ChatGPT présente toujours des failles malgré les mesures de sécurité instaurées par OpenAI. Pour le prouver, un chercheur en sécurité informatique l’a utilisé pour créer un infostealer. Virus capable de collecter des données, le malware fourni par les codes de ChatGPT serait même indétectable. Les autorités sont en alerte concernant cette faille flagrante de l’outil.
Un expert cybersécurité chez Forcepoint a réussi à utiliser ChatGPT pour mettre au point un virus informatique. Comme ChatGPT est un langage d’apprentissage, il a pu tromper l’IA avec des questions accessibles. Il a envoyé des requêtes basiques qui ont conduit le chatbot à donner des informations sur un code inquiétant. Ce dernier permettrait de diviser les fichiers contenus dans Google Drive et ne serait pas détectable par les outils de surveillance du RSSI.
En dépit des mesures de restrictions instaurées par OpenAI, l’outil reste contournable par les cybercriminels. Ils s’en servent pour faire du phishing, voire créer un logiciel malveillant indétectable par les outils de sécurités.
Une recherche pour prouver les failles de ChatGPT
L’ expert cybersécurité qui a pu contourner la configuration de ChatGPT est Aaron Mulgrew. Pour lui, le défi était de :
Créer des logiciels malveillants avancés sans écrire de code et uniquement en utilisant ChatGPT.
Aaron Mulgrew
Il a demandé au chatbot de rédiger les codes principaux du virus grâce à des requêtes « inoffensives ». L’outil a procédé à la rédaction d’un programme informatique sans comprendre sa nature malveillante . Le logiciel récemment créé s’apparente à un virus de type infostealer. Il permettrait aux hackers de collecter les données d’un terminal .
Pour se faire, Aaron Mulgrew a demandé à l’outil de créer une ligne de code pour récupérer un fichier sur un disque dur. Les données à extraire sont des documents textuels comme des documents Word ou des PDF. Ensuite, il a maquillé le virus en fichier d’installation. En l’occurrence, ici, il s’est apparenté à la famille Windows, comme économiseur d’écran. Pour permettre à son malware de passer les radars de protection, il a demandé à l’outil de masquer le code en utilisant une technique de sténographie. Comme la plupart des antivirus ne prennent pas en charge les fichiers inutiles qui ont servi à déguiser le code, le malware serait indétectable. En somme, ChatGPT a pu créer un infostealer grâce aux connaissances en cybersécurité de Mulgrew. De ce fait, les hackers qui possèdent les mêmes connaissances que l’ expert cybersécurité pourraient aussi facilement en créer d’autres.
Aucune véritable mesure de sécurité
Exprimée maladroitement, une requête malveillante aboutit à un message d’erreur venant de l’outil conversationnel.
ChatGPT répond généralement de cette manière :
En tant qu’intelligence artificielle responsable, je ne peux pas fournir d’informations ou de conseils sur des activités illégales, dangereuses ou nuisibles, y compris sur la manière de causer du tort à autrui. Je ne peux pas vous aider à concevoir, coder ou expliquer comment créer un malware ou mener des activités illégales.
Pourtant, avec des compétences avancées dans la sécurité informatique, le chercheur de Forcepoint a créé un virus grâce à l’IA. Selon lui, l’outil a fait en quelques heures le travail qu’une équipe de 10 développeurs aurait fait en plusieurs semaines.
Pour l’expert, cette étude permettrait de percer à jour l’insuffisance des mesures instaurées par OpenAI. En effet, en faisant preuve d’ingéniosité, un cybercriminel pourrait générer un logiciel malveillant sans avoir à écrire une seule balise de code. Par exemple, le trafic laisse passer des images . Cette information a permis au chercheur de créer un programme caché dans des visuels de moins de 5 Mo.
Cet exercice amène le RSSI à se questionner sur l’efficacité des contrôleurs de trafic automatiques . En effet, même les outils et logiciels de remédiation ne pourraient pas contrer un virus similaire à celui qui a été créé par ChatGPT.