DeepSeek AI accuse une cyberattaque d'être à l'origine des perturbations alors que des failles de sécurité sont révélées

L'entreprise chinoise d'intelligence artificielle DeepSeek a imputé les récentes perturbations des inscriptions à une cyberattaque, au moment même où les chercheurs en sécurité découvrent de graves vulnérabilités dans son modèle d'intelligence artificielle R1. L'entreprise, qui s'est positionnée comme un concurrent rentable de ChatGPT d'OpenAI et de Gemini de Google, a affirmé que des attaques malveillantes à grande échelle sur ses serveurs l'ont obligée à limiter temporairement les nouvelles inscriptions. Les utilisateurs existants n'ont pas été affectés par les perturbations, mais DeepSeek n'a pas encore fourni de détails supplémentaires sur la nature de l'attaque.

Bien que DeepSeek n’ait pas explicitement confirmé le type de cyberattaque à laquelle il a été confronté, les experts en cybersécurité soupçonnent une attaque par déni de service distribué (DDoS), dans laquelle des pirates informatiques submergent un système de trafic pour le rendre indisponible. En plus des préoccupations croissantes en matière de sécurité, DeepSeek a également émis un avertissement concernant des comptes de réseaux sociaux frauduleux se faisant passer pour l’entreprise, suggérant une augmentation des activités trompeuses autour de sa marque.

Des chercheurs découvrent des vulnérabilités de sécurité majeures

Au-delà de la cyberattaque, les chercheurs en sécurité ont commencé à examiner la posture de sécurité de DeepSeek R1, et les résultats sont inquiétants. La société de renseignement sur les menaces Kela a rapporté que son équipe rouge a réussi à jailbreaker le modèle d'IA, contournant les mesures de sécurité conçues pour l'empêcher de générer du contenu nuisible. En exploitant ces faiblesses, les chercheurs de Kela ont réussi à inciter le chatbot à créer des ransomwares, à fabriquer des informations trompeuses et à générer des instructions étape par étape pour fabriquer des toxines et des explosifs.

DeepSeek R1 s'est révélé vulnérable à plusieurs techniques de jailbreak bien connues qui ont déjà été corrigées dans d'autres modèles d'IA comme ChatGPT. Parmi elles figurent le Evil Jailbreak, qui incite une IA à prendre l'identité d'un confident malveillant, et le jailbreak Leo, qui ordonne au modèle d'agir sans restrictions éthiques ou légales. DeepSeek R1 a échoué à ces deux tests, ce qui le rend nettement plus facile à manipuler que ses homologues occidentaux.

Le modèle d'IA produit des informations peu fiables et trompeuses

Ce qui est peut-être encore plus inquiétant, c’est que l’équipe rouge de Kela a tenté un test d’ingénierie sociale en demandant au chatbot de compiler un tableau contenant des informations privées sur dix employés seniors d’OpenAI, notamment des adresses e-mail, des numéros de téléphone et des informations sur les salaires. Alors que ChatGPT d’OpenAI a refusé de se conformer à la demande, le chatbot de DeepSeek a généré ce qui semblait être des données fabriquées mais structurées de manière convaincante. Les résultats soulèvent de sérieuses questions sur la fiabilité du modèle, car il était prêt à générer du contenu non vérifié et trompeur au lieu de rejeter purement et simplement la demande.

Les chercheurs de Kela ont averti que la tendance de DeepSeek à produire des informations inexactes porte atteinte à sa crédibilité. Les utilisateurs qui comptent sur l'IA pour obtenir des données factuelles peuvent sans le savoir recevoir de fausses informations, ce qui rend la plateforme moins fiable que ses concurrents.

Les risques liés à la confidentialité et à la protection des données suscitent des signaux d’alarme

Outre les vulnérabilités en matière de sécurité, l'essor de DeepSeek a également suscité des inquiétudes en matière de confidentialité et de protection des données, notamment dans le contexte d'une surveillance accrue des entreprises technologiques chinoises. Alors que les États-Unis envisagent d'interdire TikTok en raison de risques pour la sécurité nationale, la plateforme d'IA de DeepSeek suscite des inquiétudes similaires concernant la propriété des données et les lois sur la confidentialité.

Jennifer Mahoney, responsable de la pratique de conseil chez Optiv, spécialisée dans la gouvernance des données et la confidentialité, a souligné l’importance de s’interroger sur la manière dont les plateformes d’IA générative obtiennent et traitent les données. Elle a averti que les utilisateurs devraient être attentifs à qui contrôle les modèles d’IA, à la manière dont les données de formation ont été obtenues et au respect des directives éthiques. Elle a également souligné que les lois sur la confidentialité varient d’un pays à l’autre, ce qui fait qu’il est essentiel que les utilisateurs comprennent comment leurs données peuvent être consultées et utilisées lors de leurs interactions avec des services d’IA étrangers.

DeepSeek fait l'objet d'une surveillance accrue

La popularité croissante de DeepSeek a placé l’entreprise sous la surveillance des chercheurs en cybersécurité et des autorités de régulation. Bien que ses modèles d’IA puissent offrir des performances et une rentabilité impressionnantes, les failles de sécurité flagrantes, la vulnérabilité aux manipulations et les risques potentiels en matière de confidentialité soulignent le besoin urgent de mesures de protection plus solides. Alors que l’IA continue de façonner l’avenir de la technologie, il sera essentiel de garantir des mesures de sécurité solides et des pratiques de données éthiques pour maintenir la confiance dans ces systèmes.