Un nouveau bot AI pourrait amener le phishing et les logiciels malveillants à un tout autre niveau
Intelligence artificielle et apprentissage automatique , Technologies de nouvelle génération et développement sécurisé , Vidéo
Les experts avertissent que ChatGPT pourrait inaugurer le phishing 3.0 et démocratiser la technologie de piratage
Anna Delaney (annamadeline) , Anviksha Plus (AnvikshaPlus) •
15 décembre 2022
Tout ce qui peut écrire un code logiciel peut également écrire un logiciel malveillant. Alors que la plupart des acteurs de la menace mettent plusieurs heures, voire plusieurs jours, à écrire du code malveillant, la dernière technologie d’IA peut le faire en quelques secondes. Pire encore, cela pourrait ouvrir la porte à une innovation rapide pour les pirates ayant peu ou pas de compétences techniques ou les aider à surmonter les barrières linguistiques pour rédiger le parfait e-mail de phishing.
Voir également: Webinaire en direct | 6 étapes pour maîtriser le patch OT
Ce sont quelques-unes des craintes de la communauté de la cybersécurité concernant la dernière sensation virale, ChatGPT, un chatbot basé sur l’IA développé par OpenAI et spécialisé dans le dialogue. Posez simplement une question, et il peut composer un poème, rédiger une dissertation pour un lycéen ou créer un code malveillant pour un pirate informatique.
Au cours de la première semaine, plus de 1 million de personnes enregistré pour essayer l’application en ligne. En fait, le comédien Trevor Noah sur « The Daily Show » la semaine dernière a déclaré que c’était un signe que l’IA était enfin devenue courante.
Étant donné que le marché de la cybercriminalité pour les ransomwares en tant que service est déjà organisé pour externaliser le développement de logiciels malveillants, des outils tels que ChatGPT pourraient rendre le processus encore plus facile pour les criminels entrant sur le marché.
« Je ne doute pas que ChatGPT et d’autres outils comme celui-ci démocratiseront la cybercriminalité », déclare Suleyman Ozarslan, chercheur en sécurité et co-fondateur de Picus Security. « C’est déjà assez grave que le code du rançongiciel soit déjà disponible pour que les gens puissent l’acheter sur le marché sur le dark web. Désormais, pratiquement n’importe qui peut le créer lui-même. »
En testant ChatGPT, Ozarslan a demandé au bot d’écrire un e-mail de phishing, et il a craché un e-mail parfait en quelques secondes. « Les fautes d’orthographe et une mauvaise grammaire sont souvent des signes révélateurs de phishing, en particulier lorsque les attaquants ciblent des personnes d’une autre région. L’IA conversationnelle élimine ces erreurs, ce qui les rend plus rapides à mettre à l’échelle et plus difficiles à repérer », dit-il.
Alors que les conditions d’utilisation de ChatGPT interdisent aux individus d’utiliser le logiciel à des fins malveillantes, Ozarslan a incité le bot à écrire l’e-mail de phishing en lui indiquant que le code serait utilisé pour une attaque simulée. Le logiciel a averti que « les attaques de phishing peuvent être utilisées à des fins malveillantes et peuvent nuire aux individus et aux organisations », mais le bot a quand même créé un e-mail de phishing.
Malgré les garde-corps empêchant les utilisateurs de causer des méfaits, de nombreux chercheurs ont trouvé un moyen de contourner ces avertissements. « C’est comme une imprimante 3D qui n’imprimera pas une arme à feu mais imprimera avec plaisir un canon, un chargeur, une poignée et une gâchette ensemble si vous le lui demandez », explique Ozarslan.
Un autre chercheur en informatique impressionné par les capacités de ChatGPT, Brendan Dolan-Gavitt, professeur adjoint à l’Université de New York, a demandé au bot de résoudre un problème de débordement de tampon facile. ChatGPT a correctement identifié la vulnérabilité et écrit un code exploitant la faille. Bien qu’il ait fait une erreur mineure dans le nombre de caractères dans l’entrée, le bot l’a rapidement corrigé après que Brendan l’ait demandé.
Ozarslan a demandé à l’IA d’écrire un code logiciel en Swift, pour pouvoir trouver tous les fichiers Microsoft Office de son MacBook et les envoyer via HTTPS à son serveur Web. Il souhaitait également que l’outil chiffre tous les fichiers Microsoft Office et lui envoie la clé privée pour le déchiffrement.
Bien que cette action soit potentiellement plus dangereuse que le courrier de phishing, ChatGPT a envoyé l’exemple de code sans aucun avertissement.
La nouvelle ère des deepfakes et du phishing 3.0
Peter Cassidy, secrétaire général du groupe de travail anti-hameçonnage, explique à Information Security Media Group que les attaques par hameçonnage sont devenues plus ciblées. « Nous sommes passés d’attaques en anglais cassées contre les banques dans les pays anglophones à des attaques extrêmement ciblées afin de créer un faux scénario sur la victime », dit-il.
Cassidy explique comment ChatGPT pourrait permettre aux cybercriminels d’atteindre plus facilement leurs cibles en nombre record et avec précision. « Vous pouvez maintenant l’obtenir pour créer un message d’accueil pour un anniversaire ou des souhaits pour quelqu’un qui est sorti de l’hôpital, et dans la langue de votre choix », ajoute-t-il.
« Les acteurs de la menace ne sont jamais des informaticiens lors des arrestations. C’est toujours un gamin de 14 ans qui a appris par lui-même à créer des logiciels malveillants à partir de rien, en se basant sur ce qu’il a vu en ligne. Le phishing demande de la détermination », ajoute-t-il.
Mais les outils pour les codeurs sont aussi des outils pour les acteurs de la menace. Dans un récent article de blog, Eyal Benishti, PDG d’Ironscales, a qualifié ChatGPT d’épée à double tranchant et a mis en garde contre l’IA menant au Phishing 3.0.
La technologie Deepfake utilise l’IA pour créer du contenu fabriqué, le faisant ressembler à la réalité. Il a le bon contexte, et il sonne et se lit comme un message légitime. « Imaginez une attaque combinée où l’acteur de la menace se fait passer pour un PDG avec un e-mail à la comptabilité pour créer un nouveau compte fournisseur pour payer une fausse facture, suivi d’un faux message vocal avec la voix du PDG reconnaissant l’authenticité de cet e-mail », dit-il.
« Ce n’est qu’une question de temps avant que les acteurs de la menace combinent les méthodes de phishing et de prétexte pour lancer des attaques convaincantes, coordonnées et rationalisées. »
Maintenant que les informations personnelles sont accessibles au public sur les réseaux sociaux et d’autres endroits sur le Web, il est devenu plus facile de récolter, de corréler et de mettre en contexte à l’aide de modèles sophistiqués conçus pour rechercher des opportunités de créer des attaques hautement ciblées.
Une semaine seulement après son introduction, ChatGPT a été interdit sur Stack Overflow, un forum de questions-réponses pour les programmeurs. Lorsque de nombreuses personnes ont posté des réponses de ChatGPT, vraisemblablement à des points de ferme sur la plate-forme, Stack Overflow a remarqué « un taux élevé de réponses incorrectes, qui semblent généralement être bonnes », ont écrit les modérateurs.
Une nouvelle source d’innovation en matière de logiciels malveillants ?
Dans un tweeterle PDG d’OpenAI, Sam Altman, convient que la cybersécurité est l’un des principaux risques d’une « IA dangereusement puissante ».
Et dans un article sur le modèle d’écriture de code d’OpenAI – Codex – les chercheurs de l’entreprise affirment que « la nature non déterministe de systèmes comme Codex pourrait permettre des logiciels malveillants plus avancés. Bien que la diversité des logiciels puisse parfois aider les défenseurs, elle présente des défis uniques pour la détection traditionnelle des logiciels malveillants. et les systèmes antivirus qui s’appuient sur les empreintes digitales et la correspondance des signatures avec les binaires précédemment échantillonnés. »
Les stratégies de sécurité des applications et de déploiement de modèles, y compris la limitation du débit et la surveillance des abus, peuvent gérer cette menace à court terme, « bien que cela soit loin d’être certain », ajoute le rapport.
Bien que ChatGPT soit effrayant, il contient des imperfections, ce qui donne aux protecteurs le temps de resserrer les barrières. « Les attaquants ne resteront pas immobiles, et les défenseurs non plus. Comme l’IA facilite l’évolution des attaquants, il est vital pour les entreprises de valider la sécurité contre les attaquants du monde réel et d’être proactives contre les nouvelles menaces comme l’IA à mesure qu’elles émergent, plutôt que d’attendre autour pour voir comment ils les impacteront à l’avenir », déclare Ozarslan.
Infrastructure Microsoft
ChatGPT est basé sur le modèle d’apprentissage en profondeur GPT-3, qui a été créé par OpenAI en partenariat avec Microsoft en 2019. Récemment, Altman crédité le cloud Microsoft Azure pour fournir l’infrastructure d’IA qui alimente les modèles de langage GPT.
L’expérience de Microsoft avec l’IA remonte à 1993, lorsque la correction automatique a été lancée. Plus de deux décennies plus tard, Microsoft a investi 1 milliard de dollars dans OpenAI et prévoit de commercialiser GPT-3.
En novembre 2021, Microsoft a lancé le service Azure OpenAI, donnant aux clients Azure la possibilité d’utiliser les modèles d’apprentissage automatique d’OpenAI, qui n’étaient auparavant disponibles que sur invitation.
Ce partenariat contribue à consolider l’infrastructure cloud Azure de Microsoft en tant que plate-forme de choix pour la prochaine génération d’IA.