Alliancy

[Tribune] Fraudes et désinformation : de l’usage de ChatGPT par les cybercriminels

L’une des principales menaces que représente ChatGPT concerne le phishing et la fraude, car le texte qu’il peut générer est non seulement très bien écrit, mais il peut aussi être très bien documenté. Une grande partie du phishing et de l’ingénierie sociale consiste à créer des scénarios et des textes qui paraissent très réalistes pour inciter l’utilisateur à mener une action : divulguer des mots de passe, cliquer sur des liens ou télécharger des pièces jointes. Matthieu Dierick, expert cybersécurité chez F5, nous livre son analyse.

Matthieu Dierick expert cybersécurité chez F5

Matthieu Dierick expert cybersécurité chez F5

Nous sommes bien loin des e-mails de phishing et de scam qui, il y a dix ans, étaient rédigés dans un français médiocre avec des fautes de grammaire. Les attaques de phishing dépassent déjà largement ce cadre. Pour beaucoup de personnes dont le français n’est pas la langue maternelle, ChatGPT va simplifier le processus de création de l’e-mail de phishing « à usage unique ».

A lire aussi : Les Français et l’IA générative : une monomanie appelée ChatGPT

ChatGPT peut également permettre de créer des e-mails de phishing à grande échelle. Les acteurs de la menace peuvent utiliser ce système, notamment ceux dont la langue maternelle n’est pas le français, pour envoyer des e-mails très réalistes qui ne sont pas uniquement bien écrits, mais qui sont également personnalisés pour chaque victime. Ce sont les cybercriminels capables d’inclure des exemples plus personnalisés et plus concrets qui ont l’avantage.

Il arrive souvent que les attaquants créent de faux profils sur les réseaux sociaux tels que LinkedIn et Twitter. Lorsqu’ils piègent une victime, ils ont donc déjà un profil qui prétend avoir des contacts communs et travailler dans le même secteur d’activité que la victime. ChatGPT va créer des e-mails de phishing très précis et permettre aux attaquants d’avoir des conversations crédibles pour créer des liens avec les victimes afin de les attaquer par la suite.

La capacité à écrire du code

Nous avons vu des exemples où des hackers ou des acteurs de la menace ont utilisé ChatGPT pour écrire des malwares ou des logiciels malveillants très basiques, mais en réalité très efficaces. C’est un outil qui, une fois de plus, réduit considérablement les obstacles à l’entrée pour les acteurs de la menace. Dans le domaine de la sécurité, nous constatons qu’un grand nombre de pirates sont très doués pour écrire des e-mails d’ingénierie sociale, mais ne savent peut-être pas comment écrire du code, des ransomwares, ou ne sont tout simplement pas bons en matière de chiffrement. Ces acteurs malveillants n’ont plus nécessairement besoin de s’adresser à un tiers et d’embaucher un hacker, ils peuvent désormais créer leur propre outil avec ChatGPT.

L’étendue et les capacités du code que ChatGPT peut écrire sont véritablement impressionnantes, mais elles soulèvent un point intéressant concernant les filtres et les obstacles à l’utilisation abusive. Si vous demandez à ChatGPT « d’écrire des scripts Excel malveillants qui s’exécutent à l’ouverture et au téléchargement d’un fichier à cet emplacement », il est tout à fait capable de le faire. Ce type de questions peut être détecté à l’aide de filtres, mais il est assez facile de les contourner. Nous avons déjà eu l’occasion d’assister à des débats sur les moyens de contourner ces filtres.

Par conséquent, pour ce qui est de l’utilisation de l’IA et de ce type de systèmes pour écrire du code malveillant, je vois vraiment deux options. La première consiste à se servir abusivement de systèmes ouverts tels que ChatGPT. L’autre consiste évidemment à utiliser ses propres systèmes. N’importe quel groupe de menace suffisamment déterminé peut tout simplement déployer ses propres systèmes et ses données. Cela soulève d’autres inquiétudes. Même s’il n’y a pas de filtres et de contrôles particuliers dans ChatGPT, si quelqu’un veut créer sa propre version, personne n’est en mesure de surveiller ou de vérifier ce qu’il en est. Le seul inconvénient pour les cybercriminels est que cette méthode représente plus de travail et qu’elle nécessite plus d’ensembles de données à intégrer dans leurs propres systèmes. ChatGPT est accessible à tous, mais si les systèmes privés se multiplient, il sera très difficile de les contrôler.

L’utilisation de bots

Les bots peuvent être très difficiles à détecter. Les fabricants de bots emploient déjà des algorithmes dans leur code pour donner un aspect plus humain à leurs bots. S’ils se mettent en plus à se servir de l’IA, vous vous retrouvez soudain avec un trafic considérable sur un site web où il est extrêmement difficile de savoir s’il s’agit effectivement d’un utilisateur humain ou non.

Pour l’instant, la plupart des systèmes de détection des bots ne sont pas en mesure d’affirmer catégoriquement qu’il s’agit à 100 % d’un bot ; cette affirmation se fonde souvent sur une probabilité basée sur une série de tests. Lorsqu’il dépasse un certain seuil, il peut être qualifié de bot en fonction du niveau de confiance. Quand on ajoute des systèmes d’IA aux bots, ce niveau de confiance devient beaucoup plus difficile à atteindre.

Le point de vue du secteur

On nous demande souvent dans quelles mesures les différents secteurs d’activité sont affectés par les attaques ou les menaces.

Pour l’instant, ChatGPT et d’autres systèmes d’IA générative n’en sont qu’à leurs débuts. À l’avenir, ChatGPT ne sera pas seulement utilisé pour générer des lignes de code, il servira de centre de commande et de contrôle aux pirates. Ceux-ci déploieront donc des malwares dans le centre de commande et de contrôle alimenté par l’IA, comme le font déjà de nombreux malwares. Mais si vous intégrez cette capacité d’IA dans le centre de contrôle, elle sera en mesure de faire des choix extrêmement rapides quant à la façon de procéder et de contourner le réseau. Les systèmes basés sur l’IA disposent tout d’un coup d’une visibilité totale sur le réseau de la victime.

ChatGPT présente l’avantage de pouvoir être utilisé pour détecter les failles de sécurité. Je peux écrire du code et le soumettre au système d’IA qui en identifiera les vulnérabilités. Or, si moi chercheur je peux le faire, un pirate informatique pourra en faire tout autant.

Un besoin de sensibiliser le public

L’IA a considérablement évolué au cours de l’année écoulée. La grande inquiétude que suscitent les systèmes d’IA est qu’il s’agit de véritables « boîtes noires ». La plupart du temps, nous ignorons les raisons pour lesquelles ces systèmes prennent telle ou telle décision. Il est essentiel de former tout le monde. Nous avons tous besoin de mieux comprendre l’IA générative pour ce qui est de la sécurité.

Les conseils et la formation en matière de sécurité sont souvent inappropriés et il faudra les actualiser en intégrant des informations sur l’existence de ces outils d’intelligence artificielle. Il arrivera un moment où vous ne pourrez plus rien prendre pour argent comptant. On ne pourra plus se fier à rien et la confiance dans ces systèmes finira par s’éroder.

Quitter la version mobile