11-02-2025, 09:34
Franchement... la honte ! Les bases ne sont mêmes pas là, pfff !
Cet incident est particulièrement pertinent car il illustre :
L'importance des bonnes pratiques de sécurisation des bases de données
Les risques liés au stockage de données sensibles
L'impact des failles de sécurité sur la réputation d'une entreprise
Cette fuite de données met en lumière un problème fondamental dans la gestion de la sécurité chez DeepSeek. L'exposition d'une base de données ClickHouse sans authentification est effectivement une erreur basique qui n'aurait JAMAIS dû se produire. C'est vraiment honteux, tout simplement. Aj oui les performances peuvent impressionner pour le coût présumé qu'ils évoquent, mais là ou on peut vraiment juger... Bref...
Ce qui est particulièrement intéressant, c'est que cette faille a eu des répercussions bien au-delà de la simple exposition de données. L'Italie a carrément interdit l'utilisation de DeepSeek sur son territoire, et plusieurs pays comme la France, l'Irlande et la Corée du Sud ont lancé des enquêtes. Quand on sait qu'ils ne respectent pas les règles élémentaires sur les datas personnelles, en sus désormais la sécurité, je pense qu'il est crucial d'agir comme l'Italie.
Pour les développeurs comme les SysAdmin, c'est un excellent exemple de l'importance de la sécurisation des bases de données dès la conception. La possibilité d'exécuter des requêtes SQL directement via l'interface HTTP sans aucune authentification est une faille on ne peut plus critique ! Comment ont ils pu être aussi négligent ???
Le plus inquiétant est que les données étaient stockées en clair, y compris les clés API et les mots de passe. Dans un contexte professionnel, le chiffrement des données sensibles devrait être une pratique standard, et encore plus sur ce genre d'application massivement utilisée et mise en avant dans les médias.
Cette situation soulève aussi des questions sur la gouvernance des données personnelles, particulièrement quand elles sont gérées par des entreprises soumises à des législations très différentes des nôtres...
Un conseil, fuyez DeepSeek... Au premier article sur TISI-FR le concernant, j'évoquais ma peur au sujet des datas, je ne m'attendais pas à autant d'amateurisme. C'est très inquiétant.
Cet incident est particulièrement pertinent car il illustre :
L'importance des bonnes pratiques de sécurisation des bases de données
Les risques liés au stockage de données sensibles
L'impact des failles de sécurité sur la réputation d'une entreprise
Cette fuite de données met en lumière un problème fondamental dans la gestion de la sécurité chez DeepSeek. L'exposition d'une base de données ClickHouse sans authentification est effectivement une erreur basique qui n'aurait JAMAIS dû se produire. C'est vraiment honteux, tout simplement. Aj oui les performances peuvent impressionner pour le coût présumé qu'ils évoquent, mais là ou on peut vraiment juger... Bref...
Ce qui est particulièrement intéressant, c'est que cette faille a eu des répercussions bien au-delà de la simple exposition de données. L'Italie a carrément interdit l'utilisation de DeepSeek sur son territoire, et plusieurs pays comme la France, l'Irlande et la Corée du Sud ont lancé des enquêtes. Quand on sait qu'ils ne respectent pas les règles élémentaires sur les datas personnelles, en sus désormais la sécurité, je pense qu'il est crucial d'agir comme l'Italie.
Pour les développeurs comme les SysAdmin, c'est un excellent exemple de l'importance de la sécurisation des bases de données dès la conception. La possibilité d'exécuter des requêtes SQL directement via l'interface HTTP sans aucune authentification est une faille on ne peut plus critique ! Comment ont ils pu être aussi négligent ???
Le plus inquiétant est que les données étaient stockées en clair, y compris les clés API et les mots de passe. Dans un contexte professionnel, le chiffrement des données sensibles devrait être une pratique standard, et encore plus sur ce genre d'application massivement utilisée et mise en avant dans les médias.
Cette situation soulève aussi des questions sur la gouvernance des données personnelles, particulièrement quand elles sont gérées par des entreprises soumises à des législations très différentes des nôtres...
Un conseil, fuyez DeepSeek... Au premier article sur TISI-FR le concernant, j'évoquais ma peur au sujet des datas, je ne m'attendais pas à autant d'amateurisme. C'est très inquiétant.
[Système d'exploitation : Linux Mint 21.3] - [RAM : 15.34 GB]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
