Imaginez que quelqu’un regarde par-dessus votre épaule à chaque clic que vous faites dans une application. Chaque swipe, chaque formulaire rempli, chaque mot de passe tapé… Et que toutes ces informations finissent stockées chez un tiers que vous ne connaissez même pas. C’est exactement ce que font les outils d’analytics comme Mixpanel au quotidien. Sauf que, le 8 novembre 2025, quelqu’un d’autre a regardé par-dessus l’épaule de Mixpanel lui-même.
Et ce quelqu’un n’était pas censé être là.
Mixpanel piraté : quand l’observateur devient la proie
Le mercredi précédant Thanksgiving, alors que la plupart des Américains préparaient leur dinde, Jen Taylor, CEO de Mixpanel, publie un billet de blog d’à peine 200 mots. Le message est minimaliste : « incident de sécurité détecté le 8 novembre », « accès non autorisé éradiqué », « certains clients impactés ». Point final. Pas de détails sur la nature des données, pas de nombre de victimes, pas même un vague « nous enquêtons ».
Deux jours plus tard, c’est OpenAI qui prend la parole et lâche la bombe que Mixpanel refusait de nommer : des données clients ont bel et bien été exfiltrées. Parmi elles, noms, adresses email, localisations approximatives et informations sur les appareils de développeurs utilisant l’API OpenAI.
« L’incident n’a pas affecté les utilisateurs de ChatGPT directement et nous avons immédiatement cessé d’utiliser Mixpanel. »
OpenAI, blog officiel – 29 novembre 2025
En clair : l’un des géants de l’IA vient publiquement de rompre avec son partenaire analytics après une fuite. Le genre de rupture qui fait très mal à la réputation.
Mais qui est vraiment Mixpanel ?
Si vous n’êtes pas product manager ou growth hacker, vous n’avez probablement jamais entendu parler de Mixpanel. Pourtant, cette startup fondée en 2009 est l’un des leaders mondiaux de l’analytics produit. 8 000 entreprises clientes (du simple indie hacker à Shopify, DoorDash ou encore… OpenAI.
Leur promesse est simple : comprendre exactement comment les utilisateurs interagissent avec votre application. Pas juste « combien de visites », mais « quel bouton a été cliqué 3,7 secondes après l’ouverture de l’écran d’onboarding par un utilisateur iOS à Paris utilisant le Wi-Fi Free ».
Pour arriver à ce niveau de granularité, Mixpanel collecte une quantité astronomique de données :
- Type d’appareil et résolution d’écran
- Opérateur mobile et type de connexion
- Événements précis (clics, swipes, lectures vidéo)
- Identifiant unique utilisateur (distinct_id)
- Timestamps à la milliseconde
- Et parfois… des session replays complets (rejeu vidéo de la session utilisateur)
Autant dire qu’un breach chez Mixpanel, c’est un peu comme si on ouvrait le journal intime de millions d’utilisateurs d’applications du monde entier.
Session replay : la fonctionnalité qui fait froid dans le dos
Parmi les options proposées par Mixpanel, la plus impressionnante – et la plus terrifiante – reste le session replay. Concrètement, l’outil recrée pixel par pixel la navigation de l’utilisateur comme si vous regardiez une vidéo de son écran.
Officiellement, les champs sensibles (mots de passe, numéros de carte) sont masqués. Dans la vraie vie… pas toujours. En 2019 déjà, Apple avait menacé de bannir de l’App Store toutes les applications utilisant des outils de screen recording après plusieurs scandales. Mixpanel avait dû faire amende honorable.
Aujourd’hui, la question que tout le monde se pose : les hackers ont-ils eu accès à ces replays ? Mixpanel refuse de répondre. Silence radio total, même face aux questions précises de TechCrunch.
Pourquoi les outils d’analytics sont les nouvelles mines d’or des hackers
Les data brokers classiques (Acxiom, Experian) sont ultra-sécurisés et ultra-réglementés. Les plateformes d’analytics, elles, ont longtemps bénéficié d’une zone grise : elles collectent des données personnelles sans être considérées comme des responsables de traitement au sens RGPD pour la majorité de leurs clients.
Résultat : des trésors de données ultra-détaillées, souvent moins bien protégés qu’on pourrait le croire.
Le schéma se répète :
- Une startup analytics lève des centaines de millions (Mixpanel : 277 M$ levés)
- Elle attire des clients prestigieux
- Elle devient une cible prioritaire pour les groupes de ransomware
- Un jour, elle annonce un « incident » en langage corporate minimaliste
On l’a vu avec Amplitude, Heap, et maintenant Mixpanel. La série noire continue.
Les leçons à tirer pour les startups et scale-ups
Si vous utilisez (ou envisagez d’utiliser) un outil tiers d’analytics, voici ce qu’il faut vérifier dès aujourd’hui :
| Question à poser | Pourquoi c’est crucial |
| SOC 2 Type II ou ISO 27001 ? | Preuve minimale de sérieux sécurité |
| Chiffrement des données au repos et en transit ? | Évite la fuite en clair |
| Session replay désactivable par défaut ? | Moins de données sensibles exposées |
| Politique de conservation claire ? | Évite l’accumulation inutile |
| Notification breach sous 72h aux clients ? | Obligation légale RGPD |
Et surtout : avez-vous vraiment besoin de tout tracker ? La mode du « data-driven à tout prix » montre ses limites quand la donnée finit entre de mauvaises mains.
Et maintenant ?
Le silence de Mixpanel depuis dix jours est assourdissant. Aucune mise à jour, aucune réponse aux journalistes, aucun détail supplémentaire. Dans le même temps, d’autres clients risquent de suivre l’exemple d’OpenAI et de couper les ponts.
Ce breach pourrait bien marquer un tournant. Les startups analytics ne pourront plus se cacher derrière le statut de « simple sous-traitant ». Les investisseurs, les clients et les régulateurs vont exiger plus de transparence et de responsabilité.
Car au final, la vraie question n’est pas seulement « combien de données ont été volées ? » mais « pourquoi étions-nous obligés de les collecter en premier lieu ? ».
La croissance à tout prix a un prix. Et ce prix vient parfois sous la forme d’un billet de blog laconique publié un soir de veille de jour férié.
À bon entendeur.
