Il s’avère que le très controversé DeepSeek a encore beaucoup à apprendre en matière de sécurité. Les chercheurs ont découvert une base de données de conversations en ligne et d’autres informations sensibles pas protégées par un mot de passe.
Impossible d’y échapper ces derniers jours : le modèle DeepSeek R1 de l’entreprise chinoise ScaleAI déchaîne les passions. Le modèle a été développé avec des moyens dérisoires et même Donald Trump le qualifie de “signal d’alarme” pour l’industrie technologique américaine. Ce que ScaleAI semble avoir moins bien compris, c’est la sécurité, puisqu’elle a laissé ouverte une base de données contenant les informations sensibles de DeepSeek.
Grand ouvert
La société de sécurité Wiz a examiné de près la sécurité de DeepSeek et a constaté qu’elle était particulièrement déficiente. Une base de données contenant des informations sensibles telles que l’historique des conversations des utilisateurs a été ouvertement exposée sur l’internet. La base de données était accessible via la plateforme de données open-source ClickHouse et n’était même pas protégée par un mot de passe. Outre les données de chat, la base de données comprenait des flux de données et des informations opérationnelles.
Pire encore, selon les chercheurs de Wiz, il n’était même pas difficile d’obtenir le contrôle total de la base de données sans avoir à s’authentifier. En jouant avec les requêtes, les chercheurs ont mis la main sur une liste d’ensembles de données disponibles. L’un de ces ensembles de données comprenait l’historique des conversations en texte clair, des clés d’API, des données d’arrière-plan et des métadonnées opérationnelles.
Risques de base
Wiz a alerté DeepSeek sur la base de données mal sécurisée et celle-ci aurait été verrouillée depuis. Mais de telles découvertes ne font pas honneur à la réputation naissante de l’entreprise. “L’adoption rapide de services d’IA sans sécurité adéquate est risquée”, a déclaré un chercheur de Wiz à The Register. “Une grande partie de l’attention portée à l’IA concerne les menaces futuristes, mais les véritables dangers découlent souvent de risques élémentaires, tels que l’exposition externe par inadvertance des bases de données.
lire aussi
Inside DeepSeek – L’intelligence artificielle agite les esprits : comment fonctionne-t-elle et qu’est-ce qui est volé ?
L’essor rapide de DeepSeek attire également l’attention des autorités de régulation. L’Italie a déjà décidé d’interdire l’ application jusqu’à ce que DeepSeek clarifie la manière dont elle traite les informations personnelles des utilisateurs. Sa déclaration de confidentialité indique noir sur blanc que ses serveurs sont situés en Chine. De son côté, OpenAI accuse DeepSeek de plagiat, mais c’est le pot aux roses.