Des chercheurs ont utilis l’IA gnrative pour des tests de pntration pour trouver les points faibles d’un systme. Selon l’tude, ChatGPT s’avre efficace dans les tests de cyberscurit, mais soulve des inquitudes quant l’exploitation des vulnrabilits.
Une tude de l’universit Charles Darwin a montr que l’intelligence artificielle (IA) peut tre d’une grande aide dans la lutte contre la cybercriminalit. L’tude a t ralise par des professeurs de l’Institut de l’nergie et des ressources de la CDU, qui ont publi leurs travaux dans l’International Journal of Information Security (Journal international de la scurit de l’information).
Les chercheurs de l’universit ont utilis l’IA gnrative pour des tests de pntration connus sous le nom de « pentesting« . Le pentesting est souvent utilis par les services de cyberscurit pour trouver les points faibles d’un systme. Les tests de pentesting ont t effectus sur l’IA en lui donnant quelques valuations et activits, puis en demandant ChatGPT d’identifier les menaces. Le test consistait pntrer dans une machine informatique pour tlcharger des fichiers, analyser leur code source dans des pages web et trouver des failles antrieures ou caches.
Bharanidharan Shanmugam, qui a particip cette recherche, a dclar que cette tude avait pour but de dterminer si une IA gnrative telle que ChatGPT pouvait tre utile pour dtecter des piratages nuisibles, et que les rsultats de l’tude taient plutt satisfaisants. Selon M. Shanmugam, ChatGPT est capable de dtecter les cybercrimes mens par des systmes et des organisations spcifiques. Pendant la priode d’analyse, ChatGPT peut facilement effectuer une analyse approfondie de la cible et peut ensuite identifier les vulnrabilits et les activits de cybercriminalit dans un systme.
Mme si ChatGPT s’est avr tre un excellent outil durant les phases susmentionnes, il est galement capable d’exploiter les vulnrabilits des machines. ChatGPT est un outil rvolutionnaire pour le pentesting, mais il doit galement tre surveill. Si ChatGPT doit tre utilis comme outil de cyberscurit, il doit tre adopt aprs avoir suivi certaines pratiques et lignes directrices. En utilisant ChatGPT et d’autres outils d’IA gnrative, il est possible de maintenir un environnement numrique sr.
Les chercheurs rsument l’tude en dclarant :
Cet article examine le rle de l’IA gnrative (GenAI) et des grands modles de langage (LLM) dans les tests de pntration en explorant les avantages, les dfis et les risques associs aux applications de cyberscurit. Grce l’utilisation de l’intelligence artificielle gnrative, les tests de pntration deviennent plus cratifs, les environnements de test sont personnaliss et l’apprentissage et l’adaptation continus.
Nous avons examin comment GenAI (ChatGPT 3.5) aide les testeurs de pntration en leur proposant des options et des suggestions au cours des cinq tapes des tests de pntration. L’efficacit de l’outil GenAI a t teste l’aide d’une machine vulnrable disponible publiquement sur VulnHub. La rapidit avec laquelle l’outil a ragi chaque tape et fourni un meilleur rapport de test de pntration a t surprenante. Dans cet article, nous examinons les risques potentiels, les consquences involontaires et le dveloppement incontrl de l’IA associs au pentesting.
L’importance de la cyberscurit dans le paysage numrique actuel
Alors que le monde devient de plus en plus interconnect et dpendant des technologies numriques, l’importance de la cyberscurit s’est accrue de manire exponentielle en raison du cot de la cybercriminalit, qui devrait atteindre 8 000 milliards de dollars en 2023 et 10 500 milliards de dollars en 2025. Les cybermenaces, telles que les violations de donnes, les attaques par ransomware et le vol d’identit, sont devenues plus complexes et prsentent des risques importants pour les particuliers, les entreprises et les pouvoirs publics. Les consquences de ces attaques peuvent tre graves, entranant des pertes financires, des atteintes la rputation, voire des atteintes la vie humaine.
Il est donc essentiel d’aborder et d’attnuer ces risques de manire proactive en mettant en uvre des mesures de cyberscurit solides, notamment des outils et des techniques avancs capables de dtecter et de contrer les cybermenaces. Un test de pntration, ou pentest, peut tre effectu pour valuer les risques ou les vulnrabilits du rseau d’une organisation ou des applications en contact avec le public.
Au dpart, il s’agissait d’un processus banal, mais des progrs et une automatisation ont t introduits dans le pentest au fur et mesure de l’volution de la technologie. L’avnement de l’IA gnrative (GenAI) a suscit un grand intrt dans le secteur de la cyberscurit, en particulier pour ses capacits amliorer le processus de test de pntration. Sa capacit reproduire des scnarios du monde rel facilite le dveloppement d’outils avancs capables de dtecter un plus large ventail de vulnrabilits de type « zero-day ».
Durant l’tude, ChatGPT d’OpenAI a t utilis pour tester GenAI, bien que d’autres outils similaires puissent servir d’alternative. Enracin dans un grand modle de langage fondamental qui est entran sur un corpus massif de texte, ChatGPT a dmontr son efficacit pour les applications de test de pntration.
Contributions de l’tude
La recherche vise tudier les avantages potentiels, les limites et l’impact de l’intgration des outils de la GenAI dans les cadres de test de pntration traditionnels, offrant ainsi une voie structure pour explorer, exprimenter et discuter des contributions de la GenAI la cyberscurit. Elle veut rpondre la question : « Comment les outils de la GenAI peuvent-ils tre appliqus pour amliorer l’efficacit des mthodologies de test de pntration dans le domaine de la cyberscurit ?«
Les contributions sont donc les suivantes :
- Premirement, examiner les avantages, les dfis et les consquences potentielles de l’utilisation de la GenAI dans le domaine de la cyberscurit, et plus particulirement des tests de pntration.
- Deuximement, les applications de la GenAI dans un engagement de pentesting simul sont dmontres, ce qui permet de vrifier que la GenAI peut produire des commandes qui peuvent tre utilises pour mener un test de pntration complet.
- Enfin, la GenAI peut tre utilis pour produire un rapport de test de pntration excellent et prcis qui ne manque aucun rsultat cl.
Voici quelques exemples :
- Scanner la machine distante
- Dchiffrer le message cod
Conclusion
Les GenAI et les LLM ont le potentiel de rvolutionner le pentesting, en offrant de nombreux avantages tels qu’une meilleure efficacit, une plus grande crativit, des environnements de test personnaliss, ainsi qu’un apprentissage et une adaptation continus. Toutefois, les applications dans ce domaine sont double tranchant et prsentent de nouveaux dfis et limites, tels qu’une dpendance excessive l’gard de l’IA, un biais de modle potentiel ou des problmes d’quit, sans compter les proccupations thiques et juridiques,
En outre, l’utilisation de la GenAI dans le pentesting peut entraner des risques potentiels et des consquences involontaires, notamment son utilisation pour gnrer des logiciels malveillants polymorphes, l’escalade des cybermenaces, les menaces persistantes avances et le dveloppement incontrl de l’IA.
Pour rpondre ces proccupations, les organisations doivent adopter les meilleures pratiques et lignes directrices, en se concentrant sur le dploiement responsable de l’IA, la scurit des donnes et la protection de la vie prive, et en favorisant la collaboration et le partage d’informations. Les gouvernements doivent trouver un quilibre entre la limitation des applications ngatives de l’IA et le maintien de son potentiel.
En conclusion, l’IA offre des possibilits prometteuses pour amliorer l’efficacit du pentesting et, en fin de compte, la position des organisations en matire de cyberscurit.
Bien que la recherche ait russi atteindre son objectif de compromettre totalement la machine distante, il est essentiel pour les parties prenantes d’examiner attentivement les dfis, les risques et les consquences involontaires potentiels associs son utilisation.
L’essentiel est d’adopter des pratiques responsables pour s’assurer que les avantages de la technologie se concrtisent tout en minimisant les inconvnients potentiels. Ce faisant, les organisations peuvent tirer parti de la puissance de la GenAI pour mieux se protger contre l’volution constante du paysage des menaces et maintenir un environnement numrique sr pour tous.
Source : « Generative AI for pentesting: the good, the bad, the ugly »
Et vous ?
Pensez-vous que cette tude est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :