DeepSeek fait parler de lui depuis plusieurs jours pour ses modèles d’IA performants et économiques, mais déjà, les premiers scandales pointent le bout de leur nez. Notamment en termes de cybersécurité, puisqu’une base de données a fuité.
DeepSeek a provoqué un séisme à Wall Street, faisant vaciller les géants technologiques. Depuis, les premiers scandales arrivent pour l’IA chinoise, dont se méfie même Donald Trump, qui a pris la parole à ce sujet. La société de cybersécurité Wiz, basée à New York, a fait une découverte inquiétante.
À lire : Notre explication complète de ce qu’il faut savoir sur DeepSeek
DeepSeek au cœur d’un scandale après avoir laissé une base de données vulnérable
Les chercheurs en cybersécurité de Wiz ont identifié une base de données ClickHouse qui était totalement exposée et accessible sans authentification via les adresses oauth2callback.deepseek.com:9000 et dev.deepseek.com:9000. Les données contenaient des éléments très sensibles, notamment l’historique des conversations privées ! Mais aussi les flux de logs, des secrets d’API et des détails opérationnels.
La situation est d’autant plus grave que cette faille permettait le possible contrôle total de la base de données et une élévation des privilèges sans aucune sécurité. Depuis l’interface HTTP de ClickHouse, les chercheurs en cybersécurité ont pu accéder à un point d’entrée “/play” et exécuter des requêtes SQL arbitraires depuis leur navigateur.
La simple requête “SHOW TABLES” montrait un ensemble de jeux de données accessibles. La table “log_stream” contenait à elle seule plus d’un million d’entrées de logs avec les horodatages, les références aux points d’entrée API, les conversations privées des utilisateurs en clair, les clés API, les détails backend et les métadonnées opérationnelles.
Wiz précise que la configuration de ClickHouse aurait même pu permettre à un pirate de récupérer les mots de passe des utilisateurs, le tout en clair, mais aussi les fichiers locaux et les données propriétaires via des commandes SQL. Bref, la situation ne risque pas d’améliorer l’image de DeepSeek, qui est dans le viseur de l’Italie pour son traitement des données.
Gal Nagli, chercheur en sécurité cloud chez Wiz, explique que l’adoption rapide de l’IA sans sécurité est très risquée. L’expert souligne qu’il faut se concentrer sur les risques connus plutôt que sur les menaces hypothétiques.
Depuis, DeepSeek a corrigé la faille après en avoir été informé. L’entreprise n’a pas répondu aux commentaires. La politique de confidentialité de la société précise que les données des utilisateurs sont stockées sur des serveurs en Chine.
Source : Wiz
Réagissez à cet article !