Entre failles de sécurité et données stockées en clair, la startup chinoise va devoir rapidement se conformer aux normes européennes en matière de confidentialité.
Nous voilà une semaine après que la jeune entreprise chinoise a provoqué un séisme dans le milieu de l’intelligence artificielle. Avec ses grands modèles de langage (LLM) ultraperformants et opérant à des coûts dérisoires par rapport à ChatGPT ou Gemini, DeepSeek s’est vite attiré l’attention du monde entier. Forcément, quand on cherche… on trouve. En l’occurrence, des failles de sécurité béantes et une gestion très imprudente des données personnelles auraient été mises au jour par des chercheurs. Explications.
Des millions de requêtes à la vue de tous
L’agence de cybersécurité new-yorkaise Wiz a publié ces derniers jours un billet de blog dans lequel elle affirme que DeepSeek aurait laissé par inadvertance en libre accès des données « sensibles ».
En scannant l’infrastructure réseau de la startup chinoise, Wiz s’est aperçu que « plusieurs millions de lignes de données étaient disponibles et non sécurisées ». Parmi, elles, des clés de logiciels, et même des journaux d’échanges avec le chatbot de DeepSeek, générés à la suite de prompts émis par des internautes dans le monde entier.
Soulignons cependant que, comme cela est souvent le cas dans ce genre de situations, la firme a d’abord prévenu les ingénieurs de DeepSeek avant la publication de son papier. À ce jour, la faille est désormais corrigée et les données ne sont plus accessibles. « Ils ont fait le nécessaire en moins d’une heure », applaudit Ami Luttwak, chief technology officer de Wiz, auprès de l’agence Reuters.
L’application déjà retirée des stores italiens
Mais cela ne veut pas dire que l’application, qui culmine en ce moment même au sommet du classement des applications les plus téléchargées sur iPhone et smartphone Android, est blanche comme neige.
En l’occurrence, l’agence italienne chargée de la protection des données (la GPDP, équivalente de la Cnil française), a émis cette semaine un communiqué évoquant un « risque élevé pour les données de millions de personnes en Italie ». En cause ? L’opacité entourant le type de données qui sont récoltées par DeepSeek et l’objet de leur collecte. Ce qui inquiète particulièrement l’autorité italienne, c’est notamment le fait que les données soient probablement stockées sur des serveurs chinois, qui sont donc soumis à l’autorité du Parti communiste chinois.
Après la publication de ce communiqué, DeepSeek a mystérieusement disparu des stores italiens. L’application continue de fonctionner sur les appareils l’ayant téléchargé au préalable, mais impossible pour de nouveaux internautes d’essayer le chatbot à la mode.
La Commission de protection des données (DPC) irlandaise s’est elle aussi saisie du dossier, et entend bien obtenir des réponses claires de la startup chinoise. À la Radio-Télévision d’Irlande, le sénateur Malcolm Byrne (membre de la majorité Fianna Fail) a par ailleurs dit son inquiétude au sujet de DeepSeek, rapporte Le Monde. « Si nos données sont hébergées en Irlande ou dans d’autres endroits dans l’Union européenne, il existe des filets de sécurité suffisants pour protéger la manière dont ces données sont exploitées. Si ces données sont stockées en Chine, ces protections n’existent pas. »
