Des experts en cybersécurité s'émeuvent de la découverte d'un script caché semblant pouvoir envoyer des données personnelles vers la Chine avec la version Web de l'IA DeepSeek.
L'IA chinoise DeepSeek continue de faire couler beaucoup d'encre sur ses qualités mais aussi sur les mystères associés à son fonctionnement, créant le camp des adorateurs qui y voient un moyen de payer moins l'accès à une IA performante et celui des méfiants au vu de ses origines chinoises.De l'eau est peut-être apportée au moulin des seconds avec la découverte par des experts en sécurité de code caché dans la page Web de l'intelligence artificielle chinoise qui renverrait des informations personnelles des utilisateurs vers des serveurs d'une entreprise chinoise affiliée à l'opérateur China Mobile, le plus gros acteur du marché télécom chinois.
Du fingerprinting dans l'accès Web à DeepSeek
Or, cet acteur fait partie des entreprises soupçonnées par les Etats-Unis d'avoir des liens plus ou moins étroits avec l'armée chinoise et les services de renseignement, et a donc été écarté des contrats télécom aux USA.
L'Associated Press évoque un script bien caché et discret qui s'activerait lors de la création d'un compte et pendant l'entrée des identifiants sur le site Web de DeepSeek.Il serait lié à des techniques de fingerprinting (prise d'empreinte en bon français) permettant d'identifier un utilisateur de façon unique via son appareil, son navigateur ou son application.
Le fingerprinting n'est pas en soi illégal mais il ne doit en principe se faire qu'avec le consentement de l'utilisateur, d'autant plus qu'il peut récupérer des informations assimilées à des données personnelles.
La découverte a été réalisée par l'entreprise canadienne de cybersécurité Feroot Security et confirmée par un second groupe d'experts (des universités de Calgary et de Californie)...tout en reconnaissant ne pas avoir constaté de transfert d'informations lors de tests d'identification en Amérique du Nord. Il reste que ce code pourrait être activé à la demande ou en fonction des utilisateurs plus tard.
Quid de la version mobile ?
L'application mobile DeepSeek n'a pas été testée et on ne sait donc pas si elle contient elle aussi l'équivalent de ces mystérieux scripts conduisant vers des serveurs de China Mobile, ce qui reste problématique puisqu'elle est toujours l'une des applications mobiles les plus téléchargées des portails d'applications officiels.
Le fait que le script soit très discret plaide pour une intégration volontaire et, pour l'un des experts, "il est clair que China Mobile est impliqué d'une façon ou d'une autre dans l'enregistrement / identification sur DeepSeek", ce qui vient s'ajouter au fait que les données transmises au chatbot sont envoyées et traitées sur des serveurs en Chine (hors modèles hébergés sur des serveurs locaux).
Y aurait-il baleine sous gravillon en matière de sécurité ? Tout ceci n'est pas de nature à rassurer une Amérique du Nord multipliant les mesures pour contenir la montée en puissance d'une Chine plus revendicative et aux nouveaux appétits, technologiques comme géostratégiques.
Tempête dans un verre d'eau pour dénigrer DeepSeek ou véritable menace (ou au moins tracking) cachée, toujours est-il que les agences gouvernementales de plusieurs pays : Australie, Corée du Sud, Taiwan...c'est à dire des voisins de la Chine pouvant craindre pour leur sécurité nationale, tendent à se montrer prudentes avec la diffusion de l'IA chinoise dans leurs services, malgré ses mérites.
merci à GNT
c'est dingue que des entreprises osent faire ça 
Surtout chez nous, alors que nous avons le machinActRGPD qui nous prétège de toute récolte de données.
