Steven Lafortune
Le 20 janvier, l’entreprise chinoise DeepSeek a secoué le secteur mondial de l’IA — et, de fait, plusieurs marchés financiers — en affirmant que sa nouvelle série de modèles de raisonnement baptisée «R1» pouvait fonctionner à moindre coût et consommer beaucoup moins d’énergie que les agents conversationnels pilotés par l’IA développés par les géants technologiques OpenAI et Google.
Moins d’un mois après cette présentation sans précédent, DeepSeek provoque à nouveau des remous à l’échelle mondiale. Mais cette fois-ci, ils ne proviennent pas d’une opération marketing astucieuse. Ils ont plutôt été déclenchés par un avertissement urgent émis par l’éditeur de sécurité mobile NowSecure.
Multiples risques en matière de sécurité et de confidentialité
Le 6 février, les chercheurs de NowSecure ont publié les résultats d’une analyse complète révélant plusieurs risques de sécurité et de confidentialité dans l’application iOS de DeepSeek. Parmi ces vulnérabilités:
- Transmission de données non chiffrées: l’application transmet des données sensibles sur Internet sans chiffrement, ce qui les rend vulnérables à l’interception et à la manipulation.
- Clés de chiffrement faibles et codées en dur: l’application utilise l’ancien chiffrement Triple DES, réutilise les vecteurs d’initialisation et intègre les clés de chiffrement en dur, ce qui viole les bonnes pratiques établies pour la protection des données.
- Stockage de données non sécurisé: l’application stocke de manière non sécurisée le nom d’utilisateur, le mot de passe et les clés de chiffrement, ce qui augmente le risque de vol d’identifiants.
- Collecte étendue de données: l’application recueille des données concernant l’utilisateur et l’appareil, qui peuvent être exploitées par des acteurs malveillants pour suivre et réidentifier des données anonymes.
- Les données sont envoyées en Chine: les utilisateurs de l’application peuvent ignorer que leurs données sont transmises à des serveurs contrôlés par ByteDance, la société chinoise propriétaire de TikTok. Cela soulève des questions sur les pratiques de gouvernance des données sous juridiction chinoise, y compris la surveillance sans mandat.
- Désactivation des contrôles de confidentialité iOS: l’application contourne les fonctions de sécurité d’Apple et ne dispose pas des manifestes de confidentialité obligatoires, ce qui accroît l’exposition au suivi et à l’empreinte numérique.
Tant que ces vulnérabilités ne seront pas corrigées, NowSecure demande à toutes les organisations d’interdire immédiatement l’utilisation de DeepSeek, qui a été téléchargé des millions de fois depuis son lancement et qui occupe actuellement la 3e place des applications «productivité» les plus populaires de l’App Store (après être resté plusieurs jours à la 1re place). Au lieu de cela, les organisations devraient trouver une autre solution d’IA offrant des fonctionnalités similaires, mais bénéficiant de meilleures pratiques de sécurité, de confidentialité et de gouvernance des données.
NowSecure recommande en outre aux organisations qui ne souhaitent pas ou ne peuvent pas remplacer DeepSeek pour l’instant de réduire leur exposition aux risques en optant pour un modèle open source avec une solution hébergée ou en déployant un modèle d’hébergement autonome.
Utilisateurs Android : prudence
Le fondateur de NowSecure, Andrew Hoog, a déclaré que bien que son équipe de recherche n’ait pas encore terminé son analyse approfondie de DeepSeek pour Android, il pense que la conception de base devrait être fonctionnellement similaire à la version iOS. Si cela se confirme, alors la plupart ou la totalité des mêmes vulnérabilités seraient présentes.
Autres inquiétudes
NowSecure n’est pas la seule entreprise à tirer la sonnette d’alarme concernant la sécurité de DeepSeek:
- Des chercheurs de Check Point Software ont découvert que des acteurs malveillants exploitaient DeepSeek et Quen (un ensemble de modèles de langage de grande taille développé par Alibaba Cloud) pour créer du contenu malveillant.
- Des chercheurs de Cisco ont constaté que DeepSeek présentait un taux de réussite des attaques de 100%, ce qui signifie qu’il n’a bloqué aucune requête nuisible.
- Des chercheurs de Wiz ont découvert qu’une base de données accessible publiquement appartenant à DeepSeek permettait un contrôle total des opérations de base de données, y compris la possibilité d’accéder à des données internes avec un million de lignes de journaux extrêmement sensibles.
Bien que ces vulnérabilités ne concernent pas directement l’application iOS de DeepSeek, elles soulèvent néanmoins des questions troublantes quant au profil, aux politiques et aux pratiques de sécurité de l’entreprise, qui doivent être élucidées.
Point de vue et conseils de William Matos, Spécialiste de la sécurité opérationnelle chez Devolutions
Ces conclusions des chercheurs de NowSecure sont sérieuses et poussent plusieurs pays et organisations du monde entier à interdire ou à enquêter sur DeepSeek en raison de ses risques potentiels pour la sécurité et la confidentialité.
Chez Devolutions, la sécurité est notre priorité absolue, et ce depuis le premier jour. Nous ne faisons aucun compromis ni raccourci lorsqu’il s’agit de protéger les données en transit ou au repos, ni de préserver la confidentialité de nos utilisateurs. En d’autres termes, nous prenons la sécurité aussi au sérieux que notre communauté mondiale d’utilisateurs, dont beaucoup sont des professionnels de la sécurité informatique chevronnés.
Vous trouverez ci-dessous une comparaison des fonctionnalités de sécurité entre Devolutions Hub et DeepSeek iOS (note: bien que Devolutions Hub soit une solution de gestion de mots de passe infonuagique et DeepSeek un chatbot dopé à l’IA, ce récapitulatif illustre clairement notre engagement renforcé à protéger la sécurité et les données de nos utilisateurs):
Solidité du chiffrement Devolutions Hub: AES-256 & TLS 1.2/1.3 pour la protection des données DeepSeek iOS: Chiffrement faible (3DES, clés codées en dur)
Sécurité de la transmission des données Devolutions Hub: Entièrement chiffrée de bout en bout DeepSeek iOS: Données non chiffrées envoyées sur Internet
Infrastructure Cloud Devolutions Hub: Hébergé sur des plateformes cloud sécurisées et conformes (ISO 27001, SOC 2) DeepSeek iOS: Envoie les données vers Volcano Engine (serveurs ByteDance)
Architecture zero-knowledge Devolutions Hub: Personne (même pas Devolutions) ne peut accéder aux mots de passe stockés DeepSeek iOS: Collecte des données sur l’utilisateur et l’appareil sans consentement
Conformité et confidentialité Devolutions Hub: Conforme au RGPD, SOC 2, ISO 27001 DeepSeek iOS: Contourne la sécurité d’Apple (ATS), violation des meilleures pratiques
Propriété et contrôle des données Devolutions Hub: Contrôle par l’utilisateur, toutes les données appartiennent à l’organisation DeepSeek iOS: Données stockées sur des serveurs externes, hors du contrôle de l’utilisateur
Également, Devolutions ne pratique pas la «sécurité par l’obscurité». La transparence est l’une de nos valeurs fondamentales et se manifeste de plusieurs façons, par exemple:
- Notre bibliothèque cryptographique est open source et disponible sur GitHub pour examen public.
- Nous publions régulièrement des rapports de sécurité et des certifications de tiers, tels que ISO/IEC 27001 et SOC2, dans la section Sécurité & Conformité de notre site Web.
- Nous énumérons sur notre site Web les avis concernant toutes les vulnérabilités de sécurité connues. Chaque avis inclut les mesures correctives et les solutions de contournement, un niveau de gravité selon le Common Vulnerability Scoring System (CVSS) et un numéro Common Vulnerabilities and Exposures.
- Nous gérons un programme de Bug Bounty qui encourage et récompense les chercheurs qui tentent «d’attaquer et de briser» nos produits, afin que nous puissions renforcer de manière proactive les vulnérabilités et corriger les erreurs de codage ou de programmation.
Tous les utilisateurs actuels et potentiels sont invités à nous contacter pour toute question liée à la sécurité de nos solutions, ou concernant les politiques et pratiques de notre organisation.
Ce qui nous attend
En seulement quelques semaines, DeepSeek a considérablement transformé et accéléré la course à l’IA. Cependant, le potentiel et les promesses des agents conversationnels alimentés par l’IA — qui incluent mais ne se limitent certainement pas à DeepSeek — ne peuvent se réaliser pleinement que s’ils reposent fondamentalement sur une sécurité robuste. Il incombe donc aux éditeurs, aux gouvernements et aux membres de la communauté mondiale de la sécurité (dont l’excellent travail des chercheurs de NowSecure dans ce cas) de veiller à ce que des normes de sécurité élevées soient systématiquement respectées.
Ultimement, nous ne devons pas perdre de vue cette vérité: peu importe qu’un produit soit qualifié de «révolutionnaire» ou de «transformateur», s’il met en péril les données des utilisateurs par conception ou par négligence, et sape leur confiance, alors il ne s’agit pas (encore) d’une solution avantageuse à adopter, mais bien d’un problème sérieux à résoudre.
Partagez votre avis
Nous vous invitons à partager vos réflexions, vos expériences et vos prévisions concernant DeepSeek ou tout autre agent conversationnel alimenté par l’IA. Veuillez commenter ci-dessous.
Patrick Pilotte
