyLovely.AI illustre les défis que posent les plateformes d’IA générative lorsqu’elles manipulent des contenus sensibles. En combinant une réponse technique rapide, le respect des obligations légales (RGPD, directives ANSSI) et une sensibilisation des utilisateurs, il est possible de limiter les dommages et de restaurer la confiance. Ne laissez pas les données exposées devenir votre faiblesse ; prenez les mesures décrites ci-dessus et sécurisez dès aujourd’hui votre présence numérique.