Peut-on faire confiance à DeepSeek?
André Boily
Des experts en sécurité affirment avoir découvert « en quelques minutes » une base de données contenant des informations sensibles sur les échanges faits entre la plateforme IA et ses utilisateurs.
Négligence ou erreur humaine, DeepSeek a mal verrouillé une base de données « complètement ouverte » qui a exposé les historiques de clavardages des utilisateurs, les clés d'authentification API, les journaux système et d'autres informations sensibles, selon l'entreprise de sécurité infonuagique Wiz.
Des tonnes de contenu confidentiel, sans protection
Les experts en sécurité ont déclaré avoir trouvé la base de données publiquement accessible de la jeune entreprise chinoise d'IA en « quelques minutes », sans qu'aucune authentification ne soit nécessaire.
Les informations exposées étaient hébergées dans un système de gestion de données open source appelé ClickHouse et consistaient en plus d'un million de lignes de journal. Comme le notent les experts de Wiz, l'exposition « a permis un contrôle total de la base de données et une escalade potentielle des privilèges dans l'environnement DeepSeek », ce qui aurait pu permettre à des acteurs malveillants d'accéder aux systèmes internes de la startup. Ces conclusions ont été rapportées pour la première fois par Wired.
Fuites possibles
La chinoise IA DeepSeek dit avoir « rapidement sécurisé » la base de données après que Wiz l'a informée du problème.
On ne sait toujours pas si quelqu'un d'autre a pu accéder aux données exposées, mais les chercheurs ont déclaré à Wired que « ce ne serait pas surprenant, étant donné la simplicité de la découverte ».
Les experts de Wiz ont également déclaré à Wired que les systèmes de DeepSeek étaient conçus de la même manière que ceux utilisés par l’américaine OpenAI, « jusqu'à des détails comme le format des clés API ». OpenAI a accusé DeepSeek d'utiliser ses données pour entraîner ses modèles d'IA en début de semaine.