Qu’il s’agisse de tâches relativement simples, comme la rédaction de courriels, ou de travaux plus complexes, comme l’écriture de longs textes ou la compilation de code informatique, le robot conversationnel ChatGPT d’OpenAI suscite un vif intérêt depuis son lancement. Il est loin d’être parfait, bien sûr, car il est connu pour faire des erreurs en interprétant mal les informations qu’il apprend. Mais beaucoup le considèrent, ainsi que d’autres outils d’intelligence artificielle, comme l’avenir de l’internet.
Les conditions d’utilisation d’OpenAI pour ChatGPT interdisent spécifiquement la génération de logiciels malveillants, y compris les rançongiciels, les enregistreurs de frappe, les virus ou « tout autre logiciel destiné à causer un certain préjudice ». Elles interdisent également les tentatives de création de spam, ainsi que les cas d’utilisation visant la cybercriminalité. Mais comme pour toute technologie en ligne innovante, il y a déjà des gens qui expérimentent une exploitation de ChatGPT à des fins plus obscures.
Rendre leurs opérations plus rentables
Ainsi, après son lancement, il n’a pas fallu longtemps pour que des cybercriminels publient sur des forums clandestins des discussions sur la manière dont ChatGPT pourrait être utilisé pour faciliter des activités criminelles, comme la rédaction de courriels d’hameçonnage ou l’aide à la compilation de logiciels malveillants.
Et il est à craindre que des escrocs tentent déjà d’utiliser ChatGPT et d’autres outils d’IA, tels que Google Bard. Si ces outils d’IA ne révolutionneront pas les cyberattaques, ils pourraient néanmoins aider les cybercriminels à mener des campagnes malveillantes plus efficacement.
« Je ne pense pas, du moins à court terme, que le ChatGPT créera de nouveaux types d’attaques. L’objectif sera de rendre leurs opérations quotidiennes plus rentables », déclare Sergey Shykevich, responsable du groupe de renseignement sur les menaces chez Check Point.
Du hameçonnage plus convaincant
Les attaques par hameçonnage sont la composante la plus courante des campagnes de piratage et de fraude. C’est un outil clé dans ce genre d’opérations, qu’il soit utilisé par les attaquants pour envoyer des courriels distribuant des logiciels malveillants, des liens d’hameçonnage ou convaincre une victime de transférer de l’argent.
Cette dépendance à l’égard du courrier électronique signifie que les cybercriminels ont besoin d’un flux constant de contenu clair et utilisable. Mais heureusement, bon nombre de ces tentatives d’hameçonnage sont faciles à repérer en tant que spam à l’heure actuelle. Cependant, un rédacteur automatique efficace pourrait rendre ces courriels plus convaincants.
Et si la cybercriminalité est mondiale, la langue peut être un obstacle, en particulier pour les campagnes d’hameçonnage les plus ciblées qui s’appuient sur l’usurpation d’un contact de confiance. Il est peu probable que quelqu’un croie parler à un collègue si les courriels sont truffés de fautes d’orthographe et de grammaire inhabituelles ou d’une ponctuation étrange.
Centres d’appel
Mais si l’IA est exploitée correctement, un chatbot pourrait être utilisé pour rédiger le texte des courriels dans la langue souhaitée par l’attaquant. « Le grand obstacle pour les cybercriminels russes est la langue – l’anglais », explique M. Shykevich. « Ils embauchent désormais des diplômés en anglais dans les universités russes pour rédiger des courriels d’hameçonnage et pour travailler dans les centres d’appel – et ils doivent payer pour cela ».
Il poursuit : « Un outil comme ChatGPT peut leur faire économiser beaucoup d’argent sur la création d’une variété de messages de phishing. Je pense que c’est ce qu’ils chercheront à faire ». En théorie, des protections ont été mises en place pour éviter les abus. Par exemple, ChatGPT demande aux utilisateurs d’enregistrer une adresse électronique et un numéro de téléphone pour vérifier l’enregistrement.
Mais bien que le robot conversationnel refuse d’écrire des courriels d’hameçonnage, il est possible de lui demander de créer des modèles de courriels pour d’autres messages qui sont couramment exploités par des cyberattaquants. Il peut s’agir de messages indiquant qu’une prime annuelle est offerte, qu’une mise à jour logicielle importante doit être téléchargée et installée, ou qu’un document joint doit être examiné de toute urgence.
« Il est possible de créer une invitation joliment formulée et grammaticalement correcte, ce que vous ne pourriez pas nécessairement faire si vous n’étiez pas de langue maternelle anglaise », déclare Adam Meyers, vice-président senior des renseignements chez Crowdstrike, un fournisseur de services de cybersécurité et de renseignements sur les menaces.
Faux profils
Mais l’utilisation abusive de ces outils ne se limite pas au courrier électronique. Les criminels pourraient s’en servir pour rédiger des scripts pour n’importe quelle plateforme en ligne basée sur le texte. Pour les attaquants qui organisent des escroqueries, ou même pour les groupes de pirates de haut niveau qui tentent de mener des campagnes d’espionnage, cet outil pourrait s’avérer utile, notamment pour créer de faux profils sociaux afin d’attirer les gens.
« Si vous souhaitez générer une discussion commerciale plausible sur LinkedIn afin de donner l’impression que vous êtes un véritable homme d’affaires essayant d’établir des contacts, ChatGPT est idéal pour cela », explique Kelly Shortridge, expert en cybersécurité et principal technologue produit chez Fastly, fournisseur d’informatique en nuage.
Divers groupes de pirates tentent d’exploiter LinkedIn et d’autres plateformes de médias sociaux pour mener des campagnes de cyber-espionnage. Mais la création de faux profils en ligne d’apparence légitime – et leur remplissage avec des messages – est un processus qui prend du temps. Kelly Shortridge pense que les pirates pourraient utiliser des outils d’intelligence artificielle tels que ChatGPT pour rédiger un contenu convaincant, tout en ayant l’avantage de nécessiter moins de main-d’œuvre que si le travail était effectué manuellement.
« Beaucoup de campagnes d’ingénierie sociale de ce type demandent beaucoup d’efforts parce qu’il faut mettre en place ces profils », explique-t-elle, estimant que les outils d’IA pourraient réduire considérablement la barrière à l’entrée. « Je suis sûre que ChatGPT pourrait rédiger des messages de leadership éclairé très convaincants », dit-elle.
Aucun moyen d’éliminer complètement les abus
La nature de l’innovation technologique fait que, chaque fois que quelque chose de nouveau apparaît, il y aura toujours des personnes qui essaieront de l’exploiter à des fins malveillantes. Et même avec les moyens les plus innovants pour tenter de prévenir les abus, la nature sournoise des cybercriminels et des fraudeurs signifie qu’ils trouveront probablement des moyens de contourner les protections.
« Il n’existe aucun moyen d’éliminer complètement les abus. Cela ne s’est jamais produit avec aucun système », affirme M. Shykevich, qui espère que la mise en évidence des problèmes potentiels de cybersécurité permettra de débattre davantage des moyens d’empêcher les chatbots IA d’être exploités à des fins malveillantes.
« C’est une technologie formidable, mais comme toujours avec les nouvelles technologies, il y a des risques et il est important d’en discuter pour en être conscient. Et je pense que plus nous discutons, plus il est probable qu’OpenAI et d’autres entreprises similaires investissent davantage dans la réduction des abus », suggère-t-il.
Intérêt pour la cybersécurité
Les chatbots d’IA tels que ChatGPT présentent également un intérêt pour la cybersécurité. Ils sont particulièrement doués pour traiter et comprendre le code. Il est donc possible de les utiliser pour aider les défenseurs à comprendre les logiciels malveillants. Comme ils peuvent également écrire du code, il est possible qu’en aidant les développeurs dans leurs projets ces outils puissent contribuer à créer plus rapidement un code meilleur et plus sûr.
Comme l’a récemment écrit Jeff Pollard, analyste principal chez Forrester, ChatGPT pourrait permettre de réduire considérablement le temps nécessaire à la production de rapports sur les incidents de sécurité. « Le fait de traiter ces rapports plus rapidement permet de consacrer plus de temps aux autres tâches – tests, évaluations, enquêtes et réponses -, ce qui aide les équipes de sécurité à s’adapter », note-t-il, ajoutant qu’un robot pourrait suggérer les prochaines actions recommandées en fonction des données disponibles.
« Si l’orchestration de la sécurité, l’automatisation et la réponse sont correctement configurées pour accélérer la récupération des artefacts, cela pourrait accélérer la détection et la réponse et aider les analystes du centre d’opérations de sécurité à prendre de meilleures décisions ». Les chatbots pourraient donc rendre la vie plus difficile à certains acteurs de la cybersécurité, mais il pourrait aussi y avoir des côtés positifs.
Zdnet.com a contacté OpenAI pour obtenir un commentaire, mais n’a pas reçu de réponse. Cependant, Zdnet.com a demandé à ChatGPT quelles étaient les règles mises en place pour éviter qu’il ne soit utilisé à des fins d’hameçonnage – et nous avons reçu le texte suivant.
« Il est important de noter que si les modèles de langage d’IA comme ChatGPT peuvent générer des textes similaires à des courriels d’hameçonnage, ils ne peuvent pas effectuer d’actions malveillantes par eux-mêmes. Il est donc important que les utilisateurs fassent preuve de prudence et de discernement lorsqu’ils utilisent la technologie de l’IA, et qu’ils soient vigilants pour se protéger contre le hameçonnage et d’autres activités malveillantes ».
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));