ChatGPT et plus : ce que les chatbots IA signifient pour l’avenir de la cybersécurité
Des tâches relativement simples, telles que la rédaction d’e-mails, aux tâches plus complexes, y compris la rédaction d’essais ou la compilation de code, ChatGPT – l’outil de traitement du langage naturel basé sur l’IA d’OpenAI – suscite un énorme intérêt depuis son lancement.
Il n’est en aucun cas parfait, bien sûr – il est connu pour faire des erreurs et des erreurs car il interprète mal les informations dont il apprend, mais beaucoup le voient, ainsi que d’autres outils d’IA, comme l’avenir de la façon dont nous utiliserons Internet.
En profondeur: Ces experts font la course pour protéger l’IA des pirates. Le temps presse
Les conditions d’utilisation d’OpenAI pour ChatGPT interdisent spécifiquement la génération de logiciels malveillants, y compris les rançongiciels, les enregistreurs de frappe, les virus ou « d’autres logiciels destinés à infliger un certain niveau de préjudice ». Il interdit également les tentatives de création de spam, ainsi que les cas d’utilisation visant la cybercriminalité.
Mais comme pour toute technologie en ligne innovante, il y a déjà des gens qui expérimentent comment ils pourraient exploiter ChatGPT à des fins plus obscures.
Après le lancement, il n’a pas fallu longtemps avant que les cybercriminels publient des discussions sur des forums clandestins sur la façon dont ChatGPT pourrait être utilisé pour aider à faciliter les cyberactivités malveillantes, telles que la rédaction d’e-mails de phishing ou la compilation de logiciels malveillants.
Et il est à craindre que des escrocs tentent d’utiliser ChatGPT et d’autres outils d’intelligence artificielle, tels que Google Bard, dans le cadre de leurs efforts. Bien que ces outils d’IA ne révolutionneront pas les cyberattaques, ils pourraient néanmoins aider les cybercriminels, même par inadvertance, à mener des campagnes malveillantes plus efficacement.
« Je ne pense pas, du moins à court terme, que ChatGPT créera des types d’attaques complètement nouveaux. L’objectif sera de rendre leurs opérations quotidiennes plus rentables », déclare Sergey Shykevich, du groupe de renseignement sur les menaces. manager chez Check Point, une société de cybersécurité.
Aussi: Qu’est-ce que ChatGPT et pourquoi est-ce important ? Voici tout ce que vous devez savoir
Les attaques de phishing sont la composante la plus courante des campagnes de piratage et de fraude malveillantes. Que les attaquants envoient des e-mails pour distribuer des logiciels malveillants, des liens de phishing ou qu’ils soient utilisés pour convaincre une victime de transférer de l’argent, l’e-mail est l’outil clé de la coercition initiale.
Cette dépendance au courrier électronique signifie que les gangs ont besoin d’un flux constant de contenu clair et utilisable. Dans de nombreux cas – en particulier avec le phishing – le but de l’attaquant est de persuader un humain de faire quelque chose, comme transférer de l’argent. Heureusement, bon nombre de ces tentatives de phishing sont actuellement facilement repérables en tant que spam. Mais un rédacteur automatisé efficace pourrait rendre ces e-mails plus convaincants.
La cybercriminalité est une industrie mondiale, avec des criminels dans toutes sortes de pays qui envoient des e-mails de phishing à des cibles potentielles dans le monde entier. Cela signifie que la langue peut être un obstacle, en particulier pour les campagnes de harponnage plus sophistiquées qui reposent sur le fait que les victimes croient qu’elles parlent à un contact de confiance – et il est peu probable que quelqu’un croie qu’il parle à un collègue si les e-mails sont pleins des fautes d’orthographe et de grammaire inhabituelles ou une ponctuation étrange.
Aussi: L’avenir effrayant d’Internet : comment la technologie de demain posera des menaces de cybersécurité encore plus importantes
Mais si l’IA est exploitée correctement, un chatbot pourrait être utilisé pour écrire du texte pour les e-mails dans la langue souhaitée par l’attaquant.
« Le grand obstacle pour les cybercriminels russes est la langue – l’anglais », déclare Shykevich. « Ils embauchent maintenant des diplômés d’études d’anglais dans des collèges russes pour écrire des e-mails de phishing et pour être dans des centres d’appels – et ils doivent payer pour cela. »
Il poursuit : « Quelque chose comme ChatGPT peut leur faire économiser beaucoup d’argent sur la création d’une variété de messages de phishing différents. Cela peut simplement améliorer leur vie. Je pense que c’est la voie qu’ils rechercheront. »
En théorie, il existe des protections en place qui sont conçues pour prévenir les abus. Par exemple, ChatGPT exige que les utilisateurs enregistrent une adresse e-mail et nécessite également un numéro de téléphone pour vérifier l’inscription.
Et tandis que ChatGPT refusera d’écrire des e-mails de phishing, il est possible de lui demander de créer des modèles d’e-mails pour d’autres messages, qui sont couramment exploités par les cyber-attaquants. Cet effort peut inclure des messages tels que réclamer un bonus annuel est proposé, une mise à jour logicielle importante doit être téléchargée et installée, ou un document joint doit être examiné de toute urgence.
Aussi: Le courrier électronique est notre meilleur outil de productivité. C’est pourquoi le phishing est si dangereux pour tout le monde
« Rédiger un e-mail pour convaincre quelqu’un de cliquer sur un lien pour obtenir quelque chose comme une invitation à une conférence – c’est plutôt bien, et si vous n’êtes pas anglophone, cela a l’air vraiment bien », déclare Adam Meyers, vice-président senior de intelligence chez Crowdstrike, un fournisseur de renseignements sur la cybersécurité et les menaces.
« Vous pouvez lui faire créer une invitation bien formulée et grammaticalement correcte que vous ne seriez pas nécessairement en mesure de faire si vous n’étiez pas de langue maternelle anglaise. »
Mais l’abus de ces outils n’est pas exclusif aux e-mails ; les criminels pourraient l’utiliser pour aider à écrire un script pour n’importe quelle plate-forme en ligne basée sur du texte. Pour les attaquants exécutant des escroqueries, ou même des groupes de cybermenaces avancés tentant de mener des campagnes d’espionnage, cela pourrait être un outil utile, en particulier pour créer de faux profils sociaux pour attirer les gens.
« Si vous voulez générer des affaires plausibles, dites des bêtises à LinkedIn pour donner l’impression que vous êtes un vrai homme d’affaires essayant d’établir des connexions, ChatGPT est idéal pour cela », déclare Kelly Shortridge, experte en cybersécurité et technologue principale des produits chez cloud- fournisseur informatique Fastly.
Divers groupes de piratage tentent d’exploiter LinkedIn et d’autres plateformes de médias sociaux comme outils pour mener des campagnes de cyberespionnage. Mais créer des profils en ligne faux mais d’apparence légitime – et les remplir de publications et de messages – est un processus qui prend du temps.
Shortridge pense que les attaquants pourraient utiliser des outils d’IA tels que ChatGPT pour écrire un contenu convaincant tout en ayant l’avantage d’être moins laborieux que de faire le travail manuellement.
« Beaucoup de ces types de campagnes d’ingénierie sociale nécessitent beaucoup d’efforts car vous devez configurer ces profils », dit-elle, affirmant que les outils d’IA pourraient réduire considérablement la barrière à l’entrée.
« Je suis sûre que ChatGPT pourrait écrire des messages de leadership éclairé très convaincants », dit-elle.
La nature de l’innovation technologique signifie que, chaque fois que quelque chose de nouveau émerge, il y aura toujours ceux qui essaieront de l’exploiter à des fins malveillantes. Et même avec les moyens les plus innovants pour tenter de prévenir les abus, la nature sournoise des cybercriminels et des fraudeurs signifie qu’ils sont susceptibles de trouver des moyens de contourner les protections.
« Il n’y a aucun moyen d’éliminer complètement les abus à zéro. Cela n’est jamais arrivé avec aucun système », déclare Shykevich, qui espère que la mise en évidence des problèmes potentiels de cybersécurité signifiera qu’il y aura plus de discussions sur la façon d’empêcher les chatbots IA d’être exploités à des fins errantes.
« C’est une excellente technologie – mais, comme toujours avec les nouvelles technologies, il y a des risques et il est important d’en discuter pour en être conscient. Et je pense que plus nous discutons, plus il est probable qu’OpenAI et des entreprises similaires investiront davantage. à réduire les abus », suggère-t-il.
Il y a aussi un avantage pour la cybersécurité dans les chatbots IA, tels que ChatGPT. Ils sont particulièrement doués pour gérer et comprendre le code, il est donc possible de les utiliser pour aider les défenseurs à comprendre les logiciels malveillants. Comme ils peuvent également écrire du code, il est possible qu’en aidant les développeurs dans leurs projets, ces outils puissent aider à créer plus rapidement un code meilleur et plus sécurisé, ce qui est bon pour tout le monde.
Comme Jeff Pollard, analyste principal de Forrester, l’a récemment écrit, ChatGPT pourrait réduire considérablement le temps nécessaire à la production de rapports sur les incidents de sécurité.
« Faire tourner ceux-ci plus rapidement signifie plus de temps pour faire le reste – tester, évaluer, enquêter et répondre, ce qui aide les équipes de sécurité à évoluer », note-t-il, ajoutant qu’un bot pourrait suggérer les prochaines actions recommandées en fonction des données disponibles.
« Si l’orchestration, l’automatisation et la réponse de la sécurité sont configurées correctement pour accélérer la récupération des artefacts, cela pourrait accélérer la détection et la réponse et aider [security operations center] les analystes prennent de meilleures décisions », dit-il.
Ainsi, les chatbots pourraient rendre la vie plus difficile pour certains dans le domaine de la cybersécurité, mais il pourrait aussi y avoir des doublures argentées.
ZDNET a contacté OpenAI pour un commentaire, mais n’a pas reçu de réponse. Cependant, ZDNET a demandé à ChatGPT quelles règles il avait mises en place pour empêcher qu’il ne soit abusé pour le phishing – et nous avons obtenu le texte suivant.
« Il est important de noter que même si les modèles de langage d’IA comme ChatGPT peuvent générer du texte similaire aux e-mails de phishing, ils ne peuvent pas effectuer d’actions malveillantes par eux-mêmes et nécessitent l’intention et les actions d’un utilisateur pour causer du tort. En tant que tel, il est important pour aux utilisateurs de faire preuve de prudence et de bon jugement lorsqu’ils utilisent la technologie de l’IA, et d’être vigilants dans la protection contre le phishing et d’autres activités malveillantes. »