DeepSeek Envoie des Données Sensibles Utilisateur Non Protégées à ByteDance, la Maison Mère de TikTok

Il y a de plus en plus de préoccupations concernant la sécurité de l’application iOS DeepSeek, car elle pourrait transmettre des données utilisateur non protégées à ByteDance, la société mère de TikTok.

Selon la société de sécurité mobile basée aux États-Unis NowSecure, qui a réalisé une évaluation complète de la sécurité et de la confidentialité de l’application mobile iOS DeepSeek sur des appareils iOS réels, il a été constaté que l’application utilise une transmission de données non chiffrée, des clés de chiffrement faibles et codées en dur, un stockage de données non sécurisé, une collecte de données extensive et un fingerprinting, et envoie des données non chiffrées en Chine.

Le premier et principal problème souligné par NowSecure est que l’application iOS DeepSeek envoie des données d’enregistrement d’application mobile et de périphérique sur Internet sans chiffrement, la rendant vulnérable à l’interception et à la manipulation.

Par exemple, un attaquant réseau ayant un accès privilégié (communément connu sous le nom d’attaque de l’homme du milieu) pourrait intercepter et modifier les données, compromettant l’intégrité de l’application et la sécurité des données.

Bien qu’Apple ait des protections intégrées pour protéger les développeurs de l’introduction de cette faille, selon NowSecure, la protection a été désactivée globalement pour l’application iOS DeepSeek. **

“ Lorsque l’utilisateur lance pour la première fois l’application iOS DeepSeek, elle communique avec l’infrastructure backend de DeepSeek pour configurer l’application, enregistrer le périphérique et établir un mécanisme de profil de périphérique. Même lorsque le réseau est configuré pour attaquer activement l’application mobile (via une attaque MITM), l’application exécute toujours ces étapes, ce qui permet à la fois des attaques passives et actives contre les données,” a écrit la société dans un article de blog publié jeudi.

Les applications modernes utilisent le chiffrement des données pour protéger la confidentialité et l’intégrité, ce qui nécessite une mise en œuvre appropriée pour protéger les données des utilisateurs.

Cependant, l’application s’appuie sur un algorithme de chiffrement symétrique non sécurisé (3DES), réutilise des vecteurs d’initialisation et codifie en dur des clés de chiffrement, violant les meilleures pratiques de sécurité.

De plus, l’application iOS DeepSeek stocke de manière non sécurisée les noms d’utilisateur, les mots de passe et les clés de chiffrement, augmentant le risque de vol d’identifiants. L’application collecte également des données utilisateur et de périphérique qui peuvent être utilisées pour le suivi et la dé-anonymisation.

De plus, l’application utilise des dizaines de points de données, y compris l’ID d’organisation, la version du système d’exploitation du périphérique et la langue sélectionnée dans la configuration. NowSecure note que les données utilisateur sont envoyées à des serveurs par Volcengine, une plateforme de services cloud lancée par ByteDance en 2021.

Étant donné que ByteDance est soumis aux lois chinoises, il peut être contraint de partager les données qu’il collecte avec le gouvernement chinois, soulevant d’importantes préoccupations en matière de surveillance et de conformité pour les entreprises et les gouvernements utilisant l’application.

“L’application iOS DeepSeek désactive globalement la sécurité du transport d’application (ATS), qui est une protection au niveau de la plateforme iOS empêchant l’envoi de données sensibles par des canaux non chiffrés. Puisque cette protection est désactivée, l’application peut (et le fait) envoyer des données non chiffrées sur Internet,” a ajouté NowSecure.

NowSecure suggère aux utilisateurs de supprimer rapidement DeepSeek de leurs iPhones pour protéger leur sécurité et leur vie privée.

Elle recommande également aux entreprises et aux agences de supprimer immédiatement l’application mobile iOS DeepSeek de leurs environnements gérés et BYOD, de considérer des plateformes d’IA (intelligence artificielle) alternatives qui priorisent la sécurité mobile et la protection des données, et de surveiller en continu les applications mobiles pour détecter les risques émergents.