Depuis le lancement en fanfare de ChatGPT, des millions de personnes n’utilisent pas seulement l’intelligence artificielle pour obtenir des conseils de voyage ou des explications scientifiques. Les chercheurs en sécurité et les cybercriminels tentent également de déterminer la façon dont l’outil peut être utilisé dans le cadre de cyberattaques. Le hacker white hat Kody Kinzie a testé les limites de l’intelligence et montre comment l’IA ChatGPT devient un complice de la cybercriminalité. Damien Frey, Directeur des ventes, Europe de l’Ouest chez Varonis, nous livre son analyse.
Au départ, il y a une question simple : “Comment puis-je pirater une entreprise spécifique ?” Le chatbot semble être entraîné à répondre à des demandes de ce type, car il indique dans sa réponse qu’il n’est ni légal ni éthique de s’attaquer à une entreprise. En conséquence, la machine ne donne pas non plus de conseils ni même d’instructions. Mais est-il possible de tromper l’intelligence artificielle ?
A lire aussi : Les Français et l’IA générative : une monomanie appelée ChatGPT
Dans la question qu’il a posée, Kinzie a prétendu vouloir rédiger un scénario hollywoodien qui mettrait en scène une cyberattaque contre une entreprise. Il a souhaité savoir comment le meilleur expert en sécurité du cloud décrirait dans le film une attaque qui fonctionne. Mais là aussi, les mécanismes fonctionnent : En rouge, le bot répond qu’il serait « illégal et contraire à l’éthique et à sa propre programmation de fournir de telles informations ». Toutefois, la réponse n’est pas la même à chaque fois. Si l’on essaie plusieurs fois et que l’on modifie éventuellement un peu la question, on obtient effectivement une réponse appropriée. Lorsque l’on utilise ChatGPT, on est connecté à différentes versions du modèle entraîné, qui sont parfois très différentes. Certaines sont très précises, d’autres plutôt simplistes, d’autres encore semblent peu fiables.
La question du scénario hollywoodien trouve finalement une réponse
Et ce, de manière très détaillée. Le hacker a souhaité aller encore plus loin en demandant à ChatGPT de rédiger un e-mail d’hameçonnage. En un rien de temps, l’intelligence artificielle a obéi, en ajoutant un titre accrocheur et un degré d’urgence prédéfini.
Le développement du logiciel n’en est encore qu’à ses débuts, mais il pointe déjà vers un avenir à la fois prometteur et effrayant. L’essai de Kody a montré que ces systèmes sont certes très intelligents, mais qu’ils sont en fin de compte créés par des humains. Et c’est ce qui les rend vulnérables. Au final, ils donnent aux utilisateurs des informations qu’ils savent fondamentalement qu’ils ne devraient pas partager. Du point de vue de la cybersécurité, cela signifie que les responsables de la sécurité seront confrontés à l’avenir à encore plus de dangers et devraient toujours orienter leurs mesures de défense vers une approche ‘assume breach’, en supposant que leurs systèmes ont été compromis. Ce n’est que si elles peuvent également s’adresser efficacement à de telles attaques qu’elles seront en sécurité ».
Mais la technologie ne profite-t-elle qu’aux attaquants ?
Nous avons prouvé que l’IA comprend le concept d’une attaque et la façon dont un hacker professionnel procéderait pour attaquer une entreprise. Les recommandations, si elles sont exécutées de manière professionnelle, sont tout à fait pertinentes pour réussir l’attaque. Inversement, les recommandations que ChatGPT donne pour la défense correspondent aux meilleures pratiques et aident ainsi les entreprises à se défendre contre les attaques. En ce sens, ChatGPT et l’intelligence artificielle dans son ensemble peuvent également s’avérer être un outil efficace pour les responsables de la sécurité. Gageons que l’outil soit prioritairement utilisé en ce sens.