L’application DeepSeek, qui a dominé les classements de l’App Store depuis la semaine passée, est de nouveau sous le feu des projecteurs. Après une première faille de sécurité ayant exposé l’historique des discussions et des données sensibles des utilisateurs, une nouvelle analyse révèle des vulnérabilités encore plus préoccupantes.
Des failles critiques mises en lumière
La société de cybersécurité NowSecure a découvert plusieurs failles majeures dans DeepSeek iOS, mettant en cause la gestion des communications et du chiffrement des données de l’application. Ces dernières devraient donner de l'eau au moulin du sénateur républicain Josh Hawley et de son projet de loi pour bannir l'application.
Parmi les points les plus alarmants, on note la désactivation d’App Transport Security (ATS). Il s'agit d'une protection iOS intégrée qui empêche l’envoi de données sensibles via des canaux non chiffrés. Or, DeepSeek a désactivé cette dernière, exposant ainsi les utilisateurs à des interceptions de données en clair.
L'application utilise également un chiffrement obsolète (eu égard aux frais de développement réduits ?). Lorsque l’application chiffre certaines données, elle utilise l’algorithme 3DES, connu pour ses faiblesses et considéré comme inadapté aux exigences de sécurité modernes.
Enfin, a été constaté un risque de désanonymisation. Les données collectées par l’application, bien qu’apparemment inoffensives lorsqu’elles sont recueillies individuellement, peuvent être croisées avec d’autres bases de données pour identifier et suivre les utilisateurs à grande échelle.
Des implications graves pour la confidentialité et la sécurité nationale
DeepSeek a suscité un intérêt immédiat grâce à ses performances impressionnantes et ses faibles exigences matérielles, surpassant plusieurs concurrents en matière d’intelligence artificielle. Forcément autant d'avantages et cette adoption massive a rapidement soulevé des préoccupations majeures en matière de confidentialité. L’Italie et l’Irlande ont déjà questionné la conformité de l’application avec le RGPD, tandis que les États-Unis examinent de possibles implications en matière de sécurité nationale.
NowSecure souligne que DeepSeek pourrait collecter des informations pouvant identifier des cibles sensibles, comme des employés du gouvernement ou du secteur de la défense. L’un des exemples cités montre qu’un utilisateur connecté via FirstNet, un réseau destiné aux services d’urgence aux États-Unis, pourrait être une cible de grande valeur pour des opérations d’espionnage.
DeepSeek iOS est-elle sûre à utiliser ?
D’après l’analyse de NowSecure, la réponse est non. L’application présente trop de vulnérabilités critiques qui exposent ses utilisateurs à des risques importants de surveillance, de vol de données et d’usurpation d’identité. Pire encore, la version Android de DeepSeek serait encore moins sécurisée.
