Un simple chatbot IA peut-il mettre en danger vos données personnelles ? DeepSeek, l’une des IA les plus prometteuses du moment, vient de commettre une erreur monumentale ! Une de ses bases de données est restée exposée en ligne, laissant accessibles des millions de conversations, des secrets d’API et des informations internes critiques.
DeepSeek, une start-up chinoise spécialisée dans l’IA, connaît un succès fulgurant grâce à son modèle open source très performant. Mais derrière cette ascension, un problème majeur vient d’éclater. Ainsi, une gigantesque brèche de sécurité a permis l’accès à plus d’un million de lignes de journal, contenant des historiques de conversation, des clés API secrètes et des informations critiques sur l’architecture du système.
Selon les experts en cybersécurité, cette faille dans la base de données ClickHouse offrait un contrôle total aux attaquants, sans nécessiter la moindre authentification. Un simple navigateur suffisait pour exécuter des requêtes SQL et naviguer librement dans l’univers DeepSeek.
Une fuite qui fait froid dans le dos
DeepSeek, la start-up chinoise qui faisait tant parler d’elle ces derniers jours, vient de se prendre un mur… et pas des moindres ! Une faille monumentale a laissé une de leurs bases de données exposée en ligne.
Ainsi, des millions de conversations d’utilisateurs, des secrets d’API et même des détails internes très sensibles sont rendus accessibles. Si vous utilisez DeepSeek, je pense qu’il est peut-être temps de faire marche arrière.
Nous parlons donc ici d’une base de données ClickHouse qui aurait été totalement ouvert sans authentification. Selon Gal Nagli, chercheur en cybersécurité chez Wiz, cette faille permettait un contrôle total sur la base de données, y compris l’accès aux historiques de conversation et aux clés secrètes.
Les serveurs concernés, hébergés sur oauth2callback.deepseek[.]com:9000 et dev.deepseek[.]com:9000, permettaient d’exécuter des requêtes SQL directement depuis un simple navigateur web. En clair, c’était une porte ouverte à n’importe qui. Et le pire, c’est que nous ne savons même pas si des acteurs malveillants en ont déjà profité.
Critical vulnerabilities doesn’t have to be complex or have a CVE – @deepseek_ai publicly exposed their internal ClickHouse database to the world, without any authentication at all, and leaked sensitive data.
No one is safe from security mistakes, follow along to learn more 🧵 pic.twitter.com/pCsB7x2kwC
— Nagli (@galnagli) January 29, 2025
DeepSeek tente d’éteindre l’incendie
Après la découverte de cette fuite, Wiz a tenté d’alerter DeepSeek, qui a finalement colmaté la brèche. Mais le mal est peut-être déjà fait. Cette négligence met en lumière un problème récurrent dans le développement rapide des IA. La sécurité passe souvent au second plan.
Comme le souligne Gal Nagli, « l’adoption rapide de services d’IA sans sécurité correspondante est intrinsèquement risquée ». Et franchement, je trouve qu’il a raison. Pendant que tout le monde s’inquiète des dangers futurs de l’IA, des entreprises comme DeepSeek laissent des bases de données critiques ouvertes à tous les vents.
Nous avons tous vu combien DeepSeek a explosé en popularité grâce à son modèle open source qui prétend rivaliser avec OpenAI. Tout en étant plus efficace et rentable. Certains l’ont même qualifié de « moment Spoutnik de l’IA ». Mais ce succès éclair a attiré l’attention des régulateurs et des grandes entreprises tech.
Par exemple, l’Italie a bloqué DeepSeek après des inquiétudes sur la gestion des données personnelles. L’Irlande enquête aussi. OpenAI et Microsoft soupçonnent aussi DeepSeek d’avoir utilisé illégalement l’API d’OpenAI pour entraîner ses propres modèles.
Qui plus est, les liens de DeepSeek avec la Chine suscitent des craintes aux États-Unis. Et comme si ça ne suffisait pas, DeepSeek a dû suspendre temporairement les inscriptions après des attaques malveillantes massives.
Faut-il fuir DeepSeek ?
Après tout ça, et surtout la fuite, il devient difficile de recommander DeepSeek. Entre la faille de sécurité monumentale, les accusations de vol de données et les enquêtes des régulateurs, ce service ressemble de plus en plus à une bombe à retardement.
Si vous tenez à votre confidentialité, je vous conseille donc d’éviter DeepSeek pour l’instant. Et si vous l’avez déjà utilisé, il serait peut-être judicieux de changer vos mots de passe et d’éviter d’y partager des informations sensibles.
Alors, que pensez-vous de cette fuite chez DeepSeek ? Êtes-vous prêts à renoncer à cette IA, ou estimez-vous que c’est un simple faux pas ? Partagez vos réflexions en commentaire !
- Partager l’article :
Notre blog est alimenté par les lecteurs. Lorsque vous achetez via des liens sur notre site, nous pouvons percevoir une commission d’affiliation.
Plus de détails sur l’article original.