Retour à la réalité : ChatGPT est-il vraiment la prochaine grande menace pour la cybersécurité ?
Lorsque OpenAI a publié ChatGPT en novembre, les programmeurs ont été stupéfaits de découvrir que le chatbot alimenté par l’intelligence artificielle pouvait non seulement imiter une grande variété de discours humains, mais pouvait également écrire du code. Dans les jours qui ont suivi sa sortie, les programmeurs posté aux yeux sauvages exemples de ChatGPT produisant un code assez compétent. Depuis enchaîner les services cloud pour portage de python vers RustChatGPT a montré une compétence remarquable dans au moins certaines tâches de programmation de base.
Mais séparer le battage médiatique de la réalité en ce qui concerne ChatGPT n’est pas une mince affaire. Ses capacités de codage ont inspiré une série de gros titres surchauffés – « ChatGPT est une plus grande menace pour la cybersécurité que la plupart ne le pensent », par exemple – sur sa capacité à écrire des logiciels malveillants et ont laissé les pirates chevronnés se demander dans quelle mesure les grands modèles de langage peuvent vraiment être utilisé pour le piratage malveillant.
Marcus Hutchins, le hacker au chapeau noir devenu chapeau blanc, a fait la une des journaux en 2017 pour avoir stoppé la propagation du rançongiciel WannaCry, et compte tenu de son expérience dans l’écriture de chevaux de Troie bancaires dans une vie passée, s’est compté parmi les curieux concernant les capacités de ChatGPT. Il s’est demandé : le chat-bot pourrait-il être utilisé pour écrire des logiciels malveillants ?
Les résultats ont été décevants. « J’ai été légitimement un développeur de logiciels malveillants pendant une décennie et il m’a fallu trois heures pour obtenir un morceau de code fonctionnel – et c’était en python », a déclaré Hutchins, largement connu sous son surnom en ligne MalwareTech, à CyberScoop dans une interview.
Après des heures de bricolage, Hutchins a pu générer des composants d’un programme de ransomware – une routine de chiffrement de fichiers – mais en essayant de combiner ce composant avec d’autres fonctionnalités nécessaires pour créer un logiciel malveillant à part entière, ChatGPT a échoué de manière sophomorique, demandant à ouvrir un fichier après avoir tenté de l’ouvrir. Et lorsqu’il essayait de combiner divers composants, ChatGPT échouait généralement.
Ces types de problèmes de commande rudimentaires illustrent les lacunes des systèmes d’IA générative tels que ChatGPT. Bien qu’ils soient capables de créer un contenu extrêmement similaire aux données sur lesquelles ils sont formés, les grands modèles de langage manquent souvent des outils de correction d’erreurs et des connaissances contextuelles qui constituent l’expertise réelle. Et au milieu des réactions étonnées à ChatGPT, les limites de l’outil sont souvent perdues.
Si vous croyez le battage médiatique, il y a peu de choses que ChatGPT ne perturbera pas. Du travail en col blanc à la dissertation universitaire, en passant par les examens professionnels et, oui, même le développement de logiciels malveillants aux mains de pirates ordinaires, tous sont sur le point d’être obsolètes. Mais ce battage médiatique obscurcit la manière dont des outils tels que ChatGPT sont susceptibles d’être déployés – non pas en remplacement de l’expertise humaine, mais en tant qu’assistants.
Dans les semaines qui ont suivi la sortie de ChatGPT, les sociétés de cybersécurité ont publié une multitude de rapports démontrant que le bot pourrait être utilisé pour écrire du code malveillant, faisant la une des journaux accrocheurs sur la capacité de ChatGPT, par exemple, à écrire des « malwares polymorphes ». Mais ces rapports ont tendance à occulter le rôle des auteurs experts en incitant le modèle à écrire et, surtout, à corriger le code qu’il génère.
En décembre, des chercheurs de Checkpoint ont démontré comment ChatGPT pouvait potentiellement créer une campagne de logiciels malveillants du début à la fin, de la création d’un e-mail de phishing à l’écriture de code malveillant. Mais la génération de code complet nécessitait d’inciter le modèle à prendre en compte des éléments auxquels seul un programmeur expert penserait, comme l’ajout de fonctionnalités pour détecter un bac à sable et vérifier si une fonctionnalité est ouverte à l’injection SQL.
« L’attaquant doit savoir exactement ce qu’il veut et pouvoir spécifier la fonctionnalité », a déclaré Sergey Shykevich, chercheur à Checkpoint. « Le simple fait d’écrire » écrire un code pour les logiciels malveillants « ne produira rien de vraiment utile. »
Pour les pirates tels que Hutchins, savoir quelles questions poser est la moitié de la bataille en essayant d’écrire un logiciel, et une grande partie de la presse autour de ChatGPT en tant qu’outil de programmation peut manquer l’expertise que les chercheurs apportent à la conversation lorsqu’ils demandent à ChatGPT de les aider. développement de logiciels, ou « dev. »
« Les gens qui comprennent le développement le montrent en train de le faire, puis ils ne réalisent pas à quel point ils contribuent », déclare Hutchins. « Une personne sans expérience en programmation ne saura même pas quelles invites lui donner. »
Pour l’instant, ChatGPT reste un outil parmi d’autres dans le kit de développement de logiciels malveillants. Dans un rapport publié la semaine dernière, la société de renseignement sur les menaces Recorded Future a trouvé plus de 1 500 références sur le dark web et dans des forums fermés à l’utilisation de ChatGPT dans le développement de logiciels malveillants et la création de code de preuve de concept. Mais le rapport note qu’une grande partie de ce code est accessible au public et que la société s’attend à ce que ChatGPT soit le plus utile pour « les script kiddies, les hacktivistes, les escrocs et les spammeurs, les fraudeurs de cartes de paiement et les acteurs de la menace se livrant à d’autres formes de cybercriminalité peu recommandables et peu recommandables ».
Pour les nouveaux venus dans le domaine, ChatGPT pourrait fournir une aide marginale, conclut le rapport : « ChatGPT abaisse la barrière à l’entrée pour le développement de logiciels malveillants en fournissant des exemples, des didacticiels et des ressources en temps réel aux acteurs de la menace qui ne savent peut-être pas par où commencer. .”
Dans l’ensemble, les avantages pour les pirates malveillants seront marginaux – les conseils d’introduction au piratage fournis par ChatGPT se présentent sous une forme plus accessible, mais peuvent tout aussi facilement être recherchés sur Google. Au fur et à mesure que ChatGPT et d’autres grands modèles de langage mûrissent, leur capacité à écrire du code original – à la fois néfaste et non – s’améliorera probablement, comme l’a rapporté CyberScoop en décembre. Jusque-là, plutôt que de générer des logiciels malveillants à partir de rien, des outils tels que ChatGPT sont plus susceptibles de jouer un rôle de soutien.
ChatGPT offre un moyen convaincant de créer des e-mails de phishing plus efficaces, par exemple. Pour les pirates russophones qui pourraient avoir du mal à écrire des messages cliquables en anglais natif (ou dans une autre langue cible), ChatGPT peut affiner leurs compétences en écriture. « La grande majorité des attaques proviennent d’e-mails, et la grande majorité des attaques par e-mail ne sont pas des attaques de logiciels malveillants », déclare Asaf Cidon, professeur adjoint d’informatique à l’Université de Columbia et conseiller de la société de cybersécurité Barracuda. « Ils essaient d’inciter l’utilisateur à donner ses informations d’identification ou à transférer de l’argent. » Cela, prédit Cidon, sera désormais beaucoup plus facile : « ChatGPT sera extrêmement doué pour cela. »
Mais cela représente un changement radical plutôt qu’une révolution dans le piratage. Les e-mails de phishing de haute qualité sont déjà faciles à créer – soit par l’attaquant, soit avec l’aide, disons, d’un traducteur engagé sur une plateforme de travail à la demande – mais ChatGPT peut les produire à grande échelle. ChatGPT, affirme Cidon, « réduit l’investissement requis ».
Dans une approche plus exotique, un attaquant ayant accès à une archive de courrier électronique pourrait l’utiliser pour affiner un grand modèle de langage afin de reproduire le style d’écriture d’un PDG. Former un LLM à écrire comme le patron permet de duper plus facilement les employés, a déclaré Cidon.
Mais lors de l’évaluation de l’impact de ChatGPT sur la cybersécurité plus généralement, les experts disent qu’il est important de rester concentré sur la situation dans son ensemble. L’utilisation d’un LLM dans une attaque ciblée représenterait un cas d’utilisation intéressant. Pour la plupart des cibles, cependant, ChatGPT n’améliorera probablement pas les chances de succès. Après tout, comme l’observe Drew Lohn, chercheur au Center for Security and Emerging Technology de Georgetown, « l’hameçonnage connaît déjà un tel succès qu’il ne fera peut-être pas une grande différence ».
Dans l’ensemble, des outils tels que ChatGPT sont susceptibles d’augmenter le nombre d’acteurs de menace capables. ChatGPT, selon Lohn, pourrait être utilisé « pour guider les pirates à travers le processus d’une intrusion qui n’implique peut-être même pas de nouveau logiciel malveillant. … Il existe des tonnes d’outils open source et de logiciels malveillants qui flottent ou qui sont simplement préemballés », a-t-il déclaré. « Je crains que ChatGPT ne montre plus de gens à l’utiliser. »
Là encore, dit-il, compte tenu de la rapidité avec laquelle le domaine progresse, « donnez-lui une semaine et peut-être que tout cela changera ».