La facilité d’utilization de la nouvelle intelligence artificielle ChatGPT et ses compétences commencent à intéresser la communauté des cybercriminals. Cet agent conversationnel pourra-t-il écrire lui-meme un virus et transformer ainsi n’importe qui en cyberdelinquant potentiel ? Une vision un peu alarmiste pour les experts interrogés par France 24, même si cet outil commence déjà à être utilisé par les pirates informatiques.
“Gagnez 1 000 dollars per day grace à ChatGPT”, ou encore “This simple method pour se faire de l’argent avec ChatGPT”. Depuis le début de l’année, des messages similaires, decrypted by des experts of the cyber security society Check Point dans un billet de blog publié of January 6, commenced a fleurir sur des forums populaires chez les cybercriminals.
In effect, the new rejeton of intelligence and artificielle in the mode depuis fin november 2022 ne sert pas uniquement aux étudiants qui demandent à Chat GPT d’écrire leurs devoirs ou aux collegues de bureau qui passent leur temps à vous dire that cette IA va all of us nous replacer.
Des mails trompeurs et des codes malveillants
Les capacités de cet agent conversationnel de dernière génération créé par OpenAI – c’est-à-dire un “bot” capable of répondre à des questions qui lui sont soumises et d’avoir une discussion – ont fait forte impression aux pirates informatiques.
“On commencement to voir les premier examples concrets de ce que les cybercriminals veulent faire avec ChatGPT”, reconnaît Gérôme Billois, cybersecurity expert at the cabinet de conseil en securité informatique Wavestone.
Cette IA a comment by aider les cybercriminals by… écrire des mails. Mais pas n’importe lesquels: des messages de “phishing”, c’est-à-dire destinés à amener les cibles à cliquer sur un lien frauduleux ou à telecharger une pièce jointe contenant un virus.
L’intérêt est surtout “de permettre aux non-anglophones de rédiger des mails sans erreur de grammaire et d’une quality professionnelle”, précise Gérôme Billois. L’ère des faux e-mails envoys depuis un pays d’Europe de l’Est dans un Anglais tres hésitant est revolue. “For example, a cybercriminal peut demander to ChatGPT d’écrire a mail as he s’il était a chirurgien who communicates with a collègue”, note Hanah Darley, an expert in informative security for Darktrace, an American cyber defense society interrogated by the site TechCrunch.
“À partir de fin décembre, we avons aussi trouvé sur l’un des principaux forums de cybercriminels en Anglais un individual qui avait posté un code malicieux [le composé central d’un virus informatique, NDLR] créé avec l’aide de l’outil d’OpenAI. C’était une personne qui avouait ne pas y comprendre grand-choose en matière de programming”, raconte Sergey Shykevich, responsible for recherches sur les menaces chez Check Point.
D’où la creinte que ChatGPT ne favorise l’émergence d’une génération de pirates informatiques peu versés dans l’art du code mais dopés à l’IA. Une sorte de democratisation de la cybercriminalité grace à cet conversational agent who se proposes de rédiger les virus à votre place.
“C’est sûr que ChatGPT rend les codes malveillants plus accessibles aux néophytes”, reconnaît Eran Shimony, analyste sénior en sécurité informatique pour l’entreprise américaine CyberArk. Mais “il faut plus qu’un code malveillant pour pénétrer un système informatique”, assures John Fokker, responsable des cyber investigations pour l’entreprise de securité informatique américaine Trellix. ChatGPT ne peut être qu’un petit maillon de la chaîne de la cybercriminalité. Il faut mettre en place l’infrastructure de l’attaque, faire le suivi des opérations, savoir quelles informations sont sensibles et lesquelles peuvent ensuite être monnayées sur Internet.
Un peu like Google trad de la cybercriminality
Sans compter “qu’en l’état actuel, ChatGPT ne teste pas l’efficacity des codes malveillants qu’il peut générer, and qu’il faut un certain savoir-faire for verifier ensuite le travail de l’IA”, explique Gérôme Billois. “On a pu constater que le code n’est pas toujours parfait. It’s un peu comme l’outil de traduction de Google: it’s convaincant mais il faut quand même améliorer un peu le résultat”, résume Sergey Shykevich.
ChatGPT n’est donc pas une arme de piraterie massive pour apprenti hacker. Pour autant, il peut rendre la face obscure de la sécurité informatique plus accessible.
Ce “bot” peut devenir un professeur de piratage de premier order. “Il peut être particulièrement utile pour la jeune generation of hackers qui devaient auparavant passer des heures à lire de la documentation ou à discuter sur des forums. He peut accélérer leur formation”, assures John Fokker. Surtout, il est d’autant plus attrayant qu’il dispose d’une “interface beaucoup plus intuitive et [génère] des réponses plus précises que ses prédécesseurs”, note Gérôme Billois.
OpenAI a tenté de mettre en place quelques garde-fous pour empêcher une utilisation malveillante de leur robot aux 1001 réponses. It is ainsi, théoriquement, impossible de lui demander clairement, par example, de “rediger the code for la creation d’un rançongiciel” et les ressortissants d’une douzaine de pays – dont la Russie, l’Iran, la Chine, l Ukraine, etc. – ne sont pas censés pouvoir l’utiliser.
Des faussaires d’art numerique
Mais “ces filtres sont assez simples à contourner”, affirme Omer Tsarfati, chercheur senior en sécurité informatique pour CyberArk. By example, il suffit d’une once de subtilité dans la tournure de la question – en assurant par example qu’on est un enseignant en sécurité informatique qui veut soumettre à ses étudiants un example de virus – pour pousser ChatGPT a produire ledit code malicieux , a constaté l’un des experts interrogés par France 24. En outre, il existe déjà sur les forums russophones, des cybercriminals qui proposed des solutions pour déjouer l’interdiction geographique.
Si the event of ChatGPT suscite un tel interêt dans la communauté des pirates informatiques, ce n’est pas seulement parce qu’il peut aider une nouvelle generation of cybercriminals à mûrir. Cet outil peut s’avérer tout aussi utility aux pirates informatiques plus aguerris. “We avons réussi à l’utiliser pour mettre au point un virus polymorphe”, c’est-à-dire qui peut changer de form pour le rendre plus difficile à détecter, I assure Eran Shimony, qui va publisher les résultats de ses recherches en The deceased will be born on January 17th.
Certains l’utilisent pour des nouvelles formes d’arnaques en ligne. Its mélangent la prose de ChatGPT avec la touche artistique d’autres IA – comme Dall-E, qui transforme des textes en peinture numérique – “pour les vendre ensuite sur des sites marchands like Etsy. These fausses œuvres ont déjà rapporté jusqu’à 9 000 dollars”, a constituent Sergey Shykevich, expert at Check Point.
And this is not what he started. “ChatGPT va évoluer et probablement devenir plus perfectionné”, assures Eran Shimony. This out, qui pour l’instant ne peut pas faire ses propres recherches sur Internet, devrait finir par être relié au réseau, ce qui ouvrira d’autres perspectives. By example, he poured out all the others with more rapidity that he didn’t understand how many of his failures informatiques. “Il va y avoir un délai beaucoup plus court entre la découverte des vulnerabilities des logiciels et leur exploitation by des acteurs malveillants”, este John Fokker.
D’un autre côté, ChatGPT pourra also servir à mieux se défendre contre les attaques informatiques. Et les interrogés n’excluent pas un proche avenir dans lequel des cybercriminals armes de ChatGPT affrontent des systèmes de défense dotés de ChatGPT.
.