L'utilisation de l'algorithme 3des dans l'application Deepseek présente des risques de sécurité importants en raison de sa nature obsolète et peu sûre. Voici les risques détaillés associés à l'utilisation de 3DES:
1. Insécurité de 3des: l'algorithme de chiffrement Triple DES (3DES) est largement considéré comme peu sûr et déprécié. C'était autrefois une norme pour le cryptage des données sécurisé, mais il a été remplacé par des algorithmes plus sécurisés comme les EI en raison de ses vulnérabilités. L'utilisation de 3DES rend les données chiffrées susceptibles de déchiffrer par les attaquants, compromettant la confidentialité des utilisateurs et l'intégrité des données [2] [4] [9].
2. Cette pratique est très peu sûre car elle permet aux attaquants potentiels d'extraire ces clés de l'application, ayant ainsi accès à décrypter toutes les données cryptées avec eux. Les clés codées en dur éliminent les avantages de sécurité du chiffrement, car ils peuvent être facilement découverts et exploités [4] [9] [10].
3. Réutilisation des vecteurs d'initialisation (IV): La réutilisation des vecteurs d'initialisation (IV) en conjonction avec 3DES affaiblit encore le cryptage. Les IV sont censés être uniques pour chaque opération de chiffrement afin d'éviter les attaques qui reposent sur des modèles dans les données cryptées. La réutilisation des IV permet aux attaquants de déduire plus facilement la clé de chiffrement ou d'exploiter les faiblesses du processus de chiffrement [1] [9].
4. Exposition et manipulation des données: Étant donné que Deepseek désactive également la sécurité du transport des applications (ATS) sur iOS, ce qui empêche les données sensibles d'être envoyées sur des canaux non cryptés, l'application transmet des données sans cryptage. Cela expose les utilisateurs aux attaques passives et actives, où les données peuvent être interceptées et manipulées [1] [7] [10].
5. Préoccupations de la souveraineté de confidentialité et de données: la transmission des données utilisateur aux serveurs gérés par Bytedance, une entreprise chinoise, soulève des préoccupations concernant la gouvernance des données sous la juridiction chinoise. Cela comprend le potentiel de surveillance sans mandat et d'utilisation des données, qui sont des risques de confidentialité importants pour les utilisateurs [5] [6].
En résumé, l'utilisation de 3des dans Deepseek, combinée à des clés codées en dur et à des IV réutilisées, sape considérablement la sécurité et la confidentialité des données utilisateur. Ces vulnérabilités font de l'application une cible pour les cyber-menaces et les violations de données, soulignant la nécessité de pratiques de chiffrement plus robustes et d'une meilleure gouvernance des données.
Citations:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sentive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-267742-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-ofeepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseeks-security-fails-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-eepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-Data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-fails-how-approov-lould-have-preveted-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-epseek-ai-app/