Alors que le nouveau AI ChatGPT gagne en popularité, les experts en cybersécurité mettent en garde contre les utilisations malveillantes potentielles | Nouvelles de Radio-Canada
Alors que ChatGPT gagne en popularité pour sa capacité à résoudre des problèmes complexes, à rédiger des essais et à peut-être aider à diagnostiquer des conditions médicalesdes utilisations plus néfastes du chatbot sont mises au jour dans les recoins sombres d’Internet.
Depuis son lancement en version bêta publique en novembre, ChatGPT a impressionné les humains par sa capacité à imiter la rédaction de CV, la rédaction de poèmes et la réalisation de devoirs en quelques secondes.
Le programme d’intelligence artificielle, créé par OpenAI, permet aux utilisateurs de saisir une question ou une tâche, et le logiciel proposera une réponse conçue pour imiter un humain. Il s’appuie sur une énorme quantité de données connue sous le nom de grand modèle de langage qui l’aide à fournir des réponses sophistiquées aux questions et invites des utilisateurs.
Il peut également écrire du code de programmation, faisant de l’IA un gain de temps potentiel pour les développeurs de logiciels, les programmeurs et d’autres informaticiens, y compris les cybercriminels qui pourraient utiliser les compétences du bot à des fins malveillantes.
La société de cybersécurité Check Point Software Technologies déclareil a identifié des cas où ChatGPT a été invité avec succès à écrire un code malveillant susceptible de voler des fichiers informatiques, d’exécuter des logiciels malveillants, d’hameçonner pour obtenir des informations d’identification ou de chiffrer un système entier dans un schéma de ransomware.
Check Point a déclaré que les cybercriminels, dont certains semblaient avoir des compétences techniques limitées, avaient partagé leurs expériences d’utilisation de ChatGPT, et le code résultant, sur des forums de piratage clandestins.
« Nous constatons qu’il existe un certain nombre de pirates moins qualifiés ou de pirates en herbe qui utilisent cet outil pour développer un code de base de bas niveau qui est en fait suffisamment précis et suffisamment capable pour être utilisé dans des attaques de niveau très basique », Rob Falzon , responsable de l’ingénierie chez Check Point, a déclaré à CBC News.
Dans son analyse, Check Points a indiqué qu’il n’était pas clair si la menace était hypothétique ou si des acteurs malveillants utilisaient déjà ChatGPT à des fins malveillantes.
D’autres experts en cybersécurité ont déclaré à CBC News que le chatbot avait le potentiel de permettre aux pirates et escrocs expérimentés de commettre des cybercrimes plus rapidement et plus facilement, s’ils pouvaient trouver les bonnes questions à poser au bot.
REGARDER | La société de cybersécurité avertit que les criminels qui commencent à utiliser ChatGPT :
Rob Falzon, responsable de l’ingénierie chez Check Point Software Technologies, affirme que les cybercriminels ont découvert des moyens d’utiliser ChatGPT pour générer du code qui pourrait être utilisé dans des cyberattaques.
Tromper le bot
ChatGPT a des mesures de modération du contenu pour l’empêcher de répondre à certaines questions, bien qu’OpenAI prévienne que le bot « répondra parfois à des instructions nuisibles ou affichera un comportement biaisé ». Il peut également donner des « réponses plausibles mais incorrectes ou absurdes ».
Chercheurs de Check Point le mois dernier détaillé comment ils avaient simplement demandé ChatGPT pour écrire un e-mail de phishing et créer un code malveillant et le bot s’est conformé. (Aujourd’hui, une demande d’e-mail de phishing donne lieu à une conférence sur l’éthique et à une liste de moyens de se protéger en ligne.)
D’autres utilisateurs ont trouvé des moyens de tromper le bot en leur donnant des informations telles que dire à ChatGPT que ses directives et filtres avaient été désactivés, ou lui demander de terminer une conversation entre deux amis sur un sujet interdit.
Ces mesures semblent avoir été affinées par OpenAI au cours des six dernières semaines, a déclaré Hadis Karimipour, professeur agrégé et titulaire de la chaire de recherche du Canada sur les systèmes cyber-physiques sécurisés et résilients à l’Université de Calgary.
« Au début, il aurait peut-être été beaucoup plus facile pour vous de ne pas être un expert ou de n’avoir aucune connaissance [of coding], pour pouvoir développer un code pouvant être utilisé à des fins malveillantes. Mais maintenant, c’est beaucoup plus difficile », a déclaré Karimipour.
« Ce n’est pas comme si tout le monde pouvait utiliser ChatGPT et devenir un hacker. »
Possibilités d’abus
Mais elle avertit qu’il est possible que des pirates expérimentés utilisent ChatGPT pour accélérer les « tâches chronophages », comme générer des logiciels malveillants ou trouver des vulnérabilités à exploiter.
Il est peu probable que la sortie de ChatGPT soit utile pour les piratages « de haut niveau », a déclaré Aleksander Essex, professeur agrégé de génie logiciel qui dirige le laboratoire de recherche sur la sécurité et la confidentialité de l’information de l’Université Western à Londres, en Ontario.
« Il s’agira en quelque sorte de cyberattaques de qualité inférieure. Les très bonnes choses nécessitent toujours cette chose que vous ne pouvez pas obtenir avec l’IA, à savoir l’intelligence humaine, l’intuition et, franchement, la sensibilité. »
ChatGPT pourrait être un bon compagnon de débogage ; il explique non seulement le bogue mais le corrige et explique le correctif pic.twitter.com/5x9n66pVqj
Il souligne que ChatGPT est formé sur des informations qui existent déjà sur Internet ouvert, cela simplifie simplement la recherche de ces informations. Le bot peut également donner des réponses très confiantes mais complètement fausses, ce qui signifie que les utilisateurs doivent revérifier son travail, ce qui pourrait s’avérer un défi pour le cybercriminel non qualifié.
« Le code peut fonctionner ou non. Il peut être syntaxiquement valide, mais cela ne signifie pas nécessairement qu’il va s’introduire dans quoi que ce soit », a déclaré Essex. « Ce n’est pas parce qu’il vous donne une réponse qu’il est utile. »
ChatGPT a cependant prouvé sa capacité à rédiger rapidement des e-mails de phishing convaincants, qui peuvent constituer une menace plus immédiate pour la cybersécurité, a déclaré Benjamin Tan, professeur adjoint à l’Université de Calgary, spécialisé dans l’ingénierie des systèmes informatiques, la cybersécurité et l’IA.
« C’est assez facile d’attraper certains de ces e-mails parce que l’anglais est un peu bizarre. Soudain, avec ChatGPT, le type d’écriture apparaît mieux, et peut-être que nous aurons un peu plus de risques d’inciter les gens à cliquer sur les liens que vous n’êtes pas censé le faire », a déclaré Tan.
Le Centre canadien pour la cybersécurité n’a pas voulu commenter spécifiquement ChatGPT, mais a déclaré qu’il encourageait les Canadiens à être vigilants vis-à-vis de toutes les plates-formes et applications d’IA, car « les acteurs de la menace pourraient potentiellement exploiter les outils d’IA pour développer des outils malveillants à des fins néfastes », y compris pour le phishing.
Utiliser ChatGPT pour de bon
De l’autre côté de la médaille, les experts voient également le potentiel de ChatGPT pour aider les organisations à améliorer leur cybersécurité.
« Si vous êtes l’entreprise, vous avez la base de code, vous pourrez peut-être utiliser ces systèmes pour en quelque sorte auto-auditer votre propre vulnérabilité à des attaques spécifiques », a déclaré Nicolas Papernot, professeur adjoint à l’Université de Toronto, qui se spécialise dans la sécurité et la confidentialité dans l’apprentissage automatique.
« Avant, vous deviez investir beaucoup d’heures humaines pour lire une grande quantité de code afin de comprendre où se trouve la vulnérabilité. Cela ne remplace pas le [human] l’expertise, il s’agit de déplacer l’expertise de certaines tâches vers la capacité d’interagir avec le modèle, car cela aide à accomplir ces tâches spécifiques. »
REGARDER | Selon un expert, ChatGPT « abaisse la barre » pour trouver des informations :
Le chatbot ChatGPT d’OpenAI s’appuie sur des informations déjà disponibles sur Internet ouvert, il accélère simplement le processus de recherche, explique Aleksander Essex, professeur agrégé à l’Université Western de Londres, en Ontario.
En fin de compte, la sortie de ChatGPT, qu’elle soit bonne ou mauvaise, dépendra de l’intention de l’utilisateur.
« L’IA n’est pas une conscience. Elle n’est pas sensible. Ce n’est pas une chose divine », a déclaré Essex. « En fin de compte, quoi que ce soit, il tourne toujours sur un ordinateur. »
OpenAI n’a pas répondu à une demande de commentaire.
Gardant à l’esprit qu’un programme informatique ne représente pas la position officielle de l’entreprise, CBC News a tapé ses questions pour l’entreprise dans ChatGPT.
Interrogé sur les efforts d’OpenAI pour empêcher que ChatGPT ne soit utilisé par des acteurs malveillants à des fins malveillantes, ChatGPT a répondu : « OpenAI est conscient du potentiel d’utilisation de ses modèles de langage, y compris ChatGPT, à des fins malveillantes. »
OpenAI avait une équipe dédiée à la surveillance de son utilisation qui révoquerait l’accès aux organisations ou aux individus qui en abuseraient, a déclaré ChatGPT. L’équipe travaillait également avec les forces de l’ordre pour enquêter et arrêter les utilisations malveillantes.
« Il est important de noter que même avec ces efforts, il est impossible d’empêcher complètement les mauvais acteurs d’utiliser les modèles d’OpenAI à des fins malveillantes », a déclaré ChatGPT.