DeepSeek, qui a émergé très rapidement dans le petit monde de l’IA grâce à ses modèles pas chers et performants, n’est pas exempt de tout reproche. NowSecure a produit une étude alarmante sur la sécurité toute relative de l’application iOS, ce qui a des implications pour la confidentialité des données.
Une menace pour la sécurité et la confidentialité des données
Il se trouve que l’app transmet certaines données sensibles sans chiffrement, exposant de fait les utilisateurs à des attaques potentiellement dévastatrices. DeepSeek désactive la protection ATS (App Transport Security) d’Apple, qui impose par défaut l’utilisation de connexions sécurisées HTTPS. Un attaquant peut intercepter ces données en surveillant le trafic réseau.
Prise isolément, chaque donnée collectée par DeekSeek ne fait pas grand mal. Mais l’agrégation de ces informations permet potentiellement de tracer et d’identifier les utilisateurs. Un pirate serait par ailleurs en mesure de modifier les données en transit (attaques « man-in-the-middle ») et compromettre l’intégrité et la confidentialité d’un échange.
Et dans les cas où l’application utilise bien un chiffrement pour transmettre des données (pour les identifiants utilisateur, certaines communications avec le serveur…), la méthode utilisée est faible. L’algorithme 3DES est considéré comme non sécurisé depuis des années.
Par ailleurs, les clés de chiffrement sont codées en dur dans le code source de l’application, ce qui les expose à une exploitation malveillante par un pirate les ayant récupérées (c’est possible sans avoir un accès physique à l’appareil). Une clé de chiffrement est censée rester secrète, mais dans DeepSeek, elle est écrite dans le code de l’application.
L’étude révèle aussi que l’application transmet des données vers des serveurs situés en Chine et contrôlés par… Bytedance, le créateur de TikTok. Elles sont donc stockées sous une juridiction qui fait peu de cas de la confidentialité et donne un énorme pouvoir de surveillance à Pékin. Ce qui vaut d’ailleurs à TikTok une possible interdiction aux États-Unis.
Benoit Grunemwald, expert en cybersécurité chez ESET France, l’avait d’ailleurs confirmé à 01net : « la politique de confidentialité de DeepSeek révèle que les données des utilisateurs sont stockées sur des serveurs en Chine ». Ces données peuvent « inclure l’historique des conversations, les fichiers téléchargés et d’autres informations sensibles ».
Mieux vaut donc éviter DeepSeek comme la peste pour éviter les problèmes ! Le bot fait d’ailleurs l’objet de plusieurs enquêtes comme en Italie. L’Australie a interdit l’utilisation de DeepSeek dans son administration. Et aux États-Unis, un projet de loi prévoit jusqu’à 20 ans de prison (!) pour les utilisateursdu service chinois.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : NowSecure
