Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

DeepSeek : Rapide, puissant mais pas sécurisé !

9 Février 2025 | Valentin

Illustration de l'article

recap

cyber

actu

Avec 6 millions d'utilisateurs et 2,5 millions de téléchargements : deepseek, l'IA 100% chinoise est passée numéro un au classement des applications les plus téléchargées, doublant son concurrent américain ChatGPT.

Et si le modèle deepseek-r1 semble plus efficace, selon eux que leurs précédents modèles et celui de ChatGPT 4o, ce n'est clairement pas sur la cybersécurité qu'ils ont mis leur investissement car en une semaine, ce sont pas moins de trois attaques majeures qu'ils ont subies dont un leak massif de données.

Et ces trois attaques on en parle tout de suite dans le recap de l'actualité cyber de cette semaine

Vishing (Encore)

Le phishing par appel téléphonique, que l'on appelle vishing pour rappel, a toujours le vent en poupe depuis l'année dernière, car si vous vous souvenez bien, on en avait parlé dans notre dernier récap de l'actualité cyber de l'année 2024.

Et la méthode en ce début d'année n'a pas beaucoup changé, avec tout d'abord des utilisateurs se faisant littéralement noyer par des faux emails se faisant passer pour le support technique de l'entreprise, avant de proposer aux employés de se retrouver sur un appel Microsoft Teams pour échanger de vive voix.

Là encore, les attaquants utilisent habillement les fonctionnalités déjà incluses dans l'OS Microsoft ou de Teams, comme Quick Assist, permettant à la base aux vrais admins de dépanner les utilisateurs, pour prendre le contrôle de l'équipement et installer un malware sur l'ordinateur de la victime.

Si la dernière fois, il s'agissait de TrendMicro qui avait remonté le cas, aujourd'hui c'est l'un de leurs concurrents Sophos qui donne l'alerte, annonçant qu'à leur tour, ils ont mis à jour leur EDR pour détecter ce genre de cas.

Sophos a par contre rendu public les indicateurs de compromission de cette attaque, reprennant notamment les fichiers, leur nom, leur hash, les IP et l'email utilisé pour ces tentatives de phishing, alors n'hésitez pas au consulter et vous vous en servir pour améliorer votre détection. ([1],[2])

Faux mariage

Vous ne savez pas quoi faire ce week-end ? Ça tombe bien, vous allez peut-être avoir la chance ou pas de recevoir une invitation pour un mariage et vous vous doutez bien que si j'en parle, c'est que cette invitation cache un petit quelque chose.

Cette invitation, vous risquez de la recevoir sur Telegram ou sur WhatsApp, vous invitant à un super mariage en tant que VIP et pour confirmer votre présence, vous devez installer une application.

Évidemment, cette application cache en réalité un malware, appelé Tria, qui une fois installé, vous demande toutes les autorisations imaginables pour vous voler un maximum de données.

Vous l'aurez compris, il s'agit d'un datastealer qui a notamment deux objectifs :

  • Le premier est de récupérer un accès à votre compte Télégram ou WhatsApp que les attaquants vont s'empresser d'utiliser pour continuer à diffuser massivement leur fausse invitation à vos proches.
  • Et deuxièmement, le malware essaye de voler et de transmettre aux attaquants vos SMS, vos emails et vos appels et messages de vos réseaux sociaux, notamment par exemple pour récupérer les codes MFA que vous pouvez recevoir.

Kaspersky avait d'ailleurs déjà remonté en 2023 une attaque assez similaire avec un malware nommée UdangaSteal et si le nombre de victimes reste encore assez flou, on sait que ce ne sont que les utilisateurs d'Android qui sont visés.

La meilleure chose à faire évidemment dans ces cas-là, c'est de ne jamais installer une application sur simple demande de quelqu'un que vous ne connaissez pas, encore plus lorsque l'application, comme ici, n'est pas disponible dans le Play Store et uniquement en.apk. ([3], [4])

DeepSeek AI

Si deepseek, l'IA chinoise dont vous avez probablement entendu parler, semble être bien meilleure que beaucoup de ses concurrents, ils ont pourtant un sacré retard en termes de cybersécurité.

Car le ratio une semaine, trois attaques majeures n'est pas vraiment une fierté à afficher un peu partout.

Par exemple, 5 jours après la sortie de leur dernier modèle et durant trois jours, l'entreprise chinoise a subi du DDOS massif, visant tout d'abord l'API puis le chatbot, avec justement des bots venant apparemment plutôt massivement de pays anglo-saxons, dont évidemment les US.

Cette première attaque semblait avoir surtout pour objectif de déstabiliser le lancement de leur nouveau modèle, ce qui n'a pas empêché l'appli d'être top 1 du classement des applis les plus téléchargées, devant ChatGPT.

Un jour plus tard, c'est une énorme fuite de données qui a été découverte, et en même temps, la vulnérabilité n'était pas dure à exploiter puisqu'il s'agissait d'une base de données ouverte sur internet sans authentification, contenant des logs, des clefs d'API mais aussi des messages et des discussions des utilisateurs.

Et finalement, deux jours plus tard, ce sont cette fois-ci des chercheurs qui sont parvenus à jailbreaker le modèle de deepseek, révélant au passage une possible utilisation illégale du modèle de chatGPT, mais cela reste à confirmer. Mais surtout, le prompt complet du modèle utilisé avant d'injecter le prompt de l'utilisateur

Même si le modèle aurait, selon eux, coûté 10 fois moins à produire que GPT-4o, ils auraient peut-être dû rajouter quelques millions pour s'occuper de la sécurité de leurs outils.

Tout cet engouement autour de ces nouveaux outils nous montre bien une chose : ne sautez pas sur n'importe quels outils disponibles et appliquez toujours les conseils qu'on avait pu vous partager précédemment pour utiliser l'IA en toute sécurité. ([5], [6], [7])

Android

Si vous n'en avez pas eu assez avec l'infostealer de tout à l'heure, je vous propose deux autres applications tout aussi problématiques visant cette fois-ci l'Inde, ce qui est assez marrant sachant que le datastealer Tria de l'actu précédente était développé par l'Inde.

Cette fois-ci, il s'agit de deux applications, appelées Tanzeem et Tanzeem Update, se faisant passer pour des applications de messageries instantanées, n'ayant que pour objectif de récupérer vos appels, vos contacts, vos fichiers, vos messages et votre localisation.

Évidemment, ces deux applications visent les utilisateurs Android et utilisent encore une fois des outils légitimes, ici OneSignal, pour envoyer une notification incitant les utilisateurs à démarrer une discussion dans l'application, juste avant de leur demander d'autoriser l'application à utiliser les services d'accessibilités du téléphone, donnant alors tous les droits nécessaires à l'application pour récupérer ces infos.

Et ces applications ne s'arrêtent pas là car ils envoient aussi à intervalle régulier d'autres notifications, incitant les utilisateurs à donner soit toujours plus de permissions, soit d'installer d'autres payloads pour étendre les capacités de leur malware.

Derrière cette attaque se cache le groupe d'attaquants DONOT Team, aussi connu sous plein d'autres noms pour des raisons que j'ignore, étant majoritairement basé en Inde depuis 2016 et visant globalement toute l'Asie du Sud pour des raisons très probablement politiques. ([8])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !