DeepSeek, la start-up chinoise à l’origine d’une IA du même nom, est victime d’une fuite de données. Les chercheurs de Wiz ont en effet découvert une base de données internes de l’entreprise entièrement ouverte au public. Elle est accessible sans la moindre demande d’authentification.
Ce répertoire comprend « plus d’un million de lignes de journaux », c’est-à-dire des enregistrements d’activités générés par le système informatique. On y trouve notamment « des clés secrètes, des détails sur l’infrastructure backend et d’autres informations hautement sensibles » sur le groupe chinois.
Ces informations peuvent évidemment servir à mener des cyberattaques à l’encontre de la start-up. Notez d’ailleurs que DeepSeek est d’ores et déjà dans le collimateur des pirates.
À lire aussi : Ironie du sort – OpenAI accuse DeepSeek d’avoir pillé ses modèles IA
Des conversations compromises
Surtout, la base de données comprend l’historique des discussions des utilisateurs de DeepSeek. Les requêtes des utilisateurs de chatbot se sont donc retrouvées à la merci du premier cybercriminel venu. De facto, toutes les données personnelles potentiellement communiquées par les usagers se sont aussi retrouvées en danger.
Selon le rapport de Wiz, n’importe qui pouvait lire, modifier ou supprimer des données, voire injecter des commandes malveillantes au sein des fichiers. Un attaquant aurait pu exploiter cette fuite pour obtenir des droits administrateur au sein des systèmes informatiques de DeepSeek.
« Ce niveau d’accès représentait une menace majeure, aussi bien pour la sécurité de DeepSeek que pour celle de ses utilisateurs. Un attaquant pouvait non seulement accéder à des journaux sensibles et à de véritables messages de discussion en texte clair, mais aussi potentiellement voler des mots de passe non chiffrés et extraire des fichiers stockés localement », fait valoir Wiz au terme de ses investigations.
Wiz souligne que les menaces les plus sérieuses contre l’IA « proviennent souvent de vulnérabilités fondamentales, comme l’exposition involontaire de bases de données accessibles depuis l’extérieur ». Les entreprises spécialisées dans l’IA sont sensibles aux mêmes risques que les autres firmes.
DeepSeek corrige la faille
Les chercheurs de Wiz sont entrés en contact avec les équipes de DeepSeek pour les prévenir de la faille de sécurité. La start-up basée en Chine n’a pas trainé à corriger le tir. La base de données n’est donc plus disponible en accès libre. Rien n’indique que des attaquants soient parvenus à consulter les données exposées avant que DeepSeek déploie un correctif.
Ce n’est pas la première fois que la sécurité de DeepSeek est pointée du doigt. Peu après la mise à disposition de l’IA, des chercheurs se sont rendu compte que le chatbot était truffé de failles de sécurité. Ils estiment même que DeepSeek a deux ans de retard sur ChatGPT sur le terrain de la sécurité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Wiz
