par Depuis ses débuts en novembre, ChatGPT est devenu le nouveau jouet préféré d’Internet. L’outil de traitement du langage naturel basé sur l’IA a rapidement rassemblé plus d’un million d’utilisateurs, qui ont utilisé le chatbot basé sur le Web pour tout, de la génération discours de mariage et des paroles hip-hop à la rédaction d’essais académiques et à l’écriture de code informatique.
Non seulement les capacités humaines de ChatGPT ont pris d’assaut Internet, mais elles ont également mis un certain nombre d’industries sur les nerfs : une école de New York a interdit ChatGPT par crainte que les étudiants ne l’utilisent pour tricher, les rédacteurs ont déjà été remplacéet les rapports affirment que Google est tellement alarmé par les capacités de ChatGPT qu’il a émis un “code rouge” pour assurer la survie de l’activité de recherche de l’entreprise.
Il semble que l’industrie de la cybersécurité, une communauté qui a longtemps été sceptique quant aux implications potentielles de l’IA moderne, en prend également note, au milieu des craintes que ChatGPT puisse être abusé par des pirates disposant de ressources limitées et de connaissances techniques nulles.
Quelques semaines seulement après le lancement de ChatGPT, la société israélienne de cybersécurité Check Point a démontré comment le chatbot basé sur le Web, lorsqu’il est utilisé en tandem avec le système d’écriture de code d’OpenAI, Codex, pouvait créer un e-mail de phishing capable de transporter une charge utile malveillante. Le responsable du groupe de renseignement sur les menaces de Check Point, Sergey Shykevich, a déclaré à TechCrunch qu’il pensait que des cas d’utilisation comme celui-ci illustraient que ChatGPT avait le “potentiel de modifier considérablement le paysage des cybermenaces”, ajoutant qu’il représentait “un autre pas en avant dans l’évolution dangereuse de plus en plus sophistiqués et efficaces”. cybercapacités.
TechCrunch a également pu générer un e-mail de phishing d’apparence légitime à l’aide du chatbot. Lorsque nous avons demandé à ChatGPT de créer un e-mail de phishing pour la première fois, le chatbot a refusé la demande. “Je ne suis pas programmé pour créer ou promouvoir des contenus malveillants ou nuisibles”, a répondu une invite. Mais réécrire légèrement la demande nous a permis de contourner facilement les barrières de sécurité intégrées du logiciel.
De nombreux experts en sécurité auxquels TechCrunch s’est entretenu pensent que la capacité de ChatGPT à écrire des e-mails de phishing à consonance légitime – le principal vecteur d’attaque pour les ransomwares – verra le chatbot largement adopté par les cybercriminels, en particulier ceux qui ne sont pas de langue maternelle anglaise.
Chester Wisniewski, chercheur principal chez Sophos, a déclaré qu’il était facile de voir ChatGPT être abusé pour “toutes sortes d’attaques d’ingénierie sociale” où les auteurs veulent apparaître pour écrire dans un anglais américain plus convaincant.
“Au niveau de base, j’ai pu écrire d’excellents leurres de phishing avec, et je pense qu’il pourrait être utilisé pour avoir des conversations interactives plus réalistes pour la compromission des e-mails professionnels et même des attaques sur Facebook Messenger, WhatsApp ou d’autres applications de chat, “, a déclaré Wisniewski à TechCrunch.
“En fait, obtenir des logiciels malveillants et les utiliser n’est qu’une petite partie du travail de merde qui fait d’être un cybercriminel de bas niveau.” Le Grugq, chercheur en sécurité
L’idée qu’un chatbot puisse écrire un texte convaincant et des interactions réalistes n’est pas si farfelue. “Par exemple, vous pouvez demander à ChatGPT de faire semblant d’être un médecin généraliste, et il générera un texte réaliste en quelques secondes”, a déclaré Hanah Darley, qui dirige la recherche sur les menaces chez Darktrace, à TechCrunch. “Il n’est pas difficile d’imaginer comment les acteurs de la menace pourraient utiliser cela comme multiplicateur de force.”
Check Point a également récemment sonné l’alarme sur la capacité apparente du chatbot à aider les cybercriminels à écrire du code malveillant. Les chercheurs disent avoir été témoins d’au moins trois cas où des pirates sans compétences techniques se sont vantés d’avoir exploité l’intelligence artificielle de ChatGPT à des fins malveillantes. Un pirate informatique sur un forum Web sombre a présenté un code écrit par ChatGPT qui aurait volé des fichiers d’intérêt, les a compressés et les a envoyés sur le Web. Un autre utilisateur a publié un script Python, qui, selon lui, était le premier script qu’il ait jamais créé. Check Point a noté que même si le code semblait bénin, il pouvait “facilement être modifié pour chiffrer complètement la machine de quelqu’un sans aucune interaction de l’utilisateur”. Le même utilisateur du forum a précédemment vendu l’accès aux serveurs piratés de l’entreprise et aux données volées, a déclaré Check Point.
À quel point cela pourrait-il être difficile ?
Le Dr Suleyman Ozarslan, chercheur en sécurité et co-fondateur de Picus Security, a récemment démontré à TechCrunch comment ChatGPT a été utilisé pour écrire un leurre de phishing sur le thème de la Coupe du monde et écrire du code de ransomware ciblant macOS. Ozarslan a demandé au chatbot d’écrire du code pour Swift, le langage de programmation utilisé pour développer des applications pour les appareils Apple, qui pourrait trouver des documents Microsoft Office sur un MacBook et les envoyer via une connexion cryptée à un serveur Web, avant de crypter les documents Office sur le MacBook. .
“Je n’ai aucun doute que ChatGPT et d’autres outils comme celui-ci démocratiseront la cybercriminalité”, a déclaré Ozarslan. “C’est déjà assez grave que le code du rançongiciel soit déjà disponible pour que les gens puissent l’acheter ‘prêt à l’emploi’ sur le dark web, maintenant pratiquement n’importe qui peut le créer lui-même.”
Sans surprise, la nouvelle de la capacité de ChatGPT à écrire du code malveillant a fait froncer les sourcils dans l’industrie. Il a également été constaté que certains experts s’efforçaient de dissiper les inquiétudes selon lesquelles un chatbot d’IA pourrait transformer des hackers en herbe en cybercriminels à part entière. Dans un article sur Mastodon, le chercheur indépendant en sécurité The Grugq s’est moqué des affirmations de Check Point selon lesquelles ChatGPT “super chargera les cybercriminels qui ne savent pas coder”.
« Ils doivent enregistrer des domaines et maintenir l’infrastructure. Ils doivent mettre à jour les sites Web avec de nouveaux contenus et tester que les logiciels qui fonctionnent à peine continuent de fonctionner à peine sur une plate-forme légèrement différente. Ils doivent surveiller la santé de leur infrastructure et vérifier ce qui se passe dans les actualités pour s’assurer que leur campagne n’est pas dans un article sur les “5 phishing les plus embarrassants”, a déclaré The Grugq. “En fait, obtenir des logiciels malveillants et les utiliser n’est qu’une petite partie du travail de merde qui fait d’être un cybercriminel de bas niveau.”
Certains pensent que la capacité de ChatGPT à écrire du code malveillant a un résultat.
“Les défenseurs peuvent utiliser ChatGPT pour générer du code pour simuler des adversaires ou même automatiser des tâches pour faciliter le travail. Il a déjà été utilisé pour une variété de tâches impressionnantes, y compris l’éducation personnalisée, la rédaction d’articles de journaux et l’écriture de code informatique », a déclaré Laura Kankaala, responsable des renseignements sur les menaces chez F-Secure. “Cependant, il convient de noter qu’il peut être dangereux de faire entièrement confiance à la sortie du texte et du code générés par ChatGPT – le code qu’il génère pourrait avoir des problèmes de sécurité ou des vulnérabilités. Le texte généré pourrait également contenir des erreurs factuelles pures et simples », a ajouté Kankaala, mettant en doute la fiabilité du code généré par ChatGPT.
Jake Moore d’ESET a déclaré à mesure que la technologie évolue, “si ChatGPT apprend suffisamment de ses entrées, il pourrait bientôt être en mesure d’analyser les attaques potentielles à la volée et de créer des suggestions positives pour améliorer la sécurité”.
Ce ne sont pas seulement les professionnels de la sécurité qui sont en conflit sur le rôle que ChatGPT jouera dans l’avenir de la cybersécurité. Nous étions également curieux de voir ce que ChatGPT avait à dire de lui-même lorsque nous avons posé la question au chatbot.
“Il est difficile de prédire exactement comment ChatGPT ou toute autre technologie sera utilisée à l’avenir, car cela dépend de la manière dont elle est mise en œuvre et des intentions de ceux qui l’utilisent”, a répondu le chatbot. “En fin de compte, l’impact de ChatGPT sur la cybersécurité dépendra de la façon dont il est utilisé. Il est important d’être conscient des risques potentiels et de prendre les mesures appropriées pour les atténuer.
