Header Blog - Email Security

DeepSeek passé au crible : Les risques pour la confidentialité et les préoccupations en matière de sécurité sont-ils justifiés ?

Home » Blog » DeepSeek passé au crible : Les risques pour la confidentialité et les préoccupations en matière de sécurité sont-ils justifiés ?

DeepSeek AI est aujourd’hui sous les feux des projecteurs, dominant les palmarès des app stores et fascinant les utilisateurs par ses capacités plus qu’impressionnantes. Dans ce contexte, le cliché « Un grand pouvoir implique de grandes responsabilités » prend tout son sens. 

Tout le monde parle de cette sensation d’IA qui s’est finalement retrouvée sous le microscope, avec des professionnels de la sécurité, des gouvernements et des organisations du monde entier qui s’inquiètent des risques potentiels pour la confidentialité et des vulnérabilités en matière de sécurité. 

De l’enthousiasme au soupçon

Imaginez un peu : L’essor de DeepSeek est comparable à une vidéo virale qui inonde votre fil d’actualité sur les réseaux sociaux. Au début, c’est excitant et tout le monde en parle, mais rapidement, les gens commencent à se demander ce qui se passe vraiment dans cette histoire.  

La doctrine d’une défense en profondeur est le saint évangile dans le monde de la cybersécurité, alors que DeepSeek a apparemment fait abstraction de la partie « défense », intentionnellement ou non. C’est comme s’ils avaient construit une maison et qu’ils avaient oublié d’installer les serrures sur les portes et les verrous sur les fenêtres. 

Dans cette analyse, nous allons disséquer l’anatomie des pratiques de DeepSeek en matière de sécurité et de protection de la confidentialité, en découvrant les vulnérabilités, en exposant les méthodes de collecte de données et en nous demandant finalement si l’attrait de cette IA vaut le coût potentiel pour votre bien-être numérique. Les avantages l’emportent-ils sur les inconvénients ? Ou s’agit-il d’un cas où le style l’emporte sur la substance, laissant les utilisateurs exposés dans le désert technologique ? 

Alors, attachez votre ceinture et plongez dans le phénomène DeepSeek, en séparant le battage médiatique des dangers, et en déterminant si cette merveille d’IA vaut vraiment les risques potentiels pour votre bien-être numérique. 

Les questions relatives à la cybersécurité et à la protection de la confidentialité de DeepSeek : Analyse des préoccupations 

Soyons réalistes, quel que soit le nouveau service révolutionnaire qui fait sensation, un équivalent apparaîtra probablement en Chine, souvent avec l’ambition de surpasser l’original. Après avoir été durement accueilli sur la scène mondiale par les chercheurs en sécurité, DeepSeek a subi des cyberattaques à grande échelle, des incidents qui ont révélé les faiblesses de son infrastructure de sécurité, et cela n’a rien de surprenant. 

Bases de données exposées et failles de sécurité

Les professionnels de la sécurité ont rapidement découvert des bases de données non protégées, une négligence qui laissait les données des utilisateurs vulnérables et au grand jour. 

Les chercheurs en sécurité de Wiz ont découvert que DeepSeek avait mal configuré une base de données critique sans aucune mesure d’authentification, qu’elle était accessible à Internet via les ports ouverts 8123 et 9000 qui pouvaient être interrogés à l’aide de simples commandes SQL, exposant ainsi la base de données qui contenait plus d’un million d’enregistrements, dont.. :  

  • Historique des chats au grand jour  
  • Des Clés API  
  • Des détails de l’infrastructure du Backend 

Cela revient à laisser la porte d’entrée d’une entreprise ouverte, exposant des informations exclusives et des données sensibles, conduisant à d’autres activités malveillantes, vulnérables aux abus. 

Inquiétudes liées à la vie privée et zones d’ombre réglementaires

Deepseek présente quelques failles dans la protection de la confidentialité, la plus importante étant sa non-conformité avec le GDPR de l’UE, qui, sans surprise, n’est même pas mentionnée. La politique de confidentialité de l’entreprise révèle ouvertement une vaste collecte de données, y compris l’historique des conversations (pour être honnête, tous les grands modèles linguistiques le font), les informations sur les appareils, les modèles de frappe, le tout stocké sur des serveurs en Chine. 

Nous reviendrons plus en détail sur les problèmes de confidentialité ci-dessous. 

Ce que révèle la politique de confidentialité de DeepSeek : Une plongée en profondeur 

La protection de la confidentialité occupe une place prépondérante et la politique de confidentialité de DeepSeek sert de schéma directeur pour ses pratiques de traitement des données. 

Tout comme l’on dissèque les éléments d’une cyberattaque complexe pour atténuer les risques futurs, l’examen minutieux de cette politique dévoile l’étendue de la collecte de données : Adresses IP, journaux de conversation, informations sur les appareils et suivi des frappes. 

La collecte de ces informations peut avoir pour but d’améliorer les résultats de l’apprentissage automatique ou d’autres améliorations commerciales, mais comme dans la plupart des cas, l’intention n’est pas connue.

La biométrie : une couche cachée d’identification

Parlons maintenant de la biométrie, le James Bond de l’authentification des utilisateurs, mais il ne s’agit pas de vos empreintes digitales, il y a un rebondissement dans ce thriller technologique. 

Si la frappe au clavier ne semble pas aussi visible que les empreintes digitales, détrompez-vous ! Imaginez que votre façon de taper, la durée, la vitesse et le rythme de vos frappes puissent servir d’empreinte digitale et de forme d’identification, faisant de l’anonymat une simple illusion de frappe. 

La fin de l’anonymat véritable ?

En théorie, la biométrie est utilisée pour améliorer et personnaliser l’expérience de l’utilisateur, mais en réalité, ce type de collecte extensive de données, qui exploite la biométrie, pourrait-on dire techniquement, fait de l’anonymat d’un VPN personnel une relique du passé. DeepSeek ou quiconque met la main sur ces données, et cela finira par arriver, peut vous identifier grâce à vos habitudes. 

Et n’oubliez jamais que si un service ne vend pas de produit, il y a de fortes chances que ce soit vous le produit. 

DeepSeek est-il sûr ?

La réponse est oui, si vous ne vous souciez pas de votre confidentialité. C’est aussi simple que cela. La dure réalité est que la plupart des gens ne se soucient pas de leur confidentialité tant que l’IA fait son travail. 

Mais que se passe-t-il si vous mettez en danger votre entreprise ou votre famille en exposant des informations sensibles qui pourraient un jour être utilisées contre vous ou contre eux ? La protection de la confidentialité n’est pas seulement un choix personnel, c’est une responsabilité collective. Pour les entreprises, ce manque de gouvernance des données est plus pertinent, et à moins que vous n’ayez un cas d’utilisation très spécifique où ce manque de contrôle de la confidentialité n’est pas important, l’utilisation de la version en ligne de DeepSeek n’est vraiment pas recommandée. 

Une alternative : exécuter DeepSeek en local

Il existe cependant une autre option, contrairement à d’autres LLM d’IA générative, DeepSeek est open source(code source ouvert), et vous pouvez le télécharger et l’exécuter dans votre propre infrastructure. Dans ce scénario, vous avez le contrôle total de l’endroit où vos données sont stockées.  

J’ai posé des questions à DeepSeek concernant sa politique de confidentialité, et il n’est pas de son ressort de discuter des difficultés auxquelles il est confronté en ce qui concerne le GDPR.

Toutefois, à des fins de « recherche », j’ai modifié ma requête et collé la politique de confidentialité de DeepSeek disponible en ligne et j’ai obtenu une réponse différente. 

La réponse est particulièrement floue, mais il manque une chose : la transparence. Je vous laisse décider et en tirer vos propres conclusions. 

Réponse globale : Interdictions et enquêtes – un appel à la prudence 

Le voyage de DeepSeek dans le labyrinthe de la loi européenne sur l’IA s’annonce comme une véritable montagne russe ! Voici un aperçu de la manière dont ce petit génie chinois de l’IA pourrait s’emmêler dans les méandres de la réglementation de l’UE : 

Le dilemme de la conformité 

Le modèle R1 de DeepSeek fait froncer les sourcils plus vite qu’une IA ne peut générer des mèmes de chats. Sa politique de confidentialité est à peu près aussi conforme au GDPR qu’un biscuit chinois, avec des données stockées en Chine et aucune mention des règles de l’UE.

Braquage à l’à l’italienne

L’autorité italienne de protection des données, Garante, ne s’est pas contentée de froncer les sourcils, elle a lancé le marteau d’interdiction, bloquant DeepSeek plus vite qu’on ne peut dire « mamma mia ». D’autres pays de l’UE ont désormais les yeux rivés sur DeepSeek et envisagent de l’interdire à leur tour. 

Open Source ou Sésame ouvre-toi ? 

DeepSeek pourrait essayer de se faufiler à travers la faille de la loi sur l’IA de l’UE, mais il semble aussi ouvert qu’une société secrète. Comme nous l’avons dit, il faut être conscient de la différence entre l’accès à un modèle à l’aide d’une API, où tous les risques que nous avons mentionnés s’appliquent, et l’exécution d’un modèle sur votre propre infrastructure. 

Azure AI de Microsoft, par exemple, propose DeepSeek comme l’un des nombreux modèles open-source que vous pouvez choisir, qui ne partage aucune donnée avec l’entreprise chinoise à l’origine du modèle.  

Le tango de la loi sur l’IA 

Cependant, il y a encore de l’espoir, en nous défendant contre des LLM comme DeepSeek. La danse de DeepSeek avec la loi européenne sur l’IA est plus compliquée qu’un jeu d’échecs à cinq dimensions. L’UE fait passer les problèmes de confidentialité et d’utilisation de l’IA à un niveau supérieur, en interdisant les pratiques que DeepSeek viole religieusement : 

  • Manipulation et tromperie nuisibles basées sur l’IA 
  • Exploitation malveillante de vulnérabilités par des systèmes d’IA 
  • Systèmes de notation sociale 
  • Évaluation ou prédiction du risque d’infraction pénale individuelle 
  • Collecte massive non ciblée de données sur Internet ou via la vidéosurveillance (CCTV) pour créer ou enrichir des bases de données de reconnaissance faciale 
  • Reconnaissance des émotions dans les lieux de travail et les établissements d’enseignement 
  • Catégorisation biométrique visant à déduire certaines caractéristiques protégées 
  • Identification biométrique à distance en temps réel à des fins de maintien de l’ordre dans des espaces accessibles au public 

Protégez-vous des cybermenaces alimentées par l’IA grâce au service de sensibilisation à la sécurité 

Les risques de DeepSeek en matière de sécurité et de protection de la confidentialité soulignent les dangers croissants des cyber-menaces basées sur l’IA. Les cybercriminels évoluent dans leurs tactiques, ce qui rend la sensibilisation à la sécurité plus cruciale que jamais. 

Avec le service de sensibilisation à la sécurité de Hornetsecurity, vous pouvez doter vos employés des connaissances nécessaires pour reconnaître et se défendre contre le phishing, l’ingénierie sociale et les cybermenaces alimentées par l’IA. 

Security Awareness Service icon

Gardez une longueur d’avance sur les cyber-risques – planifiez une demo aujourd’hui et renforcez la posture de sécurité de votre organisation ! 


Conclusion : Devriez-vous utiliser DeepSeek ? Le pour et le contre 

Le nouveau venu a gagné en popularité dans le cybermonde underground, grâce à sa fonctionnalité Jailbreak. Deepseek a échoué à plus de la moitié des tests de Jailbreak effectués par Qualys, révélant des vulnérabilités dans sa modération de contenu. 

Le Jailbreak permet aux utilisateurs de contourner les politiques de modération du contenu d’un modèle d’IA, ce qui l’incite à générer des résultats nocifs, inexacts ou involontaires. 

Dans certains cas, DeepSeek-R1 a produit des réponses biaisées ou politiquement sensibles, et même des conseils sur des activités illégales.

La grande leçon à retenir

Les problèmes de sécurité et de protection de la confidentialité de DeepSeek nous rappellent l’équilibre délicat entre l’intelligence artificielle et la protection de la confidentialité des utilisateurs. Comme pour tout outil puissant, il est nécessaire de fixer une limite et de comprendre les inconvénients potentiels avant de se lancer. 

DeepSeek devrait servir d’exemple pour montrer que les risques liés à la collecte de données doivent être clairement définis avant de prendre des mesures proactives. À l’instar de la mise en œuvre de « listes d’autorisation » pour s’assurer que les courriels de confiance contournent les filtres anti-spam, les utilisateurs devraient avoir la possibilité d’explorer des modèles d’IA qui donnent la priorité à la sécurité des utilisateurs, à la protection de la confidentialité et à la protection des données.  

Foire aux questions (FAQ) 

Principales préoccupations en matière de confidentialité avec DeepSeek

DeepSeek soulève d’importantes préoccupations liées à la confidentialité en raison de ses pratiques étendues de collecte de données, incluant les journaux de conversation et les frappes clavier, stockés sur des serveurs en Chine. Cela a entraîné de sérieuses inquiétudes quant à la conformité au RGPD pour les utilisateurs et organisations en Europe et ailleurs.

Vulnérabilités rencontrées par DeepSeek

La plateforme a subi de grandes cyberattaques qui ont révélé d’importantes failles dans son infrastructure de sécurité. Des chercheurs ont notamment découvert des bases de données mal configurées accessibles via des commandes SQL, exposant ainsi des informations sensibles à des accès non autorisés.

Points clés à considérer pour les utilisateurs

Avant d’utiliser DeepSeek, les utilisateurs doivent soigneusement mettre en balance ses capacités puissantes avec les risques pour la confidentialité et le bien-être numérique. Il est également essentiel de reconnaître la responsabilité collective en matière de protection des données et d’évaluer si DeepSeek est conforme aux exigences réglementaires et de sécurité de l’organisation.

Vous pourriez aussi être intéressé par