Problèmes de sécurité chez DeepSeek
DeepSeek, une start-up chinoise, a révolutionné le monde de l’IA avec le lancement de son dernier modèle open-source, qui est à la fois puissant et peu coûteux à entraîner. Cependant, les développeurs de cette entreprise ne sont pas infaillibles.
Des chercheurs de Wiz, une entreprise spécialisée dans la sécurité cloud, ont exploré les bases de données derrière ce modèle innovant. En très peu de temps, ils ont constaté qu’ils pouvaient accéder à une quantité impressionnante de données internes totalement non sécurisées.
Une vulnérabilité alarmante
Les chercheurs ont découvert une base de données contenant une énorme quantité d’historique de discussions, de données en arrière-plan et d’informations sensibles. Parmi ces données figuraient des flux de logs, des secrets API et des détails opérationnels. Cette situation inquiétante a mis en lumière un accès ouvert qui aurait pu permettre à des tiers de compromettre les systèmes de DeepSeek sans aucune protection de sécurité.
Wiz a rapidement informé l’entreprise de cette vulnérabilité, ce qui a poussé DeepSeek à agir pour protéger ses bases de données. Toutefois, dans leurs conversations avec le média Wired, les chercheurs de Wiz ont révélé que contacter DeepSeek s’était avéré être un défi. Leur équipe a été obligée d’envoyer des messages via LinkedIn et des courriels à divers comptes associés à l’entreprise.
Surpris par l’absence de réponse, les chercheurs ont constaté que la base de données était sécurisée dans l’heure qui a suivi, ce qui laisse entendre que des erreurs peuvent survenir, même sans compétence évidente.
Une exposition préoccupante
Le problème de sécurité repéré par Wiz n’était pas anodin, comme l’a souligné Nir Ohfeld, responsable de la recherche en vulnérabilité chez Wiz. D’habitude, ce type d’exposition est le résultat d’un service négligé et prend des heures à identifier. Pourtant, dans le cas de DeepSeek, ces failles étaient juste « devant la porte ».
En fouillant dans les bases de données de DeepSeek, les chercheurs ont acquis un aperçu précieux sur le fonctionnement des modèles de l’entreprise, notant que l’infrastructure était presque identique à celle d’OpenAI. Bien que ces informations aient été récupérées par des hackers éthiques, ils ont exprimé leurs inquiétudes. Si des individus malveillants avaient eu un accès similaire avant eux, ils auraient pu obtenir une quantité significative de données internes en un rien de temps.
Ami Luttwak, le directeur technique de Wiz, a déclaré que bien que des erreurs soient inévitables, celle-ci est particulièrement significative. Il a mis en avant le faible niveau d’effort requis pour accéder à ces informations et a insisté sur le fait que DeepSeek n’est pas encore suffisamment mature pour gérer des données sensibles.
FAQ
Qu’est-ce que DeepSeek ?
DeepSeek est une start-up chinoise qui développe des modèles d’intelligence artificielle open-source, visant à transformer le paysage technologique grâce à des solutions accessibles et performantes.
Quels types de données ont été exposés ?
Les données découvertes incluaient des historiques de chats, des informations sur l’arrière-plan de l’entreprise, des secrets d’API et d’autres informations sensibles qui pourraient compromettre la sécurité de l’entreprise.
Quelles mesures DeepSeek a-t-elle prises après l’incident ?
Une fois alertée par Wiz, DeepSeek a rapidement sécurisé ses bases de données pour éviter d’autres fuites potentielles d’informations.
Comment se compare DeepSeek à OpenAI ?
Les chercheurs de Wiz ont noté que l’architecture de DeepSeek imite presque exactement celle d’OpenAI, ce qui soulève des questions sur sa sécurité et sa confidentialité.
Qui est Wiz ?
Wiz est une entreprise spécialisée dans la sécurité des environnements cloud, focalisée sur l’identification des vulnérabilités et la protection des données sensibles des entreprises.
