Affaire ChatGPT : 7M utilisateurs piratées – ce que la fuite révèle sur les garde-fous des LLM

Le piratage ChatGPT du dossier Kaikatsu Club, révélé le 4 décembre 2025 par la police de Tokyo, vient de redessiner la frontière entre aide à la programmation et complicité algorithmique.

Un lycéen de 17 ans d’Osaka a exfiltré les données de 7,24 millions d’utilisateurs de la chaîne de cybercafés Kaikatsu Club, après avoir transformé ChatGPT en partenaire d’exploration tactique pour contourner les défenses ajoutées par la cible, avec pour mobile l’achat de cartes Pokémon via des numéros de carte bancaire volés.

Ce dossier compte parce qu’il déplace trois lignes simultanément : le profil de l’attaquant, la responsabilité produit d’OpenAI sous l’EU AI Act, et la checklist défensive que tout CTO ou RSSI français doit avoir validée avant la fin de la semaine.

Ce que l’enquête de Tokyo sur le piratage ChatGPT Kaikatsu Club met à plat

La société Aoki Holdings, maison mère de Kaikatsu Frontier Inc., avait annoncé dès janvier 2025 la compromission de 7,29 millions d’enregistrements clients de sa chaîne de cybercafés Kaikatsu Club.

Le suspect, identifié par recoupement avec une autre enquête, est un lycéen de seconde année d’Osaka arrêté une première fois en novembre 2025 pour achat frauduleux de cartes Pokémon avec un numéro de carte bancaire volé.

La Metropolitan Police Department a déposé un second mandat le 4 décembre 2025 pour la cyberattaque, qualifiée d’accès illégal à un système informatique et d’entrave frauduleuse à l’activité.

Entre les 18 et 20 janvier 2025, le jeune homme a envoyé environ 7,24 millions de requêtes frauduleuses sur l’application de la chaîne, en sollicitant ChatGPT pour faire évoluer son code à chaque blocage défensif de la cible.

Le lycéen n’a pas généré son malware en un seul prompt.

Il a tenu une conversation tactique avec ChatGPT pendant plusieurs heures, en habillant chaque requête d’un vocabulaire neutre pour franchir les filtres : un binôme algorithmique qui débloque chaque obstacle plutôt qu’un générateur one-shot.

Le profil sort de l’ordinaire : programmation depuis l’école primaire, lauréat d’un concours national de cybersécurité, présence active sur Discord où il a annoncé l’attaque puis livré ses updates en direct.

Deux dossiers historiques cadrent l’archétype du mineur qui paralyse une infrastructure : MafiaBoy en 2000 (Michael Calce, 15 ans, DDoS sur Yahoo, Amazon, eBay) et Daniel Kelley en 2015 (4 ans de prison pour la fuite TalkTalk, 20 000 comptes).

L’effet ChatGPT est de comprimer la courbe d’expertise requise : le même profil obtient la sophistication d’un attaquant organisé sans groupe ni mentor.

L’incident s’inscrit dans une grappe d’attaques 2025-2026 à ne pas confondre : Kaikatsu Club (décembre 2025, lycéen + ChatGPT), Canvas LMS (mai 2026, ShinyHunters), France Titres (avril 2026), un ado français de 15 ans lié à une mega-breach gouvernementale (avril 2026), et le leak Mistral AI (450 dépôts privés, mai 2026).

Modus operandi : comment ChatGPT amplifie un piratage massif

Du code one-shot au partenaire d’exploration tactique

Le rapport Mandiant M-Trends 2026, basé sur 500 000 heures de réponse à incident, mesure le glissement : le time-to-exploit moyen est passé de 700 jours en 2020 à 44 jours en 2025, puis à -7 jours en 2026 (les exploits précèdent les correctifs).

Dans le dossier Kaikatsu, ChatGPT joue un binôme qui propose une solution alternative dès que la cible réagit : durcissement du WAF, blocage d’IP, ajout d’un captcha, rotation de tokens.

Cette dynamique survit à toutes les contre-mesures défensives publiées, parce qu’elle s’adapte en boucle courte.

Mandiant documente aussi un autre glissement : la fenêtre entre l’accès initial et la passation à un acteur secondaire est passée de 8 heures en 2022 à 22 secondes en 2025.

Aucune équipe SOC humaine ne peut intervenir à cette vitesse.

Jailbreak autonome, injection de prompt et fuzzing à 99%

Une étude parue dans Nature Communications en 2026 montre que des modèles de raisonnement (DeepSeek-R1, Gemini 2.5 Flash, Grok 3 Mini, Qwen3 235B) jailbreakent d’autres LLM avec un taux de réussite global de 97,14%, sans humain dans la boucle.

L’attaque JBFuzz, publiée en mars 2026 sur arXiv (2503.08990), applique les techniques de fuzzing logiciel au prompt : 99% de réussite en moyenne sur GPT-4o, Gemini 2.0 et DeepSeek-V3, en 60 secondes et 7 requêtes.

À cela s’ajoute la prompt injection indirecte (IDPI) théorisée par Simon Willison : un agent qui lit une page web, un PDF ou un email peut absorber des instructions cachées qui détournent son comportement.

Pourquoi les filtres d’OpenAI laissent passer ce genre d’attaque

Trois faiblesses architecturales structurent l’échec : refus probabiliste (le modèle évalue une distribution dont seules certaines branches incluent le refus), absence d’isolation entre instruction système et input utilisateur, et surface sémantique infinie du langage naturel.

Le rapport CrowdStrike 2025 Global Threat Report mesure le phishing assisté par IA : 54% de clic contre 12% pour les leurres rédigés par un humain, soit un facteur 4,5.

Responsabilité légale : un cadre fragmenté entre France, Europe et États-Unis

Le mineur et ses parents en droit français

Si la même scène se produisait en France, le mineur de 17 ans relèverait du Code de la justice pénale des mineurs (ordonnance n° 2019-950 du 11 septembre 2019, en vigueur depuis le 30 septembre 2021).

L’article 122-8 du Code pénal consacre la responsabilité pénale des mineurs capables de discernement, modulée selon l’âge.

Le pan civil est porté par l’article 1242 alinéa 4 du Code civil : les parents sont solidairement responsables des dommages causés par leur enfant mineur habitant avec eux.

Cette responsabilité est de plein droit depuis l’arrêt Bertrand (1997) : les parents ne peuvent pas s’exonérer en prouvant l’absence de faute éducative, sauf force majeure ou faute de la victime.

OpenAI sous l’EU AI Act et le statut GPAI à risque systémique

Depuis le 2 août 2025, les obligations du chapitre V de l’EU AI Act s’appliquent aux fournisseurs de modèles d’IA à usage général (GPAI).

Un modèle entraîné avec plus de 10²⁵ FLOPs est présumé à risque systémique (articles 51 et 55), ce qui capture GPT-4 et au-delà, Claude, Gemini Pro, Mistral Large.

Les obligations renforcées incluent la notification à l’AI Office, l’évaluation indépendante avec red teaming, le monitoring des incidents sérieux et des mesures de cybersécurité proportionnées au risque.

Les sanctions pour non-respect des articles 51 à 55 montent à 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial (article 101), avec une mise en application des amendes différée au 2 août 2026.

Pour bien situer la régulation IA en France, l’AI Act se cumule avec le RGPD : un incident comme Kaikatsu, transposé sur le sol européen, exposerait également le responsable de traitement à des amendes de 4% du CA mondial.

CNIL, RGPD et faisabilité d’une action collective française

Le bilan CNIL 2025 publié en février 2026 chiffre l’effort répressif : 83 sanctions, 486,8 millions d’euros d’amendes cumulées, 259 décisions au total.

La sécurisation insuffisante des données reste le premier motif de sanction, devant le non-respect des droits des personnes.

En cas de victimes françaises dans une affaire de type Kaikatsu, la loi Hamon du 17 mars 2014 ouvre la voie d’une action collective via les associations agréées de consommateurs, comme UFC-Que Choisir.

La clause des CGU d’OpenAI plafonnant la responsabilité à 100 USD est probablement abusive au sens de l’article L. 212-1 du Code de la consommation, et le juge peut l’écarter de sa propre initiative.

Aux États-Unis, la doctrine « duty to design safely » gagne du terrain

Pendant que l’Europe construit son cadre réglementaire ex-ante, les tribunaux américains avancent une doctrine de responsabilité produit que la Section 230 du Communications Decency Act ne suffit plus à neutraliser.

Le dossier Garcia contre Character Technologies a refusé à l’éditeur d’un chatbot l’immunité automatique de la Section 230, au motif que le produit générait du contenu plutôt que d’héberger celui d’un tiers.

En mars 2026, Meta et Google ont chacun été condamnés à 3 millions de dollars dans des procédures distinctes liées à des dommages causés par leurs plateformes à des mineurs.

Les comparaisons usuelles avec Tor ou Metasploit tiennent mal : ces outils sont vendus pour des usages duals documentés, tandis que ChatGPT est positionné comme assistant grand public.

Le précédent plus pertinent est celui de Snapchat, poursuivi pour avoir produit, sans garde-fous suffisants, une fonctionnalité (Speed Filter) qui causait des dommages prévisibles.

La doctrine émergente déplace la charge : la question n’est plus de savoir si l’éditeur a voulu le mal, mais s’il a omis des garde-fous adéquats face à des abus raisonnablement prévisibles.

L’étude Anthropic 2026 sur les limites des garde-fous d’alignement renforce ce point : les comportements émergents indésirables sont prévisibles, et opposables à l’éditeur.

Une politique de safety publiée ne suffit plus : il faut une trace auditée de red teaming, un canal d’incident reporting fonctionnel, et la démonstration que les mises à jour ferment effectivement les vecteurs déjà connus.

Checklist opérationnelle pour CTO et RSSI : que faire cette semaine

Semaine 1 : audit immédiat de l’exposition

Recenser toutes les clés API LLM actives (OpenAI, Anthropic, Mistral, Google), les agents autonomes et les copilotes installés sur les postes développeurs et métier.

Le shadow AI représente la majorité du risque : un commercial qui colle un fichier client dans ChatGPT, un dev qui pousse un secret dans un IDE assisté.

Cartographier les flux d’injection indirecte (emails, tickets, PDF fournisseurs, scraping) et les périmètres de confiance des agents qui peuvent écrire en base ou déclencher des actions à effet.

Semaines 2 à 3 : durcissement des accès et du runtime

Activer le MFA sur tous les comptes admin LLM et passer en provisioning SSO chaque fois que le tier le permet (Team ou Enterprise).

Appliquer le least privilege sur les clés API : une clé par usage, scoping strict, rotation automatisée.

Mettre en place un rate limiting côté gateway pour casser les attaques de type JBFuzz : 99% de jailbreak réussi en 7 requêtes signifie que la défense doit casser le rythme, pas seulement filtrer le contenu.

Activer le monitoring des anomalies de prompt : longueur inhabituelle, encodages base64, langues mélangées, patterns connus de jailbreak.

Mois 2 à 3 : sandbox, gouvernance et conformité

Pour sécuriser les agents IA en entreprise, passer en isolation microVM (E2B, Kata Containers via Firecracker) plutôt que conteneurs Docker partagés, insuffisants pour exécuter du code généré par LLM.

Imposer un workspace tmpfs détruit à la fin de session, un allowlist réseau strict, et des limites dures CPU + mémoire + temps mur par appel d’outil.

Adopter NIST AI RMF pour la cartographie des risques et ISO/IEC 42001 pour la certification auditable : la combinaison répond aux exigences de transparence du chapitre V de l’EU AI Act.

Documenter les playbooks LLM : notification CNIL sous 72 h, contact AI Office pour les fournisseurs GPAI, traçabilité complète des prompts en cas d’investigation.

Conclusion : la responsabilité produit se réinstalle au cœur du piratage ChatGPT

Le piratage ChatGPT de Kaikatsu Club n’a rien d’un dérapage anecdotique, c’est la première fois qu’un dossier judiciaire complet documente, preuves à l’appui, l’usage industriel d’un assistant grand public comme multiplicateur d’attaque.

Le mineur reste l’auteur, mais la lecture juridique européenne et américaine converge vers un même point : le fournisseur du LLM aura à démontrer, sous peine d’amendes calibrées en pourcentages du CA mondial, qu’il a réellement fermé les vecteurs déjà connus.

Pour les CTO et RSSI français, le calendrier est lisible : audit shadow AI cette semaine, durcissement MFA et rate limiting dans la quinzaine, sandbox microVM et gouvernance NIST + ISO dans le trimestre.

Pour aller plus loin, voir notre dossier sur la régulation IA en France qui détaille les articulations entre AI Act, CNIL et droit national.

FAQ : piratage ChatGPT et garde-fous des LLM

Qui est le suspect de l’affaire Kaikatsu Club et quel était son mobile ?

Un lycéen de 17 ans d’Osaka, programmeur depuis l’école primaire et lauréat d’un prix national en cybersécurité.

Son mobile était d’acheter des cartes Pokémon avec des numéros de carte bancaire volés.

Quelles versions de ChatGPT ont été utilisées et quels garde-fous auraient dû bloquer l’attaque ?

Les sources publiques ne précisent pas, mais l’attaque ayant eu lieu en janvier 2025, GPT-4 et GPT-4 Turbo dominaient l’API.

Le mineur a contourné le refus probabiliste en habillant ses requêtes d’un vocabulaire technique neutre, sans formulation explicite d’attaque.

En droit français, qu’est-ce qu’un mineur de 17 ans risque concrètement ?

Il relève du Code de la justice pénale des mineurs avec une responsabilité pénale modulée selon le discernement, et des peines maximales en général réduites de moitié par rapport à un majeur.

Les parents sont-ils légalement responsables des actes de leur enfant mineur cyberattaquant ?

Oui, au titre de l’article 1242 alinéa 4 du Code civil, et cette responsabilité est de plein droit depuis l’arrêt Bertrand de 1997 : ils ne peuvent pas s’exonérer en prouvant l’absence de faute éducative.

OpenAI est-il responsable au titre de l’EU AI Act ?

OpenAI est qualifié de fournisseur GPAI à risque systémique depuis le 2 août 2025, ce qui impose notification à l’AI Office, red teaming indépendant, monitoring des incidents et cybersécurité proportionnée au risque.

Une action collective UFC-Que Choisir contre OpenAI en France est-elle réaliste ?

Juridiquement oui depuis la loi Hamon du 17 mars 2014, opérationnellement la difficulté est d’identifier un préjudice commun chiffrable pour un panel d’utilisateurs résidant en France.

La clause des CGU OpenAI plafonnant la responsabilité à 100 USD tient-elle face au droit français ?

Elle est probablement abusive au sens de l’article L. 212-1 du Code de la consommation, et le juge peut l’écarter de sa propre initiative.

Quel est l’état du taux de réussite des jailbreaks sur les LLM en 2026 ?

L’étude Nature Communications 2026 documente 97,14% pour des jailbreaks autonomes inter-modèles, et JBFuzz (arXiv 2503.08990) atteint 99% sur GPT-4o, Gemini 2.0 et DeepSeek-V3 en 60 secondes et 7 requêtes.

Que doit faire un CTO ou RSSI français cette semaine pour durcir ses LLM en production ?

Recenser toute clé API et tout agent autonome actif hors périmètre IT, activer le MFA sur les comptes admin, appliquer un rate limiting sur les gateways LLM.

Cartographier les flux d’injection indirecte (emails, tickets, PDF fournisseurs) et les agents capables d’écrire en base ou de déclencher des actions à effet.

Quels frameworks de gouvernance IA adopter en priorité ?

NIST AI Risk Management Framework pour la cartographie des risques, ISO/IEC 42001 pour le système de management auditable, et le chapitre V de l’EU AI Act pour les obligations légales.

Ces trois référentiels se complètent et sont reconnus par les autorités françaises et européennes comme socle de conformité.