L'utilisation de clés de chiffrement codées en dur dans les applications de Deepseek présente plusieurs risques importants pour la sécurité et la confidentialité des données des utilisateurs. Voici quelques-uns des risques potentiels associés à cette pratique:
1. Exposition et interception des données: les clés de chiffrement codées en dur peuvent être facilement extraites du code source de l'application, permettant aux parties non autorisées d'accéder et de déchiffrer des données sensibles. Ceci est particulièrement préoccupant pour Deepseek, car il collecte des données utilisateur et des appareils, y compris les modèles de frappe, qui sont transmis aux serveurs en Chine [1] [3] [4]. L'utilisation d'algorithmes de chiffrement obsolètes comme 3DES aggrave encore cette vulnérabilité, car ces algorithmes sont connus pour être insécurisés [1] [3] [9].
2. Manque de rotation des clés: une fois que les touches codées en dur sont exposées, elles ne peuvent pas être facilement modifiées. Cela signifie que même si la vulnérabilité est découverte, les clés restent compromises jusqu'à ce que l'application soit mise à jour, ce qui peut prendre du temps. Cette incapacité à faire tourner les touches augmente rapidement la fenêtre de vulnérabilité pour les violations de données [2] [8].
3. Risques d'injection et de base de données SQL: les applications de Deepseek sont également confrontées à des risques d'injection SQL, ce qui peut permettre aux attaquants de manipuler les requêtes de base de données. Lorsqu'il est combiné avec des clés de chiffrement codées en dur, cela pourrait permettre aux attaquants d'accéder et de décrypter les enregistrements d'utilisateurs sensibles stockés dans la base de données [1] [4] [7].
4. Préoccupations de la sécurité nationale et de la souveraineté des données: La transmission des données des utilisateurs aux serveurs liés aux entités d'État chinoises soulève des préoccupations concernant la souveraineté des données et la sécurité nationale. L'implication de Bytedance, la société mère de Tiktok, complique encore ces problèmes dus aux pratiques de gouvernance des données de la Chine, qui peuvent inclure une surveillance sans mandat [1] [3] [7].
5. Stockage de données insécurité: les pratiques de stockage insénuées de Deepseek, y compris le stockage sans sécurité des noms d'utilisateur, des mots de passe et des clés de cryptage, augmentent le risque de vol d'identification. Cela peut entraîner un accès non autorisé aux comptes d'utilisateurs et compromettre davantage les informations sensibles [3] [10].
6. Profil comportemental: la collecte de la dynamique de la touche et d'autres données de comportement des utilisateurs peut être utilisée pour créer des profils détaillés d'utilisateurs. Cela soulève des problèmes de confidentialité, en particulier lorsque ces données sont transmises aux entités qui peuvent les utiliser à des fins de suivi ou de surveillance [1] [4].
En résumé, l'utilisation de clés de cryptage codées en dur dans les applications de Deepseek augmente considérablement le risque de violations de données, d'accès non autorisé et de violations de la confidentialité. Ces risques sont aggravés par les vastes pratiques de collecte de données de l'application et ses liens avec des entités avec des implications potentielles sur la sécurité nationale.
Citations:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-epseeks-android-app-inssights-from-experts/
[2] https://www.ubiqsecurity.com/exploration-cwe-321-use-of-hard-coded-criptographic-key%ef%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-eepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-echryption- keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerabilité-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-epseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/