Une faille de sécurité critique dans DeepSeek expose les données de millions d'utilisateurs

  • Les chercheurs de Wiz ont découvert une base de données DeepSeek exposée publiquement et contenant des informations critiques sur les utilisateurs.
  • La violation comprenait des messages de discussion, des clés API et des journaux système, révélant une faille de sécurité à fort impact.
  • La base de données a été verrouillée après la découverte, mais on ne sait pas si des acteurs malveillants ont accédé aux informations.
  • Cet incident remet en question la sécurité de l’IA générative développée à l’échelle mondiale, en particulier dans les applications chinoises telles que DeepSeek.
Alberto Navarro

Minutes 4

Faille de sécurité dans DeepSeek

L’intelligence artificielle continue d’évoluer à pas de géant, mais elle n’est pas sans défis. DeepSeek, un chatbot d'intelligence artificielle développé en Chine qui se caractérise par son caractère open source et qui rivalise avec des géants tels qu'OpenAI et Google, est au centre d'un scandale suite à la révélation d'une grave faille de sécurité ce qui a mis en danger les données de millions d’utilisateurs à travers le monde.

Des chercheurs de la société de sécurité cloud Wiz ont identifié une base de données publique DeepSeek accessible sans restrictions d'authentification. Cette base de données, hébergée sur un système de gestion appelé ClickHouse, contenait information sensible tels que les clés API, les messages de discussion en texte brut, les journaux système internes et les demandes des utilisateurs. Une telle exposition représente un risque important tant pour les utilisateurs que pour l’entreprise, ouvrant la porte aux cyberattaques et à l’utilisation abusive des données personnelles.

Les vulnérabilités de DeepSeek suscitent des inquiétudes

Bases de données exposées dans DeepSeek

Le rapport de Wiz détaille à quel point l’accès à la base de données a été étonnamment facile. Grâce à une analyse rapide, les chercheurs ont trouvé le chemin d'accès via l'interface HTTP de ClickHouse, qui permettait d'exécuter des requêtes SQL directement à partir d'un navigateur. Ce niveau d’accessibilité est alarmant dans n’importe quel contexte, mais il est encore plus inquiétant lorsqu’il s’agit d’un chatbot qui gère information confidentielle.

Selon les spécialistes, La base de données contenait des messages de discussion, dont beaucoup en chinois, même s'il n'est pas exclu qu'il y ait aussi des messages dans d'autres langues. En outre, ils ont trouvé itinéraires internes du système et les clés API utilisées pour authentifier les requêtes. Un attaquant aurait pu utiliser ce type d’informations pour manipuler les systèmes internes de DeepSeek, accéder à des données encore plus critiques ou compromettre l’ensemble de l’infrastructure de l’entreprise.

En réponse, les chercheurs ont tenté d'alerter les responsables de DeepSeek par divers moyens, notamment par courrier électronique et par des profils LinkedIn associés à l'entreprise. Bien qu’ils n’aient initialement reçu aucune réponse, Ils ont bloqué la base de données publique environ 30 minutes après ces tentatives, laissant son contenu inaccessible aux utilisateurs externes.

Impact sur la confiance envers les plateformes d'IA générative

La faille de sécurité découverte soulève de sérieuses questions sur la maturité de DeepSeek et sa capacité à gérer informations sensibles. Selon Ami Luttwak, directeur technique de Wiz, Ces types d’erreurs sont inacceptables dans les systèmes qui cherchent à gagner la confiance des utilisateurs et des entreprises du monde entier. Bien que Les erreurs de sécurité ne sont pas rares dans le secteur technologique, le fait que cette lacune ait été si facile à trouver et à exploiter met en évidence le manque de mesures de sécurité de base.

L’incident a également rouvert le débat sur les risques liés à l’utilisation des technologies d’IA développées en Chine. L’Irlande et Italie, parmi d'autres pays de l'Union européenne, ont demandé des informations sur la manière dont DeepSeek gère les données des utilisateurs et si elles sont stockées dans Serveurs chinois. Cet épisode rappelle des cas antérieurs, comme celui de ChatGPT temporairement bloqué en Italie en 2023 en raison de préoccupations similaires.

Le dilemme de l'open source

Gestion des données dans DeepSeek

Étant open source, DeepSeek offre certains avantages tels que l'accessibilité pour les développeurs et les startups. Cependant, Cette fonctionnalité augmente également le risque que des outils malveillants exploitent les vulnérabilités de votre infrastructure, comme cela s'est produit dans ce cas. Les experts en sécurité avertissent que des modèles comme DeepSeek doivent être soigneusement audités et surveillés en permanence pour éviter de telles violations.

Alors que l'influence de DeepSeek continue de croître, les inquiétudes concernant confidentialité et cybersécurité. Les conditions de service du chatbot révèlent que l'entreprise collecte et conserve les données des utilisateurs indéfiniment, un fait qui pourrait susciter de nouvelles critiques et un examen international.

Cet incident met en évidence la Importance d’établir des normes mondiales plus strictes pour assurer la sécurité et la confidentialité des données des utilisateurs. Dans un monde de plus en plus dépendant de ces technologies, les développeurs doivent privilégier la confiance et la transparence comme piliers fondamentaux de leur développement.


Suivez-nous sur Google Actualités