L’application DeepSeek, toujours l’une des plus populaires de l’App Store après avoir dominé les classements lors de son lancement, présente plusieurs failles de sécurité.
DeepSeek iOS a récemment été exposée à des failles de sécurité majeures qui soulèvent des préoccupations importantes pour les utilisateurs de l’application sur iPhone.
En effet, ces vulnérabilités, identifiées par des experts en sécurité, pourraient permettre à des pirates informatiques d’accéder à des données sensibles et de révéler l’identité des utilisateurs.
Les dernières découvertes sont plus graves que les précédents échecs de sécurité qui avaient exposé l’historique des discussions et d’autres informations sensibles dans une base de données accessible sans authentification.
Précédentes préoccupations concernant DeepSeek
Avant même que l’application ne fasse les gros titres, DeepSeek est apparue de nulle part et est rapidement devenue l’application iPhone la plus téléchargée.
Les chercheurs en IA ont été surpris par les performances d’une application capable de fonctionner avec bien moins de ressources que d’autres chatbots similaires, ce qui a fait chuter le cours de certaines entreprises d’IA américaines.
Mais il n’a pas fallu longtemps avant que des inquiétudes sur la sécurité et la vie privée émergent. Les autorités irlandaises et l’autorité italienne de protection de la vie privée ont interrogé sur la conformité de l’application avec les lois européennes, tandis qu’aux États-Unis, des responsables examinent ses potentielles implications pour la sécurité nationale.
Ces inquiétudes ont été aggravées lorsqu’il a été révélé que DeepSeek avait accidentellement laissé une base de données non sécurisée. Celle-ci contenait plus d’un million d’enregistrements, incluant l’historique des discussions et des clés secrètes.
DeepSeek iOS : Les failles de sécurité actuelles
Les experts de sécurité chez NowSecure ont découvert l’absence d’utilisation du système ATS (App Transport Security) d’Apple dans l’application DeepSeek pour iPhone.
Il s’agit d’un système de sécurité conçu pour garantir que les données personnelles sensibles ne soient transmises que via des canaux chiffrés.
Le fait que DeepSeek désactive globalement l’ATS permet à l’application d’envoyer des données non chiffrées sur Internet. Bien que les données exposées puissent sembler anodines, elles peuvent facilement être combinées pour désanonymiser les utilisateurs.
Par ailleurs, l’application utilise une méthode de chiffrement obsolète, connue pour être défaillante. L’algorithme de chiffrement choisi (3DES) est un mauvais choix pour protéger la confidentialité des données. Les données collectées pourraient ensuite être utilisées pour identifier des cibles potentielles d’espionnage.
Source : [9to5mac.com]