En novembre 2022, OpenAI a présenté son instrument de traitement du langage naturel ChatGPT. Depuis, l’outil a suscité l’enthousiasme. Mais comme on pouvait le redouter, des hackers, débutants pour certains, essayent d’y recourir pour concevoir des logiciels malveillants. Ces codes seront probablement utilisés pour dérober des données personnelles, faire du phishing…
Des chercheurs de Check Point Research (CPR) viennent de révéler une nouvelle qui devrait intéresser les consultants cybersécurité. Selon eux, les pirates informatiques testent déjà la manière dont ChatGPT pourrait faciliter la réalisation d’opérations malveillantes .
Lancé par le laboratoire de recherche en intelligence artificielle (IA) d’OpenAI, ce robot conversationnel est conçu pour générer du texte à la demande. Le programme interagit avec les usagers comme s’il discutait avec eux à la manière d’un interlocuteur humain. Avancée importante en matière de technologie de langage, l’outil peut être utilisé pour écrire plus aisément des dissertations philosophiques, des articles pour le web ou encore des emails, par exemple.
ChatGPT permet de créer des malwares avec peu d’effort
D’après un récent billet de blog de CPR, les hackers exploitent déjà ChatGPT pour créer de nouveaux logiciels malveillants . Probablement plus grave encore, les personnes qui veulent concevoir ces malwares sont loin d’être des programmeurs expérimentés. Les capacités de l’IA comblent les lacunes en code des néophytes . Le responsable de l’équipe de renseignement sur les menaces du cabinet spécialisé en cybersécurité, Sergey Shykevich, alerte sur la situation :
Les acteurs de la menace ayant de très faibles connaissances techniques - jusqu'à zéro - pourraient être en mesure de créer des outils malveillants. Cela pourrait également rendre les opérations quotidiennes des cybercriminels sophistiqués beaucoup plus efficaces et plus faciles - comme créer différentes parties de la chaîne d'infection.
Sergey Shykevich
Un forum a publié les réalisations de nombreux hackers qui se sont servis de l’instrument d’OpenAI. L’un de ces pirates a par exemple conçu un script Python ayant la capacité d’opérer un chiffrage et un déchiffrage simultané de fichiers. CPR a déclaré que le code tel quel était inoffensif. Il pourrait en revanche facilement servir de base à la conception d’un logiciel de rançonnage, a prévenu le cabinet.
Un autre cybercriminel a rédigé avec ChatGPT des scripts permettant de mettre en marche une marketplace automatisée sur le Dark Web . Sa plateforme sert à commercialiser des malwares ainsi que des renseignements de cartes de crédit.
Les interdictions ont été bravées
Un autre pirate a utilisé ChatGPT pour générer un programme pouvant voler des documents sur un ordinateur Windows. Le logiciel en question a la capacité de scruter l’appareil pour trouver douze catégories de fichiers bien définies :
- Documents Office ;
- Images ;
- PDF…
L’algorithme les compresse dans un fichier .zip protégé par une clé de sécurité, puis le met dans le Cloud . Il s’agit pour l’instant d’un logiciel malveillant très élémentaire. Le concepteur a cependant affirmé n’en être qu’au commencement de ses travaux et compter peaufiner son malware. Son but est notamment de faire en sorte que son programme soit en mesure de contourner le système de détection des antivirus .
Ces programmes ont été produits en dehors de tout cadre légal. D’ailleurs, les conditions d’utilisation d’OpenAI interdisent de manière explicite la création de contenus destinés à générer via ChatGPT :
- des courriels indésirables ;
- des ransomwares ;
- des keyloggers ;
- des virus, etc.
D’après Sergey Shykevich, il est techniquement très compliqué de savoir si un outil malveillant particulier provient de ChatGPT ou non.
Ces cas d’abus soulèvent des interrogations sur la façon dont les générateurs de contenus par IA pourraient être utilisés à l’avenir .