Les dangers cachés de DeepSeek : comment l'IA open-source impacte la sécurité

Le modèle de raisonnement DeepSeek-R1 récemment lancé a fait des vagues dans le domaine de l'IA, offrant des performances comparables à celles des modèles d'IA américains bien établis, mais à un coût considérablement plus bas. Cela a poussé de nombreux utilisateurs à se tourner vers l'outil d'IA DeepSeek, propulsant ainsi sa popularité sur les plateformes iOS et Android.

Cependant, à mesure que DeepSeek gagne en popularité, il fait face à une série de menaces de sécurité, notamment des escroqueries, des malwares et des problèmes de confidentialité. Examinons de plus près la popularité croissante de DeepSeek, les risques associés à son utilisation et comment il est mal utilisé par des cybercriminels.

La popularité rapide de DeepSeek et les préoccupations de sécurité

Malgré le fait que le modèle d'IA open-source de DeepSeek se soit révélé économique et puissant, l'entreprise a rencontré des problèmes de pannes et de dégradation des performances. Ces problèmes sont apparemment dus à des attaques malveillantes à grande échelle ciblant l'infrastructure de DeepSeek. En réponse, l'entreprise a été contrainte de limiter temporairement les nouvelles inscriptions.

Mais même face à ces défis, la popularité croissante de DeepSeek ne montre aucun signe de ralentissement. L'entreprise a attiré l'attention en raison de ses pratiques de stockage des données, qui, selon sa politique de confidentialité, impliquent le stockage de certaines données utilisateur sur des serveurs sécurisés en République Populaire de Chine. Bien que cela soulève des préoccupations concernant la confidentialité des données et la façon dont ces données pourraient être utilisées (par exemple pour améliorer l'entraînement de l'IA), cela n'a pas freiné la base d'utilisateurs du modèle.

Le côté sombre de DeepSeek : escroqueries, malwares et phishing

À mesure que DeepSeek gagne en popularité, les cybercriminels ont déjà commencé à exploiter son nom à des fins malveillantes. Des tokens crypto-factices, déguisés en produits officiels de DeepSeek, ont inondé le marché, trompant les utilisateurs et les incitant à investir dans des arnaques. DeepSeek a précisé qu'il n'a émis aucune cryptomonnaie et a exhorté les utilisateurs à rester prudents lorsqu'ils interagissent avec des comptes non officiels.

Similaire à l'ascension de ChatGPT, la popularité de DeepSeek a fait de lui une cible privilégiée pour les escrocs cherchant à exploiter l'enthousiasme des utilisateurs. Des sites Web clonés et des applications malveillantes (sur mobile et bureau) ont vu le jour, se faisant passer pour des services DeepSeek afin de distribuer des malwares et tromper les utilisateurs en leur faisant fournir des informations personnelles ou en s'inscrivant à des abonnements frauduleux. Des campagnes de phishing imitant DeepSeek circulent également, espérant voler les données sensibles des utilisateurs.

>>> APP00307 pour CAT S52

La vulnérabilité de DeepSeek à l'exploitation

Des chercheurs de l'entreprise de cybersécurité KELA ont révélé que DeepSeek est vulnérable au jailbreak, ce qui permet aux utilisateurs de contourner les restrictions et d'accéder à des contenus dangereux ou interdits de l'outil d'IA. Cela pourrait être exploité par des criminels pour générer divers contenus malveillants à des fins illégales, comme :

Emails de phishing rédigés dans plusieurs langues sans erreurs, répliquant le ton et le style des expéditeurs légitimes.
Sites Web frauduleux, imitant des marques de confiance ou même lançant de fausses boutiques en ligne.
Avis produits générés par l'IA conçus pour infiltrer les plateformes légitimes de commerce en ligne.

À mesure que la popularité de DeepSeek augmente, on peut s'attendre à ce que son utilisation se prolifère dans des campagnes de compromission des emails professionnels (BEC) et des fraudes financières, car des outils d'IA comme DeepSeek peuvent facilement automatiser la création de matériaux de scam convaincants.

Les risques pour la confidentialité des données et la sécurité

Comme pour d'autres outils alimentés par l'IA, DeepSeek présente des risques inhérents pour la sécurité des données. La manière dont DeepSeek fonctionne signifie que des informations sensibles, propriétaires ou confidentielles peuvent potentiellement être saisies dans le système. Cela représente une menace sérieuse pour les organisations et les individus.

Un exemple notable de prudence accrue est la décision de la Marine américaine, qui a officiellement interdit DeepSeek pour tout usage professionnel ou personnel au sein de ses rangs. Cette interdiction fait suite au danger évident que DeepSeek représente pour la sécurité des données et la confidentialité, et reflète les préoccupations concernant le risque de fuite d'informations sensibles.

>>> 26S1028 pour Amazon Kindle HD Fire

Comment atténuer les risques liés à l'utilisation de DeepSeek

Étant donné les menaces entourant l'utilisation de DeepSeek, les organisations doivent adopter une approche proactive pour sensibiliser les employés aux risques liés à l'interaction avec des modèles d'IA comme DeepSeek, notamment lorsqu'il s'agit de traiter des données sensibles. Voici quelques pratiques clés qui peuvent aider à atténuer ces risques :

Éducation des utilisateurs : Les organisations doivent fournir une formation approfondie pour s'assurer que les utilisateurs comprennent les risques liés à la saisie de données sensibles dans des outils d'IA. Cette éducation devrait couvrir les dangers potentiels du phishing, des malwares et du vol de données.
Contrôle de l'accès : Renforcer l'accès à DeepSeek par des politiques de pare-feu, ou bloquer l'accès à l'application sur les réseaux d'entreprise, peut aider à minimiser l'exposition au modèle.
Installation locale de DeepSeek : Pour ceux qui souhaitent utiliser DeepSeek sans compromettre la sécurité des données, une option consiste à installer le modèle localement sur un ordinateur personnel ou professionnel. Cela peut empêcher les données sensibles d'être téléchargées sur les serveurs de DeepSeek et réduire l'exposition à d'éventuelles violations.