Depuis son apparition fulgurante sur l’App Store, l’application DeepSeek a captivé des millions d’utilisateurs. Cependant, cette popularité cache un revers inquiétant. En effet, des failles de sécurité ont récemment été mises au jour, soulevant de graves questions quant à la protection des données personnelles des utilisateurs.
Des préoccupations antérieures autour de DeepSeek
Au départ, DeepSeek a émergé comme une nouveauté surprise, surpassant tous les autres outils de communication. Les chercheurs en intelligence artificielle ont été éblouis par ses performances, offrant des résultats comparables à ceux de chatbots coûteux en ressources, provoquant une chute des actions de plusieurs entreprises américaines.
Ces découvertes réjouissantes ont cependant été éclipsées rapidement par des inquiétudes croissantes. Les autorités italiennes et irlandaises ont commencé à interroger la conformité de l’application avec les réglementations européennes sur la protection des données. En parallèle, les autorités américaines examinent les implications potentielles en matière de sécurité nationale.
Une investigation a révélé que l’entreprise derrière DeepSeek avait, par négligence, laissé une base de données très sensible accessible, contenant plus d’un million d’entrées de logs, y compris des historiques de discussion et des clés secrètes.
Des vulnérabilités multiples dans l’application DeepSeek
La société NowSecure a brièvement exposé plusieurs failles affectant l’application iOS. Notamment, DeepSeek a désactivé le système App Transport Security (ATS) d’Apple, destiné à chiffrer les données sensibles lors de leur transmission. Cette désactivation est alarmante, surtout dans un contexte où la confidentialité est primordiale.
La désactivation de l’App Transport Security (ATS) par l’application DeepSeek compromet la sécurité des données sensibles, les exposant à des transmissions non chiffrées sur Internet.
Bien que les données exposées puissent sembler anodines prises individuellement, leur aggregation peut rapidement mener à l’identification des utilisateurs. Une récente infraction aux données de Gravy Analytics démontre que ces informations peuvent être collectées à grande échelle, rendant l’anonymat précaire.
Bien qu’aucune donnée prise séparément ne soit hautement risquée, la combinaison de multiples points de données conduit rapidement à identifier facilement des individus.
C’est également préoccupant que les méthodes de chiffrement en place soient obsolètes, utilisant un algorithme connu pour ses faiblesses.
Le choix de l’algorithme de chiffrement dans cette application repose sur le 3DES, un système jugé inadapté pour assurer la confidentialité des informations.
De plus, les informations collectées pourraient être exploitées pour cibler des individus potentiellement sensibles aux intentions d’espionnage.
Un utilisateur, par exemple, utilisant un iPad récent sur un réseau dédié à la sécurité publique peut être catalogué comme cible potentielle pour l’espionnage.
D’après l’analyse approfondie, l’application DeepSeek s’avère non sécurisée. Les experts notent que la version Android est encore moins fiable que sa consœur iOS.
L’avis d’un expert
Malgré ses prouesses techniques et l’intérêt suscité par ses fonctionnalités, il est conseillé de s’abstenir d’utiliser DeepSeek pour toute tâche impliquant la divulgation de données personnelles. L’application semble avoir les moyens d’identifier ses utilisateurs et de surveiller leurs interactions.
A mesure que des chercheurs continuent d’analyser l’application, d’autres failles dans la sécurité pourraient apparaître. Personnellement, j’ai désinstallé DeepSeek de mon iPhone, et je recommande vivement la même démarche à tous les utilisateurs.
Image: Netcost-security.fr