DeepSeek, qui propose une application d’intelligence artificielle récemment mise en avant sur iOS, est au cœur d’une polémique majeure : elle transmettrait des données non chiffrées vers des serveurs contrôlés par ByteDance, la maison-mère de TikTok. Cette révélation, qui survient dans un climat déjà tendu autour de la gestion des données personnelles par les entreprises chinoises, soulève de sérieuses interrogations sur la sécurité numérique, la transparence des applications, et la responsabilité des plateformes.Il y a un peu plus de deux semaines, une société chinoise largement inconnue, DeepSeek, a stupéfié le monde de l'IA en publiant un chatbot IA open source dont les capacités de raisonnement simulé étaient largement comparables à celles du leader du marché, OpenAI. En l'espace de quelques jours, l'application DeepSeek AI Assistant s'est hissée au sommet de la catégorie « Free Apps » de l'App Store de l'iPhone, dépassant ChatGPT.
Jeudi, la société de sécurité mobile NowSecure a signalé que l'application envoie des données sensibles sur des canaux non chiffrés, ce qui rend les données lisibles pour quiconque peut surveiller le trafic. Des attaquants plus sophistiqués pourraient également altérer les données pendant leur transit. Apple encourage vivement les développeurs d'iPhone et d'iPad à appliquer le chiffrement des données envoyées par fil à l'aide d'ATS (App Transport Security). Pour des raisons inconnues, cette protection est globalement désactivée dans l'application, selon NowSecure.
Envoyé par NowSecure
NowSecure a mené une évaluation complète de la sécurité et de la confidentialité de l'application mobile iOS DeepSeek, découvrant de nombreuses vulnérabilités critiques qui mettent en danger les individus, les entreprises et les agences gouvernementales. Ces résultats soulignent la nécessité immédiate pour les organisations d'interdire l'utilisation de l'application afin de protéger les données sensibles et d'atténuer les cyber-risques potentiels.
Principaux risques identifiés :
Implications pour les entreprises et les agences gouvernementales :
Principaux risques identifiés :
- Transmission de données non chiffrées : L'application transmet des données sensibles sur Internet sans les chiffrer, ce qui les rend vulnérables à l'interception et à la manipulation.
- Clés de chiffrement faibles et codées en dur : L'application utilise un cryptage Triple DES obsolète, réutilise les vecteurs d'initialisation et code en dur les clés de cryptage, violant ainsi les meilleures pratiques en matière de sécurité.
- Stockage de données non sécurisé : Le nom d'utilisateur, le mot de passe et les clés de chiffrement sont stockés de manière non sécurisée, ce qui augmente le risque de vol de données d'identification.
- Collecte extensive de données et d'empreintes numériques : L'application recueille des données sur l'utilisateur et l'appareil, qui peuvent être utilisées pour le suivi et la désanonymisation.
- Données envoyées en Chine et régies par les lois de la RPC : Les données des utilisateurs sont transmises à des serveurs contrôlés par ByteDance, ce qui soulève des inquiétudes quant à l'accès du gouvernement et aux risques de conformité.
Implications pour les entreprises et les agences gouvernementales :
- Exposition des données sensibles, y compris les données urgentes, la propriété intellectuelle, les plans stratégiques et les communications confidentielles.
- Risque accru de surveillance grâce à la prise d'empreintes digitales et à l'agrégation de données.
- Risques liés à la réglementation et à la conformité, les données étant stockées et traitées en Chine dans le cadre juridique de ce pays.
Données non chiffrées exposées et modifiables sur le réseau
Les chercheurs expliquent que l'application DeepSeek iOS envoie certaines données d'enregistrement de l'application mobile et de l'appareil sur Internet sans chiffrement. Cela expose toutes les données du trafic Internet à des attaques passives et actives. Un pirate peut surveiller passivement tout le trafic et obtenir des informations importantes sur les utilisateurs de l'application DeepSeek. Bien qu'Apple ait intégré des protections de plateforme pour empêcher les développeurs d'introduire cette faille, la protection a été désactivée globalement pour l'application iOS DeepSeek.
Un attaquant disposant d'un accès privilégié au réseau (connu sous le nom d'attaque Man-in-the-Middle) pourrait également intercepter et modifier les données, ce qui aurait un impact sur l'intégrité de l'application et des données. Les chercheurs précisent que « la violation fin 2024 des fournisseurs de services Internet américains par l'acteur chinois "Salt Typhoon" permettrait ces attaques contre toute personne utilisant les fournisseurs de services pour accéder aux données ».
Lorsqu'un utilisateur lance pour la première fois l'application iOS DeepSeek, celle-ci communique avec l'infrastructure dorsale de DeepSeek pour configurer l'application, enregistrer l'appareil et établir un mécanisme de profil de l'appareil. Même lorsque le réseau est configuré pour attaquer activement l'application mobile (via une attaque MITM), l'application exécute toujours ces étapes, ce qui permet des attaques passives et actives contre les données.
ByteDance et la surveillance des données : un passé trouble
Les données sont envoyées à des serveurs contrôlés par ByteDance, la société chinoise propriétaire de TikTok. De même, bien que certaines de ces données soient correctement chiffrées à l'aide de la sécurité de la couche transport, une fois déchiffrées sur les serveurs contrôlés par ByteDance, elles peuvent être recoupées avec des données d'utilisateurs collectées ailleurs pour identifier des utilisateurs spécifiques et potentiellement suivre les requêtes et d'autres utilisations.
ByteDance est loin d’être une entreprise au-dessus de tout soupçon. Déjà dans le viseur de plusieurs gouvernements pour la gestion des données sur TikTok, elle se retrouve à nouveau accusée d’une transparence insuffisante et de pratiques douteuses.
L’argument selon lequel les entreprises chinoises sont contraintes par la loi à coopérer avec le gouvernement de Pékin n’est plus un secret. Cette situation place ByteDance dans une position où ses services sont scrutés avec la plus grande prudence par les experts en cybersécurité et les régulateurs internationaux.
L’affaire DeepSeek vient ainsi renforcer les craintes déjà existantes :
- Ces données non chiffrées sont-elles enregistrées et exploitées par ByteDance ?
- Pourraient-elles être accessibles aux autorités chinoises sous prétexte de "sécurité nationale" ?
- Comment une telle négligence est-elle encore possible après des années de controverses sur la collecte de données ?
Dans un climat de méfiance numérique croissante, cette affaire pourrait relancer les discussions sur de potentielles restrictions ou interdictions d’applications contrôlées par des entreprises chinoises.
L'audit de NowSecure a révélé d'autres comportements que les chercheurs ont jugés potentiellement inquiétants
Le chatbot DeepSeek AI utilise un modèle de raisonnement simulé à poids ouvert. Ses performances sont largement comparables à celles du modèle de raisonnement simulé (SR) o1 d'OpenAI sur plusieurs points de référence en mathématiques et en codage. Cette prouesse, qui a largement surpris les observateurs du secteur de l'IA, est d'autant plus étonnante que DeepSeek a déclaré n'y avoir consacré qu'une petite fraction par rapport à la somme dépensée par OpenAI.
Un audit de l'application réalisé par NowSecure a révélé d'autres comportements que les chercheurs ont jugés potentiellement inquiétants. Par exemple, l'application utilise un schéma de chiffrement symétrique connu sous le nom de 3DES ou triple DES. Ce schéma a été déprécié par le NIST suite à des recherches menées en 2016 qui ont montré qu'il pouvait être cassé dans des attaques pratiques pour décrypter le trafic web et VPN. Un autre problème est que les clés symétriques, qui sont identiques pour chaque utilisateur d'iOS, sont codées en dur dans l'application et stockées sur l'appareil.
L'application n'est « pas équipée ou désireuse de fournir des protections de sécurité de base pour vos données et votre identité », a déclaré Andrew Hoog, cofondateur de NowSecure. « Il y a des pratiques de sécurité fondamentales qui ne sont pas respectées, que ce soit intentionnellement ou non. En fin de compte, cela met en danger vos données et votre identité, ainsi que celles de votre entreprise ».
Hoog précise que l'audit n'est pas encore terminé et qu'il reste donc de nombreuses questions et de nombreux détails sans réponse ou peu clairs. Il a ajouté que les conclusions étaient suffisamment préoccupantes pour que NowSecure veuille divulguer sans tarder ce qui est actuellement connu.
Hoog a ajouté que l'application DeepSeek pour Android est encore moins sûre que son homologue pour iOS et qu'elle devrait également être supprimée.
Les données envoyées en clair le sont lors de l'enregistrement initial de l'application :
- l'identifiant de l'organisation
- la version du kit de développement logiciel utilisé pour créer l'application
- la version du système d'exploitation de l'utilisateur
- la langue sélectionnée dans la configuration
Apple encourage vivement les développeurs à mettre en œuvre un système de contrôle de la sécurité pour s'assurer que les applications qu'ils soumettent ne transmettent aucune donnée de manière non sécurisée sur les canaux HTTP. Pour des raisons qu'Apple n'a pas expliquées publiquement, cette protection n'est pas obligatoire. DeepSeek n'a pas encore expliqué pourquoi l'ATS est globalement désactivé dans l'application ou pourquoi il n'utilise pas de cryptage lors de l'envoi de ces informations sur le réseau.
Ces données, ainsi qu'un ensemble d'autres informations chiffrées, sont envoyées à DeepSeek via l'infrastructure fournie par Volcengine, une plateforme de cloud computing développée par ByteDance. Alors que l'adresse IP à laquelle l'application se connecte est géolocalisée aux États-Unis et appartient à la société de télécommunications Level 3 Communications, basée aux États-Unis, la politique de confidentialité de DeepSeek indique clairement que la société « stocke les données qu'elle recueille dans des serveurs sécurisés situés en République populaire de Chine ». La politique précise également que DeepSeek :
peut accéder, préserver et partager les informations décrites dans la section « Quelles sont les informations que nous recueillons » avec les organismes chargés de l'application de la loi, les autorités publiques, les détenteurs de droits d'auteur ou d'autres tiers si nous pensons en toute bonne foi que cela est nécessaire pour :
- se conformer à la loi applicable, aux procédures légales ou aux demandes du gouvernement, conformément aux normes internationalement reconnues.
Une multiplication des rapports concernant DeepSeek
Le rapport publié jeudi par NowSecure vient s'ajouter à une liste croissante de problèmes de sécurité et de protection de la vie privée déjà signalés par d'autres personnes.
L'un d'entre eux concernait les conditions énoncées dans la politique de confidentialité susmentionnée. Un autre problème a été signalé la semaine dernière dans un rapport de chercheurs de Cisco et de l'université de Pennsylvanie. Ce rapport a révélé que le modèle de raisonnement simulé DeepSeek R1 présentait un taux d'échec de 100 % contre 50 invites malveillantes conçues pour générer un contenu toxique.
La troisième préoccupation concerne les recherches menées par la société de sécurité Wiz, qui a découvert une base de données accessible au public et entièrement contrôlable appartenant à DeepSeek. Elle contenait plus d'un million d'instances « d'historique de chat, de données de backend et d'informations sensibles, y compris des flux de données, des secrets d'API et des détails opérationnels », a rapporté Wiz. Une interface web ouverte permettait également un contrôle total de la base de données et une escalade des privilèges, avec des points d'extrémité et des clés d'API internes disponibles via l'interface et des paramètres URL courants.
Dans un autre rapport, des chercheurs ont découvert que le site web de DeepSeek contient du code informatique susceptible d'envoyer des informations de connexion des utilisateurs à China Mobile, une entreprise de télécommunications d'État chinoise interdite d'activité aux États-Unis.
Source : NowSecure
Et vous ?
Trouvez-vous le rapport de NowSecure crédible ou pertinent ? Apple et Google devraient-ils imposer des contrôles plus stricts avant d’autoriser une application sur leurs plateformes ? Quelles mesures individuelles pouvons-nous prendre pour mieux protéger nos données en ligne ?