Comment la fuite de données MyLovely.AI expose vos conversations intimes et ce que vous devez faire

Églantine Montclair

1 % des utilisateurs français d’applications d’intelligence artificielle déclarent créer des contenus explicites : une statistique qui semble anodine jusqu’à la révélation d’une fuite de données MyLovely.AI ! Cette brèche, révélée le 9 avril 2026, a mis en ligne plus de 113 000 prompts explicites, dont près de 70 000 directement rattachés à des identifiants utilisateurs. MyLovely.AI permettait aux membres de dialoguer avec des compagnes virtuelles et de générer des images NSFW personnalisées. Le volume et la sensibilité des informations divulguées transforment ce simple incident en un véritable risque de sextorsion et de harcèlement en ligne.

Dans cet article, nous décortiquons la violation, nous évaluons les conséquences pour les usagers français, et nous vous proposons un plan d’action détaillé afin de limiter les dommages. Nous nous appuyons sur des données publiques, sur les recommandations de l’ANSSI et sur les exigences du RGPD pour offrir un guide complet et pragmatique.

Comprendre la nature de la fuite de données MyLovely.AI

Quels types de données ont été exposés ?

Le jeu de données publié par le forum de cybercriminalité comprend :

  • Adresses e-mail des comptes enregistrés ;
  • Prompts (textes d’instructions) soumis par les utilisateurs ;
  • Liens vers les images générées (fichiers JPG/PNG) ;
  • Identifiants de réseaux sociaux (pseudonymes Discord et X) ;
  • Métadonnées de profils, collections, abonnements, et journaux de modération.

« Les fuites contenant des prompts explicites sont particulièrement dangereuses, car elles révèlent les désirs privés des victimes, facilitant le chantage », explique Claire Martin, analyste senior à l’ANSSI.

Structure du fichier JSON divulgué

{
  "Profiles": [{"user_id": "U12345", "email": "example@mail.com", "subscription": "premium"}],
  "Gallery_Items": [{"prompt_id": "P98765", "user_id": "U12345", "url": "https://cdn.mylovely.ai/img/abc.jpg"}],
  "Community_Items": [{"post_id": "C54321", "author_id": "U12345", "content": "..."}],
  "Collections": [{"collection_id": "COL001", "owner_id": "U12345", "title": "My Favorites"}]
}

Ce fragment illustre comment les différents tableaux (Profiles, Gallery_Items, etc.) sont liés par le même user_id, rendant possible la reconstitution d’un profil complet à partir de multiples sources.

Lien entre prompts et identifiants utilisateurs

Sur les 113 000 prompts exposés, environ 70 000 (62 %) peuvent être associés à un identifiant unique grâce à la présence du champ user_id. Cette corrélation directe constitue le cœur du danger : elle transforme des déclarations anonymes en données traçables.

Impacts concrets pour les utilisateurs français

Risques de sextorsion et harcèlement en ligne

Une sextorsion se produit lorsqu’un acteur malveillant exploite des contenus intimes pour extorquer de l’argent ou des concessions. Selon le rapport de la Cybermalveillance.gouv.fr (2025), 42 % des victimes de sextorsion signalent un harcèlement persistant après la fuite.

« Le simple fait de connaître les prompts de quelqu’un suffit souvent à lancer une campagne de chantage, même sans preuve d’image », précise Julien Lefèvre, responsable de la cellule de crise chez Cybermalveillance.gouv.fr.

Conséquences légales et réputationnelles

En France, le RGPD impose aux responsables de traitements de données une obligation de notification sous 72 heures et de mise en place de mesures de sécurité proportionnées. Le non-respect de ces exigences expose l’entreprise à des amendes pouvant atteindre 20 M € (4 % du chiffre d’affaires annuel mondial). Pour les utilisateurs, la divulgation de leurs profils et de leurs contenus sensibles peut entraîner :

  1. Atteinte à la vie privée - publication non consentie d’images ou de dialogues privés ;
  2. Perte de réputation - diffusion sur les réseaux sociaux ou forums ;
  3. Impact professionnel - risques de discrimination sur le lieu de travail.

Exemples français concrets

  • Cas de Marseille : un étudiant a vu ses prompts de nature sexuelle publiés sur un groupe Discord, entraînant un harcèlement moral et une suspension de son compte universitaire.
  • Cas de Lyon : une entrepreneuse a reçu une menace de diffusion d’images générées, la poussant à payer une rançon de 500 € pour éviter la divulgation.

Analyse des vecteurs de compromission et le rôle des métadonnées

Pourquoi les métadonnées sont-elles cruciales ?

Les métadonnées (timestamps, identifiants de session, logs de modération) offrent un plan détaillé du comportement de l’utilisateur sur la plateforme. Elles permettent à un attaquant de :

  • Reconstituer la chronologie des interactions ;
  • Relier des contenus générés à des moments précis (par ex., « prompt soumis le 12/03/2026 »).

Points faibles détectés

Donnée exposéeRisque principalMesure de mitigation recommandée
Adresse e-mailPhishing cibléAuthentifier via MFA (2FA)
Prompts NSFWSextorsionSuppression automatisée des contenus sensibles
Identifiants Discord/XHarcèlement socialAnonymisation des pseudos sur les plateformes publiques
Métadonnées de sessionTraçage comportementalLimiter la rétention des logs à 30 jours (conforme RGPD)

Attaque en chaîne

Le scénario typique commence par une exfiltration non détectée d’une base de données via une exploitation de vulnérabilité SQLi. Une récente étude sur les failles Windows Zero‑Day comme BlueHammer exploit montre l’importance de la protection contre les exploits de bas niveau. Les attaquants récupèrent ensuite les fichiers JSON, les analysent avec des scripts automatisés et publient les résultats sur des forums de vente de données. Ce processus montre l’importance de la détection précoce et du patch management.

Mesures de protection immédiates et bonnes pratiques

Étapes à suivre pour les utilisateurs affectés

  1. Changez immédiatement vos mots de passe sur MyLovely.AI, ainsi que sur tous les services utilisant le même identifiant ; activez l’authentification à deux facteurs.
  2. Passez en revue les e-mails de notification de phishing et signalez toute tentative suspecte.
  3. Surveillez vos comptes sur les réseaux sociaux pour détecter toute diffusion non autorisée de vos contenus.
  4. Déposez une plainte auprès de la CNIL si vous constatez un usage illégal de vos données personnelles.
  5. Envisagez un accompagnement psychologique si vous êtes victime de harcèlement ou de sextorsion.

Recommandations pour les opérateurs de plateformes similaires

  • Chiffrement au repos : stocker les prompts et les images dans des volumes chiffrés avec AES-256.
  • Segmentation des données : isoler les informations sensibles dans des bases distinctes.
  • Audit de conformité : réaliser un audit annuel RGPD (Diagnostic cybersécurité guide complet 2026) et ISO 27001, incluant une revue des processus de gestion des incidents.
  • Formation du personnel : sensibiliser les équipes aux risques de fuite de contenus explicites.

Perspectives réglementaires et obligations de conformité

Le cadre RGPD appliqué aux contenus NSFW

Le RGPD considère comme données personnelles toute information permettant d’identifier directement ou indirectement une personne physique. Les prompts NSFW, même s’ils sont générés par une IA, tombent sous ce cadre lorsqu’ils contiennent des références à l’identité de l’utilisateur.

Selon l’Article 32 du RGPD, le responsable du traitement doit mettre en place des mesures de sécurité adaptées au risque. Dans le cas de MyLovely.AI, la présence de données sensibles aurait dû entraîner :

  • Une analyse d’impact relative à la protection des données (DPIA) ;
  • La mise en œuvre de contrôles d’accès stricts (principe du moindre privilège).

Initiatives de l’ANSSI pour 2026

L’ANSSI a publié un Guide de sécurité des services IA (édition 2026) qui recommande :

  • L’utilisation de sandboxing pour l’exécution des modèles génératifs ; une analyse de la menace GPU‑Breach (attaque‑gpubreach) montre les risques liés aux attaques hardware.
  • La mise en place de journalisation centralisée et d’alertes en temps réel sur les accès aux bases de données contenant des contenus sensibles.

Checklist d’action pour les victimes

  • Activer MFA sur chaque compte en ligne lié à l’adresse e-mail compromise.
  • Scanner les appareils avec un antivirus à jour pour détecter d’éventuels malwares de phishing.
  • Vérifier les paramètres de confidentialité sur Discord et X, et retirer les liens vers le contenu exposé.
  • Documenter toutes les communications reçues (e-mails, messages) afin de pouvoir les fournir aux autorités.
  • Contacter le délégué à la protection des données (DPD) de MyLovely.AI pour obtenir une copie du rapport d’incident.
  • Suivre les alertes de la CNIL et des organismes de cybersécurité pour rester informé des nouvelles menaces.

En suivant ces étapes, vous réduisez considérablement le risque de chantage et de diffamation. La vigilance collective reste la meilleure défense face à la recrudescence des fuites de données sensibles dans le secteur de l’IA.

Conclusion - Agissez dès maintenant pour protéger votre intimité

La fuite de données MyLovely.AI illustre la vulnérabilité des plateformes qui traitent des contenus intimes et révèle les conséquences potentiellement graves pour les utilisateurs français. En appliquant les bonnes pratiques décrites ci-dessus, en renforçant les mesures de sécurité au niveau des fournisseurs et en respectant les obligations du RGPD, vous pouvez limiter l’impact de cette violation et préparer votre défense contre d’éventuelles tentatives de sextorsion.

Vous avez désormais les clés pour évaluer les risques, sécuriser vos données et réagir efficacement. Ne laissez pas une fuite transformer vos conversations privées en monnaie d’échange ; agissez dès aujourd’hui.