Par Leng Shumei

Publié le : 29 janvier 2025

La start up chinoise d’IA DeepSeek a été soumise à une série de cyberattaques sophistiquées et à grande échelle au cours du mois dernier, selon XLab, une société chinoise de cybersécurité.

Les attaques, qui ont commencé début janvier, ont considérablement augmenté en ampleur et en complexité, posant des défis sans précédent aux opérations et à la sécurité des données de DeepSeek, ont déclaré mercredi des experts du XLab au Global Times et ont averti que les attaques devraient se poursuivre à l’avenir. 

Le laboratoire a déclaré mercredi au Global Times qu’il y avait toujours des attaques de proxy HTTP ciblant DeepSeek. Les adresses IP sources surveillées vont de centaines à des milliers, dont la plupart sont situées aux États-Unis, à Singapour, aux Pays-Bas, en Allemagne et dans le pays, selon XLab.

DeepSeek a lancé mardi un nouveau modèle multimodal open source Janus-Pro, une version améliorée de son précédent modèle Janus, qui améliore considérablement la compréhension multimodale et les capacités de génération visuelle.

Plus tôt en janvier, la société a publié le dernier modèle open source DeepSeek-R1, qui a réalisé une percée technologique importante – en utilisant des méthodes d’apprentissage profond pur pour permettre à l’IA d’émerger spontanément avec des capacités de raisonnement. 

Lors de sa première conférence de presse mardi (heure locale), la porte-parole américaine Karoline Leavitt a déclaré que DeepSeek, une société chinoise d’intelligence artificielle qui développe des modèles de langage à grande échelle open source, était un signal d’alarme pour l’IA américaine, selon le président américain Trump.

DeepSeek aurait publié mardi un communiqué indiquant que ses services en ligne avaient récemment été soumis à des attaques malveillantes à grande échelle. Pour assurer la continuité du service, la société avait temporairement restreint les méthodes d’enregistrement autres que celles avec des numéros de téléphone mobile +86. 

Le journaliste du Global Times a essayé d’ouvrir la plate-forme API (Application Programming Interface) de DeepSeek mercredi matin, mais le site Web affiche un avis indiquant que la plate-forme est en cours de maintenance et de mise à niveau et qu’elle est actuellement inaccessible. 

DeepSeek a été soumis à des attaques DDoS à grande échelle et soutenues depuis le 3 ou le 4 janvier, et les méthodes se sont intensifiées les 27 et 28 janvier, augmentant considérablement la difficulté de la défense, la rendant plus efficace et affectant même l’accès à l’enregistrement, selon XLab.

En plus des attaques DDoS, l’analyse a révélé un grand nombre d’attaques par force brute sur les mots de passe. Selon le rapport du XLab, les services et données d’IA de DeepSeek sont confrontés à des défis de sécurité sans précédent. 

Le XLab a noté dans son rapport au Global Times que les changements de méthodes rendaient la défense contre les attaques plus difficile. Le laboratoire surveille de près les attaques réseau depuis le lancement de DeepSeek et a constaté que les attaques peuvent être divisées en trois phases :

Au cours de la première phase, les 3, 4, 6, 7 et 13 janvier, des attaques de proxy HTTP suspectées ont été observées. Au cours de cette période, XLab a détecté un grand nombre de requêtes proxy tentant de se connecter à DeepSeek, ce qui indique probablement des attaques de proxy HTTP.

Au cours de la deuxième phase, le 20 janvier et du 22 au 26 janvier, les méthodes d’attaque sont passées à l’amplification de réflexion SSDP et NTP. Pendant cette période, XLab a constaté que les principales méthodes d’attaque étaient l’amplification de réflexion SSDP et NTP, avec un petit nombre d’attaques de proxy HTTP. En général, la défense contre les attaques d’amplification de réflexion SSDP et NTP est plus simple et plus facile à nettoyer.

Au cours de la dernière phase, les 27 et 28 janvier, le nombre d’attaques a augmenté et les méthodes sont passées aux attaques de la couche applicative. À partir du 27, XLab a identifié que la principale méthode d’attaque est passée aux attaques de proxy HTTP, qui simulent le comportement normal de l’utilisateur. Par rapport aux attaques classiques d’amplification de réflexion SSDP et NTP, la difficulté de défense a considérablement augmenté, ce qui rend ces attaques plus efficaces.

XLab a noté que le pic des attaques du 28 janvier s’est produit entre 03h00 et 04h00 heure de Pékin, ce qui correspond à 14h00-15h00 heure normale de l’Est. Cette fenêtre temporelle indique que les attaques ont des caractéristiques transfrontalières et XLab a déclaré qu’il ne pouvait pas exclure la possibilité de frappes ciblées contre la disponibilité des services à l’étranger.

De plus, à partir de 03h00 le 28 janvier, les attaques DDoS ont été accompagnées d’un grand nombre d’attaques par force brute. Toutes les adresses IP impliquées dans les attaques par force brute provenaient des États-Unis.

Les données de XLab indiquent que la moitié de ces adresses IP sont des sorties VPN, ce qui suggère que cela peut être lié aux restrictions imposées par DeepSeek aux utilisateurs mobiles étrangers.

Les experts en sécurité de XLab ont déclaré que cette attaque à grande échelle n’était pas un incident isolé. Ces dernières années, les cyberattaques ciblant les entreprises de haute technologie sont devenues graves. Les motivations des attaquants sont complexes, allant de la concurrence commerciale aux tentatives de vol de données technologiques essentielles, et incluent même des organisations de hackers d’origine nationale qui tentent d’entraver le développement de l’industrie chinoise de haute technologie par le biais d’attaques. 

Des attaques contre Black Myth: Wukong à DeepSeek, les attaques auxquelles ils ont été confrontés ont démontré qu’à mesure que la Chine continue de progresser dans le domaine de la haute technologie, les attaques malveillantes des pirates étrangers augmentent également. Ces attaques peuvent entraîner de graves conséquences telles que des interruptions de service et des violations de données, et elles peuvent également avoir un impact négatif sur l’image technologique de la Chine et sa compétitivité internationale. La priorité absolue [pour la Chine] est donc désormais de renforcer la protection de la cybersécurité, ont déclaré les experts de XLab au Global Time