DeepSeek, qui propose une application d’intelligence artificielle récemment mise en avant sur iOS, est au cœur d’une polémique majeure : elle transmettrait des données non chiffrées vers des serveurs contrôlés par ByteDance, la maison-mère de TikTok. Cette révélation, qui survient dans un climat déjà tendu autour de la gestion des données personnelles par les entreprises chinoises, soulève de sérieuses interrogations sur la sécurité numérique, la transparence des applications, et la responsabilité des plateformes.Il y a un peu plus de deux semaines, une société chinoise largement inconnue, DeepSeek, a stupéfié le monde de l'IA en publiant un chatbot IA open source dont les capacités de raisonnement simulé étaient largement comparables à celles du leader du marché, OpenAI. En l'espace de quelques jours, l'application DeepSeek AI Assistant s'est hissée au sommet de la catégorie « Free Apps » de l'App Store de l'iPhone, dépassant ChatGPT.
Jeudi, la société de sécurité mobile NowSecure a signalé que l'application envoie des données sensibles sur des canaux non chiffrés, ce qui rend les données lisibles pour quiconque peut surveiller le trafic. Des attaquants plus sophistiqués pourraient également altérer les données pendant leur transit. Apple encourage vivement les développeurs d'iPhone et d'iPad à appliquer le chiffrement des données envoyées par fil à l'aide d'ATS (App Transport Security). Pour des raisons inconnues, cette protection est globalement désactivée dans l'application, selon NowSecure.
Envoyé par NowSecure
NowSecure a mené une évaluation complète de la sécurité et de la confidentialité de l'application mobile iOS DeepSeek, découvrant de nombreuses vulnérabilités critiques qui mettent en danger les individus, les entreprises et les agences gouvernementales. Ces résultats soulignent la nécessité immédiate pour les organisations d'interdire l'utilisation de l'application afin de protéger les données sensibles et d'atténuer les cyber-risques potentiels.
Principaux risques identifiés :
Implications pour les entreprises et les agences gouvernementales :
Principaux risques identifiés :
- Transmission de données non chiffrées : L'application transmet des données sensibles sur Internet sans les chiffrer, ce qui les rend vulnérables à l'interception et à la manipulation.
- Clés de chiffrement faibles et codées en dur : L'application utilise un cryptage Triple DES obsolète, réutilise les vecteurs d'initialisation et code en dur les clés de cryptage, violant ainsi les meilleures pratiques en matière de sécurité.
- Stockage de données non sécurisé : Le nom d'utilisateur, le mot de passe et les clés de chiffrement sont stockés de manière non sécurisée, ce qui augmente le risque de vol de données d'identification.
- Collecte extensive de données et d'empreintes numériques : L'application recueille des données sur l'utilisateur et l'appareil, qui peuvent être utilisées pour le suivi et la désanonymisation.
- Données envoyées en Chine et régies par les lois de la RPC : Les données des utilisateurs sont transmises à des serveurs contrôlés par ByteDance, ce qui soulève des inquiétudes quant à l'accès du gouvernement et aux risques de conformité.
Implications pour les entreprises et les agences gouvernementales :
- Exposition des données sensibles, y compris les données urgentes, la propriété intellectuelle, les plans stratégiques et les communications confidentielles.
- Risque accru de surveillance grâce à la prise d'empreintes digitales et à l'agrégation de données.
- Risques liés à la réglementation et à la conformité, les données étant stockées et traitées en Chine dans le cadre juridique de ce pays.
Données non chiffrées exposées et modifiables sur le réseau
Les chercheurs expliquent que l'application DeepSeek iOS envoie certaines données d'enregistrement de l'application mobile et de l'appareil sur Internet sans chiffrement. Cela expose toutes les données du trafic Internet à des attaques passives et actives. Un pirate peut surveiller passivement tout le trafic et obtenir des informations importantes sur les utilisateurs de l'application DeepSeek. Bien qu'Apple ait intégré des protections de plateforme pour empêcher les développeurs d'introduire cette faille, la protection a été désactivée globalement pour l'application iOS DeepSeek.
Un attaquant disposant d'un accès privilégié au réseau (connu sous le nom d'attaque Man-in-the-Middle) pourrait également intercepter et modifier les données, ce qui aurait un impact sur l'intégrité de l'application et des données. Les chercheurs précisent que « la violation fin 2024 des fournisseurs de services Internet américains par l'acteur chinois "Salt Typhoon" permettrait ces attaques contre toute personne utilisant les fournisseurs de services pour accéder aux données ».
Lorsqu'un utilisateur lance pour la première fois l'application iOS DeepSeek, celle-ci communique avec l'infrastructure dorsale de DeepSeek pour configurer l'application, enregistrer l'appareil et établir un mécanisme de profil de l'appareil. Même lorsque le réseau est configuré pour attaquer activement l'application mobile (via une attaque MITM), l'application exécute toujours ces étapes, ce qui permet des attaques passives et actives contre les données.
ByteDance et la surveillance des données : un passé trouble
Les données sont envoyées à des serveurs contrôlés par ByteDance, la société chinoise propriétaire de TikTok. De même, bien que certaines de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Pensez-vous que cette décision est crédible ou pertinente ?
)