Les nouveaux risques que ChatGPT pose à la cybersécurité
Le rapport 2021 du FBI sur la criminalité sur Internet a révélé que le phishing est la menace informatique la plus courante en Amérique. Du point de vue d’un pirate informatique, ChatGPT change la donne, offrant aux pirates du monde entier une quasi-maîtrise de l’anglais pour renforcer leurs campagnes de phishing. Les mauvais acteurs peuvent également être en mesure de tromper l’IA en générant du code de piratage. Et, bien sûr, il est possible que ChatGPT lui-même soit piraté, diffusant de dangereuses désinformations et de la propagande politique. Cet article examine ces nouveaux risques, explore la formation et les outils nécessaires pour que les professionnels de la cybersécurité puissent y répondre, et appelle à une surveillance gouvernementale pour garantir que l’utilisation de l’IA ne devienne pas préjudiciable aux efforts de cybersécurité.
Lorsque OpenAI a lancé son modèle de langage d’IA révolutionnaire ChatGPT en novembre, des millions d’utilisateurs ont été impressionnés par ses capacités. Pour beaucoup, cependant, la curiosité a rapidement cédé la place à une inquiétude sérieuse concernant le potentiel des outils pour faire avancer les programmes des mauvais acteurs. Plus précisément, ChatGPT ouvre de nouvelles voies aux pirates pour potentiellement violer les logiciels de cybersécurité avancés. Pour un secteur déjà sous le choc d’une augmentation mondiale de 38 % des violations de données en 2022, il est essentiel que les dirigeants reconnaissent l’impact croissant de l’IA et agissent en conséquence.
Avant de pouvoir formuler des solutions, nous devons identifier les principales menaces qui découlent de l’utilisation généralisée de ChatGPT. Cet article examinera ces nouveaux risques, explorera la formation et les outils nécessaires pour que les professionnels de la cybersécurité puissent y répondre, et appellera à une surveillance gouvernementale pour garantir que l’utilisation de l’IA ne nuise pas aux efforts de cybersécurité.
Escroqueries par hameçonnage générées par l’IA
Alors que des versions plus primitives de l’IA basée sur le langage sont open source (ou accessibles au grand public) depuis des années, ChatGPT est de loin l’itération la plus avancée à ce jour. En particulier, la capacité de ChatGPT à converser de manière si transparente avec les utilisateurs sans fautes d’orthographe, de grammaire et de temps verbal donne l’impression qu’il pourrait très bien y avoir une personne réelle de l’autre côté de la fenêtre de discussion. Du point de vue des pirates, ChatGPT change la donne.
Le rapport sur la criminalité sur Internet 2021 du FBI a révélé que le phishing est la menace informatique la plus courante en Amérique. Cependant, la plupart des escroqueries par hameçonnage sont facilement reconnaissables, car elles sont souvent jonchées de fautes d’orthographe, d’une mauvaise grammaire et d’une formulation généralement maladroite, en particulier celles provenant d’autres pays où la langue maternelle des mauvais acteurs n’est pas l’anglais. ChatGPT offrira aux pirates du monde entier une quasi-maîtrise de l’anglais pour renforcer leurs campagnes de phishing.
Pour les responsables de la cybersécurité, une augmentation des attaques de phishing sophistiquées nécessite une attention immédiate et des solutions exploitables. Les dirigeants doivent doter leurs équipes informatiques d’outils capables de déterminer ce qui est généré par ChatGPT par rapport à ce qui est généré par l’homme, spécifiquement adaptés aux e-mails entrants à froid. Heureusement, la technologie ChatGPT Detector existe déjà, et est susceptible de progresser aux côtés de ChatGPT lui-même. Idéalement, l’infrastructure informatique devrait intégrer un logiciel de détection d’IA, filtrant et signalant automatiquement les e-mails générés par l’IA. De plus, il est important que tous les employés soient régulièrement formés et recyclés sur les dernières compétences en matière de sensibilisation et de prévention en matière de cybersécurité, en accordant une attention particulière aux escroqueries par hameçonnage basées sur l’IA. Cependant, il incombe à la fois au secteur et au grand public de continuer à plaider en faveur d’outils de détection avancés, plutôt que de se contenter de flatter les capacités d’expansion des IA.
Duper ChatGPT en écrivant du code malveillant
ChatGPT est compétent pour générer du code et d’autres outils de programmation informatique, mais l’IA est programmée pour ne pas générer de code qu’elle juge malveillant ou destiné à des fins de piratage. Si un code de piratage est demandé, ChatGPT informera l’utilisateur que son but est d’aider à des tâches utiles et éthiques tout en respectant les directives et politiques éthiques.
Cependant, la manipulation de ChatGPT est certainement possible et avec suffisamment de créativité et d’incitation, les mauvais acteurs peuvent être en mesure de tromper l’IA pour qu’elle génère du code de piratage. En fait, les pirates complotent déjà à cette fin.
Par exemple, la société de sécurité israélienne Check Point a récemment découvert un fil de discussion sur un forum de piratage clandestin bien connu d’un pirate informatique qui prétendait tester le chatbot pour recréer des souches de logiciels malveillants. Si un tel fil a déjà été découvert, il est sûr de dire qu’il y en a beaucoup d’autres à travers le monde et les réseaux sombres. Les professionnels de la cybersécurité ont besoin d’une formation appropriée (c’est-à-dire d’une mise à niveau continue) et de ressources pour répondre aux menaces sans cesse croissantes, générées par l’IA ou non.
Il est également possible d’équiper les professionnels de la cybersécurité de leur propre technologie d’IA pour mieux repérer et se défendre contre le code de piratage généré par l’IA. Alors que le discours public est le premier à déplorer le pouvoir que ChatGPT fournit aux mauvais acteurs, il est important de se rappeler que ce même pouvoir est également disponible pour les bons acteurs. En plus d’essayer de prévenir les menaces liées à ChatGPT, la formation à la cybersécurité devrait également inclure des instructions sur la façon dont ChatGPT peut être un outil important dans l’arsenal des professionnels de la cybersécurité. Alors que cette évolution technologique rapide crée une nouvelle ère de menaces à la cybersécurité, nous devons examiner ces possibilités et créer de nouvelles formations pour suivre le rythme. De plus, les développeurs de logiciels devraient chercher à développer une IA générative potentiellement encore plus puissante que ChatGPT et conçue spécifiquement pour les centres d’opérations de sécurité (SOC) remplis d’humains.
Régulation de l’utilisation et des capacités de l’IA
Bien qu’il y ait une discussion importante sur les mauvais acteurs utilisant l’IA pour aider à pirater des logiciels externes, ce qui est rarement discuté, c’est le potentiel de piratage de ChatGPT lui-même. À partir de là, les acteurs malveillants pourraient diffuser des informations erronées à partir d’une source généralement considérée comme impartiale et conçue pour l’être.
ChatGPT aurait pris des mesures pour identifier et éviter de répondre aux questions politiquement chargées. Cependant, si l’IA devait être piratée et manipulée pour fournir des informations apparemment objectives mais qui sont en fait des informations biaisées bien dissimulées ou une perspective déformée, alors l’IA pourrait devenir une machine de propagande dangereuse. La capacité d’un ChatGPT compromis à diffuser des informations erronées pourrait devenir préoccupante et nécessiter une surveillance gouvernementale renforcée pour les outils d’IA avancés et les entreprises comme OpenAI.
L’administration Biden a publié un plan pour une déclaration des droits de l’IA, mais les enjeux sont plus importants que jamais avec le lancement de ChatGPT. Pour développer cela, nous avons besoin d’une surveillance pour nous assurer qu’OpenAI et les autres sociétés qui lancent des produits d’IA générative révisent régulièrement leurs fonctionnalités de sécurité afin de réduire le risque de piratage. De plus, les nouveaux modèles d’IA devraient exiger un seuil de mesures de sécurité minimales avant qu’une IA soit open source. Par exemple, Bing a lancé sa propre IA générative début mars et Metas a finalisé son propre outil puissant, avec d’autres provenant d’autres géants de la technologie.
Alors que les gens s’émerveillent et que les professionnels de la cybersécurité réfléchissent au potentiel de ChatGPT et du marché émergent de l’IA générative, des freins et contrepoids sont essentiels pour garantir que la technologie ne devienne pas lourde. Au-delà de la formation et du rééquipement de leurs travailleurs par les responsables de la cybersécurité, et du fait que le gouvernement assume un rôle réglementaire plus important, un changement global de notre état d’esprit et de notre attitude à l’égard de l’IA est nécessaire.
Nous devons réimaginer à quoi ressemble la base fondamentale de l’IA, en particulier les exemples open source comme ChatGPT. Avant qu’un outil ne devienne accessible au public, les développeurs doivent se demander si ses capacités sont éthiques. Le nouvel outil a-t-il un noyau programmatique fondamental qui interdit vraiment la manipulation ? Comment établissons-nous des normes qui l’exigent et comment tenons-nous les développeurs responsables de ne pas respecter ces normes ? Les organisations ont institué des normes agnostiques pour garantir que les échanges entre différentes technologies, de l’edtech aux blockchains et même aux portefeuilles numériques, sont sûrs et éthiques. Il est essentiel que nous appliquions les mêmes principes à l’IA générative.
Le bavardage ChatGPT est à un niveau record et à mesure que la technologie progresse, il est impératif que les leaders technologiques commencent à réfléchir à ce que cela signifie pour leur équipe, leur entreprise et la société dans son ensemble. Sinon, ils ne prendront pas seulement du retard sur leurs concurrents dans l’adoption et le déploiement de l’IA générative pour améliorer les résultats commerciaux, ils ne parviendront pas non plus à anticiper et à se défendre contre les pirates de nouvelle génération qui peuvent déjà manipuler cette technologie à des fins personnelles. Avec des réputations et des revenus en jeu, l’industrie doit s’unir pour mettre en place les bonnes protections et faire de la révolution ChatGPT quelque chose à saluer, pas à craindre.