Washington – Le site Web de la société chinoise d’intelligence artificielle En profondeurdont le chatbot est devenu l’application la plus téléchargée aux États-Unis, a un code informatique qui pourrait envoyer des informations de connexion des utilisateurs à une société chinoise de télécommunications publiques qui a été interdite d’opérer aux États-Unis, selon des chercheurs en sécurité.
La page de connexion Web du chatbot de Deepseek contient un script informatique fortement obscurci qui, lorsqu’il est déchiffré, affiche des connexions à des infrastructures informatiques appartenant à China Mobile, une société de télécommunications publiques appartenant à l’État. Le code semble faire partie du processus de création de compte et de connexion de l’utilisateur pour Deepseek.
Dans sa politique de confidentialité, Deepseek a reconnu le stockage de données sur les serveurs à l’intérieur La République populaire de Chine. Mais son chatbot semble plus directement lié à l’État chinois qu’auparavant connu par le lien révélé par les chercheurs à China Mobile. Les États-Unis ont affirmé qu’il y avait des liens étroits entre China Mobile et l’armée chinoise comme justification pour placer des sanctions limitées à l’entreprise. Deepseek et China Mobile n’ont pas répondu aux e-mails demandant des commentaires.
La croissance des services numériques contrôlés par chinois est devenu un sujet majeur de préoccupation pour les responsables de la sécurité nationale américaine. Les législateurs du Congrès l’année dernière sur une base massivement bipartite ont voté pour forcer la société mère chinoise de l’application populaire de partage de vidéos Tiktok à céder ou à faire face à une interdiction nationale, bien que l’application ait depuis reçu Un sursis de 75 jours du président Donald Trumpqui espère trouver une vente.
Le code reliant Deepseek à l’un des principaux fournisseurs de téléphonie mobile chinois a été découvert pour la première fois par Feroot Security, une société canadienne de cybersécurité, qui a partagé ses conclusions avec l’Associated Press. L’AP a apporté les conclusions de Feroot à un deuxième ensemble d’experts en informatique, qui ont confirmé indépendamment que le code mobile chinois était présent. Ni Feroot ni les autres chercheurs n’ont observé des données transférées à China Mobile lors du test des connexions en Amérique du Nord, mais ils ne pouvaient pas exclure que les données pour certains utilisateurs étaient transférées au télécommunications chinoises.
L’analyse ne s’applique qu’à la version Web de Deepseek. Ils n’ont pas analysé la version mobile, qui reste l’un des logiciels les plus téléchargés sur les magasins Apple et Google App.
La Commission fédérale des communications américaines à l’unanimité Aux États-Unis, le China Mobile Authority a refusé les États-Unis En 2019, citant des problèmes de sécurité nationale «substantiels» concernant les liens entre l’entreprise et l’État chinois. En 2021, l’administration Biden a également émis des sanctions limitant la capacité des Américains à investir dans le mobile en Chine après que le Pentagone l’a lié à l’armée chinoise.
« C’est un esprit que nous permettons sans le savoir sur la Chine à interroger les Américains et que nous ne faisons rien à ce sujet », a déclaré Ivan Tsarynny, PDG de Feroot.
«Il est difficile de croire que quelque chose comme ça était accidentel. Il y a tellement de choses inhabituelles à cela. Vous savez que dire «où il y a de la fumée, il y a du feu»? Dans ce cas, il y a beaucoup de fumée », a déclaré Tsarynny.
Stewart Baker, un avocat et consultant basé à Washington, qui a précédemment été un haut fonctionnaire au Département de la sécurité intérieure et de l’Agence nationale de sécurité, a déclaré que Deepseek « soulève toutes les préoccupations Tiktok et vous parlez d’informations qui sont Plus susceptible d’être plus de sécurité nationale et d’importance personnelle que tout ce que les gens font sur Tiktok « , l’une des plateformes de médias sociaux les plus populaires au monde.
Les utilisateurs mettent de plus en plus des données sensibles Systèmes d’IA génératifs – Tout, des informations commerciales confidentielles aux détails très personnels sur eux-mêmes. Les gens utilisent des systèmes d’IA génératifs pour la vérification des sorts, la recherche et même les requêtes et les conversations hautement personnelles. Les risques de sécurité des données d’une telle technologie sont amplifiés lorsque la plate-forme appartient à un adversaire géopolitique et pourrait représenter une mine d’or de renseignement pour un pays, avertissent les experts.
«Les implications de cela sont beaucoup plus importantes car des informations personnelles et propriétaires pourraient être exposées. C’est comme Tiktok mais à une échelle beaucoup plus grande et avec plus de précision. Ce n’est pas seulement le partage de vidéos de divertissement. Il s’agit de requêtes et d’informations qui pourraient inclure des informations commerciales très personnelles et sensibles », a déclaré Tsarynny, de Feroot.
Feroot, qui se spécialise dans l’identification des menaces sur le Web, a identifié le code informatique téléchargé et déclenché lorsqu’un utilisateur se connecte à Deepseek. Selon l’analyse de l’entreprise, le code semble capturer des informations détaillées sur l’appareil dans lequel l’utilisateur se connecte – un processus appelé empreinte digitale. Ces techniques sont largement utilisées par les entreprises technologiques du monde entier pour la sécurité, la vérification et le ciblage d’annonces.
L’analyse par la société du code a déterminé qu’il y avait des liens dans ce code pointant vers les systèmes informatiques de l’authentification mobile et de la gestion de l’identité en Chine, ce qui signifie qu’il pourrait faire partie du processus de connexion pour certains utilisateurs accédant à Deepseek.
L’AP a demandé à deux experts académiques de cybersécurité – Joel Reardon de l’Université de Calgary et Serge Egelman de l’Université de Californie à Berkeley – pour vérifier les conclusions de Feroot. Dans leur analyse indépendante du code Deepseek, ils ont confirmé qu’il y avait des liens entre le système de connexion du chatbot et China Mobile.
« Il est clair que China Mobile est en quelque sorte impliqué dans l’inscription à Deepseek », a déclaré Reardon. Il n’a pas vu de données transférées lors de ses tests, mais a conclu qu’il était probablement activé pour certains utilisateurs ou dans certaines méthodes de connexion.
___
Contactez l’équipe d’investigation mondiale de l’AP à enquête @ap.org ou https://www.ap.org/tips/.
