Pour aborder les vulnérabilités de sécurité associées à la désactivation de la sécurité des transports d'applications (ATS) dans Deepseek, plusieurs mesures de sécurité alternatives auraient pu être mises en œuvre:
1. Activer et appliquer ATS: L'alternative la plus simple consiste à activer ATS et à s'assurer que toutes les communications entre l'application et ses services backend utilisent HTTPS. Cela empêcherait l'application d'envoyer des données sensibles sur des canaux non cryptés, réduisant considérablement le risque d'attaques d'homme dans le milieu (MITM) [2] [4].
2. Implémentation de cryptage de bout en bout (E2EE): Deepseek aurait pu implémenter E2EE pour protéger les données des utilisateurs contre l'interception et la manipulation. Cela implique de crypter des données sur le côté client avant d'être transmis au serveur, garantissant que seul le destinataire prévu peut les décrypter. Cette approche protégerait les informations sensibles même si les données sont interceptées pendant la transmission [6].
3. Utiliser des algorithmes de chiffrement plus forts: au lieu d'utiliser des algorithmes de cryptage obsolètes comme 3DES, Deepseek aurait pu adopter des normes de cryptage plus sûres et modernes telles que AES-256. Cela rendrait beaucoup plus difficile pour les attaquants de décrypter et d'accéder aux données sensibles [4] [6].
4. Épinglage du certificat: la mise en œuvre de l'épinglage du certificat approprié aiderait à empêcher les attaquants d'utiliser de faux certificats pour intercepter le trafic. Cela implique d'intégrer le certificat SSL / TLS attendu ou la clé publique dans l'application, garantissant que seules les communications avec le certificat attendu sont fiables [6].
5. ATTESTATION D'APPLOS mobile: L'utilisation d'une solution d'attestation d'application mobile comme ApproV pourrait s'assurer que seules des instances authentiques et non modifiées de l'application peuvent se connecter aux API backend. Cela empêcherait les applications falsifiées ou reconditionnées de faire des demandes d'API non autorisées et de voler les données utilisateur [2].
6. Stockage de données sécurisé: Deepseek doit s'assurer que toutes les données stockées sur l'appareil ou transmises aux serveurs sont chiffrées et protégées contre l'accès non autorisé. Cela comprend l'utilisation de mécanismes de stockage sécurisés pour les données sensibles telles que les mots de passe et les clés de chiffrement [4] [6].
7. Audits de sécurité réguliers: la réalisation d'audits de sécurité réguliers et des tests de pénétration aiderait à identifier les vulnérabilités dès le début, permettant à Deepseek de les résoudre avant de devenir des problèmes majeurs. Cette approche proactive améliorerait la posture de sécurité globale de l'application [2] [4].
En mettant en œuvre ces mesures, Deepseek pourrait améliorer considérablement sa sécurité et protéger les données des utilisateurs plus efficacement, réduisant les risques associés à la désactivation de l'ATS et d'autres vulnérabilités de sécurité.
Citations:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-starty-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-all-mould-have-been-ted-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sentive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-sould-know-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security-risk-in-eepseek-and-other-fratier-reasoning-models