Une faille majeure découverte dans la sécurité de DeepSeek

Des chercheurs en sécurité ont découvert une importante faille dans le système de protection de DeepSeek, mettant potentiellement en péril la sécurité des données de ses utilisateurs.

La populaire plateforme d’intelligence générative DeepSeek sous le feu des critiques

DeepSeek, la plateforme d’intelligence générative qui a fait sensation cette semaine, a également attiré l’attention des analystes de la sécurité informatique. Wiz Research, une entreprise spécialisée en sécurité informatique, a révélé l’existence d’une faille de sécurité préoccupante dans le logiciel.

Une faille de sécurité exposant plus d’un million de données

Selon leurs recherches, une base de données cruciale de DeepSeek était laissée à la merci de tout internaute. Cette base de données contenait plus d’un million de données sensibles, dont des informations sur les utilisateurs, des journaux système, des clés API et même des soumissions d’invites. Les chercheurs de Wiz ont souligné avoir pu trouver cette base de données sans trop de difficultés.

Nir Ohfeld, le responsable de la recherche sur les vulnérabilités chez Wiz, a déclaré à Wired : « Généralement, lorsque nous trouvons ce type d’exposition, c’est dans un service négligé qui nous prend des heures à trouver. Mais cette fois, c’était à la porte d’entrée. »

Une faille rapidement corrigée après signalement

Les chercheurs de Wiz n’étaient pas sûrs de la manière de divulguer leurs découvertes, étant donné que DeepSeek est une nouvelle entité basée en Chine. Ils ont finalement envoyé leurs résultats à toutes les adresses e-mail et profils LinkedIn qu’ils ont pu trouver. Le verrouillage de la base de données a été effectué dans les 30 minutes suivant l’envoi de l’e-mail de masse.Malgré la faille, l’entreprise a montré une capacité à réagir rapidement une fois le problème signalé, ce qui peut témoigner d’une certaine efficacité opérationnelle. Mais Le fait qu’il ait fallu un e-mail de masse pour déclencher une action aussi rapide indique un déficit de surveillance continue des systèmes de sécurité.

Les failles de sécurité, un défi constant pour l’IA

DeepSeek n’est pas la seule entreprise d’IA à avoir connu une grave violation de la sécurité. En 2023, un pirate informatique avait réussi à accéder aux journaux de messagerie interne d’OpenAI et un bug avait révélé des informations personnelles plus tard la même année. « Les vulnérabilités comme les bases de données laissées ouvertes sur internet sont toujours présentes, même dans le nouveau monde de la technologie et de la cybersécurité liées à l’IA », a déclaré Ohfeld.