Après l’émerveillement, DeepSeek doit faire face à une salve d’accusations (notamment de plagiat d’OpenAI) et de doutes (lettre envoyée par la Cnil italienne pour sa conformité au RGPD). Il faut maintenant compter sur les questions de sécurité avec la découverte par Wiz d’un cache de données sensibles ouvertement accessibles sur Internet. Selon l'éditeur de sécurité, plus d'un million d'informations seraient ainsi exposées.
Les experts ont constaté que la start-up chinoise avait par inadvertance laissé une base de données ClickHouse non sécurisée accessible en ligne. Ami Luttwak, directeur technique de Wiz, a confirmé dans un article de blog que DeepSeek avait rapidement agi pour sécuriser la base de données après avoir été alerté. « Ils l’ont corrigée en moins d’une heure ». Et d’ajouter, « c’était si simple à trouver que nous pensons que nous ne sommes pas les seuls à l’avoir découvert ».
Un accès aux logs et aux interactions des utilisateurs
Dans le détail, les données exposées comprenaient des historiques de chat, des détails de backend, des secrets d’API et des informations opérationnelles sensibles. Selon Wiz, la base de données n'était absolument pas protégée, ce qui donnait un accès illimité aux journaux internes et pouvait potentiellement compromettre les interactions des utilisateurs.
La base de données non protégée accordait également un contrôle de niveau administrateur complet sur son contenu. Les attaquants ayant accès auraient pu récupérer des données propriétaires, extraire des mots de passe en texte clair et même accéder à des fichiers locaux stockés sur les serveurs de DeepSeek. Les chercheurs ont noté qu'il n'y avait aucun mécanisme d'authentification en place, ce qui rend la violation particulièrement alarmante.
Une sécurité à ne pas négliger
Cette découverte intervient dans un contexte particulier pour Deepseek. Son lancement a provoqué une onde de choc sur le marché avec un modèle de raisonnement R1 capable de rivaliser avec OpenAI pour un coût moindre. L’engouement provoqué a entraîné une riposte de la part des Etats-Unis qui va examiner l’impact du modèle sur la sécurité nationale. La Marine américaine a déjà annoncé l’interdiction de l’usage de Deepseek. L’Europe est aussi montée au créneau avec la Cnil italienne, mais aussi le régulateur irlandais en demandant des éclaircissements sur la protection des données personnelles.
Les experts en cybersécurité alertent qu’au-delà de l’affaire Deepseek, les startups d’IA, dans leur hâte de se développer, ne doivent pas négliger les règles de sécurité de base. « Les risques de sécurité immédiats pour les applications d’IA proviennent de l’infrastructure et des outils qui les soutiennent », glisse les chercheurs de Wiz. Ils ajoutent, « alors qu’une grande partie de l’attention autour de la sécurité de l’IA se concentre sur les menaces futuristes, les véritables dangers proviennent souvent d’une mauvaise configuration de base ».
Commentaire