L'app DeepSeek envoie des données en clair sur les serveurs de TikTok en Chine

L'application d'intelligence artificielle DeepSeek, qui a récemment détrôné ChatGPT en tête des téléchargements sur l'App Store, se trouve aujourd'hui au cœur d'une polémique concernant la sécurité des données de ses utilisateurs. Une analyse approfondie révèle plusieurs problèmes majeurs qui soulèvent des inquiétudes légitimes quant à la protection de la vie privée.

Des failles de sécurité préoccupantes

L'entreprise de sécurité mobile NowSecure a mis en lumière plusieurs défaillances critiques dans l'application iOS de DeepSeek. La plus grave concerne la désactivation globale du système App Transport Security (ATS) d'Apple, un garde-fou par défaut dans les applications censé garantir le chiffrement des données sensibles lors de leur transmission par le protocole HTTPS. En conséquence, certaines informations sont envoyées en clair, sans aucune protection, via un simple HTTP.

L'application utilise également un algorithme de chiffrement déprécié (3DES) qui a été prouvé vulnérable depuis 2016. Plus inquiétant encore, les clés de chiffrement sont codées en dur dans l'application et sont identiques pour tous les utilisateurs iOS, ce qui représente une grave faille de sécurité selon les experts.

Des liens troublants avec ByteDance

Les données collectées par DeepSeek transitent par des serveurs contrôlés par ByteDance, la maison-mère de TikTok. Bien que certaines informations soient correctement chiffrées pendant le transport, elles sont déchiffrées une fois arrivées sur ces serveurs chinois. La politique de confidentialité de DeepSeek indique clairement que les données sont stockées en République Populaire de Chine.

Cette situation est particulièrement préoccupante car selon la législation chinoise, les entreprises sont tenues de partager leurs données avec le gouvernement si celui-ci en fait la demande. Face à ces révélations, des législateurs américains ont commencé à faire pression pour une interdiction immédiate de DeepSeek sur les appareils gouvernementaux, citant des préoccupations de sécurité nationale.

Suites et recommandations

Les experts en sécurité, dont Thomas Reed de Huntress, recommandent vivement aux utilisateurs de ne pas partager d'informations sensibles via cette application. NowSecure conseille même aux organisations de supprimer complètement DeepSeek de leur environnement, que ce soit sur les appareils professionnels ou personnels.

Pour les utilisateurs d'iPhone habitués à la sécurité renforcée de l'écosystème Apple, ces révélations sont particulièrement décevantes. Elles soulignent l'importance de la vigilance même lors du téléchargement d'applications populaires sur l'App Store. Apple n'a pas encore réagi officiellement à cette situation, mais des questions se posent sur le processus de validation qui a permis à une application présentant de telles failles d'être distribuée sur sa plateforme.

La version Android de l'application serait encore moins sécurisée que sa contrepartie iOS, selon NowSecure, qui poursuit son audit et promet de nouvelles révélations dans les prochains jours.