Le chatbot doté d’une intelligence artificielle qui a séduit la communauté technologique peut également être manipulé pour aider les cybercriminels à perfectionner leurs stratégies d’attaque.
Pourquoi cela est important : L’arrivée de l’outil ChatGPT d’OpenAI le mois dernier pourrait permettre aux escrocs à l’origine d’attaques de phishing par courriel et par texte, ainsi qu’aux groupes de logiciels malveillants, d’accélérer le développement de leurs stratagèmes.
- Ces dernières semaines, plusieurs chercheurs en cybersécurité ont réussi à faire en sorte que le générateur de texte activé par l’IA écrive des courriels de phishing ou même du code malveillant pour eux.
Le tableau d’ensemble : Avant l’arrivée de ChatGPT, les hackers malveillants étaient déjà très doués pour intégrer des tactiques plus humaines et difficiles à détecter dans leurs attaques.
- L’année dernière, Uber a été confronté à une violation de grande envergure après qu’un pirate se soit fait passer pour un membre du personnel informatique de la société et ait demandé l’accès aux comptes d’un employé.
- Et souvent, les pirates peuvent obtenir un accès par le biais de simples défaillances informatiques, comme le piratage du compte d’entreprise toujours actif d’un ancien employé.
Comment cela fonctionne-t-il ? ChatGPT accélère le processus pour les pirates en leur donnant une rampe de lancement – bien que les réponses ne soient pas toujours parfaites.
- Le mois dernier, des chercheurs de Check Point Research ont déclaré avoir reçu un « e-mail de phishing plausible » de ChatGPT après avoir demandé directement au chatbot d' »écrire un e-mail de phishing » provenant d’un « service d’hébergement Web fictif »
- Les chercheurs d’Abnormal Security ont adopté une approche moins directe, demandant à ChatGPT d’écrire un e-mail « qui a une forte probabilité d’inciter le destinataire à cliquer sur un lien. »
L’intrigue : Bien qu’OpenAI ait implémenté quelques avertissements de modération de contenu dans le chatbot, les chercheurs trouvent qu’il est facile de contourner le système actuel et d’éviter les pénalités.
- Dans l’exemple de Check Point Research, ChatGPT a seulement donné aux chercheurs un avertissement disant que cela « peut violer notre politique de contenu » – mais il a quand même partagé une réponse.
- Les questions des chercheurs d’Abnormal Security n’ont pas été signalées car elles ne demandaient pas explicitement à ChatGPT de participer à un crime.
Oui, mais : Les utilisateurs doivent avoir une connaissance de base du codage et du lancement d’attaques pour comprendre ce que ChatGPT fait bien et ce qui doit être modifié.
- Lors de l’écriture du code, certains chercheurs ont constaté qu’ils devaient demander à ChatGPT de corriger des lignes ou d’autres erreurs qu’ils avaient repérées.
- Un porte-parole d’OpenAI a déclaré à Axios que ChatGPT est actuellement un avant-goût de recherche et que l’organisation cherche constamment des moyens d’améliorer le produit pour éviter les abus.
Entre les lignes : Les organisations avaient déjà du mal à repousser les attaques les plus basiques – y compris celles dans lesquelles les pirates utilisent un mot de passe volé ayant fuité en ligne pour se connecter à des comptes. Les outils dotés de l’IA comme ChatGPT pourraient ne faire qu’exacerber le problème.
Conclusion : Les défenseurs du réseau et les équipes informatiques doivent redoubler d’efforts pour détecter les courriels et les messages de phishing afin de stopper net ce type d’attaques.