Vous n’êtes pas les seuls : les cybercriminels utilisent également ChatGPT pour se faciliter la vie.

Dans le secteur de la cybersécurité, il existe déjà des preuves de l’utilisation de ChatGPT par les criminels.

ChatGPT peut rapidement générer des e-mails de phishing ciblés ou du code malveillant pour des attaques de logiciels malveillants.

Les entreprises d’IA pourraient être tenues responsables des chatbots qui aident les criminels.

Qu’il s’agisse de rédiger des dissertations ou d’analyser des données : ChatGPT peut faciliter le travail d’une personne. Cela vaut également pour le travail des cybercriminels. Sergey Shykevich, chercheur principal sur ChatGPT au sein de la société de cybersécurité Checkpoint Security, a déjà observé comment les cybercriminels utilisent la puissance de l’IA pour créer du code qui peut être utilisé pour une attaque de ransomware.

L’équipe de Shykevich a commencé à étudier le potentiel de l’IA pour la cybercriminalité en décembre 2021. En utilisant le modèle linguistique étendu de l’IA, ils ont créé des e-mails de phishing et du code malveillant. Lorsqu’il est devenu clair que ChatGPT pouvait être utilisé à des fins illégales, a déclaré Shykevich à Business Insider, l’équipe a voulu savoir si leurs découvertes étaient « théoriques » ou s’ils pouvaient trouver « les méchants dans la nature ».

ChatGPT est également utilisé par les cybercriminels

Comme il est difficile de savoir si un courriel malveillant qui arrive dans la boîte de réception d’une personne a été écrit avec ChatGPT, son équipe s’est tournée vers le dark web pour voir comment l’application était utilisée.

Le 21 décembre, ils ont trouvé leur première preuve : des cybercriminels ont utilisé le chatbot pour créer un script Python pouvant être utilisé pour une attaque de malware. Le code présentait quelques erreurs, a déclaré Shykevich, mais la majorité était correcte. « Ce qui est intéressant, c’est que les personnes qui l’ont posté n’ont jamais rien développé auparavant », a-t-il déclaré.

Shykevich a déclaré que ChatGPT et Codex, un service OpenAI qui peut écrire du code pour les développeurs, « permettront à des personnes moins expérimentées d’être de prétendus programmeurs ». L’utilisation abusive de ChatGPT inquiète les experts en cybersécurité, qui voient dans les chatbots un potentiel pour les attaques de phishing, de malware et de piratage.

Une possibilité d’attaques de phishing sans complication

Justin Fier, directeur de la cyber-intelligence et de l’analyse chez Darktrace, une société de cybersécurité, a déclaré à Business Insider que la barrière d’entrée pour les attaques de phishing était déjà faible. ChatGPT pourrait permettre aux gens de créer encore plus facilement des dizaines d’e-mails frauduleux ciblés de manière efficace – tant qu’ils créent de bonnes invites.

« En matière de phishing, tout est question de volume – imaginez 10 000 e-mails très ciblés. Au lieu d’avoir 100 clics positifs, j’en ai maintenant trois ou 4 000 », a déclaré Fier. Il faisait référence à un nombre hypothétique de personnes qui pourraient cliquer sur un e-mail d’hameçonnage visant à inciter les utilisateurs à divulguer des informations personnelles telles que des mots de passe bancaires. « C’est un nombre important, et c’est tout ce qui compte ».

Un « film de science-fiction

Début février, la société de cybersécurité Blackberry a publié une enquête auprès de 1 500 professionnels de l’informatique, dont 74 % ont déclaré être préoccupés par le fait que ChatGPT contribue à la cybercriminalité. L’enquête a également révélé que 71 % pensaient que ChatGPT pourrait déjà être utilisé par des États-nations pour attaquer d’autres pays par des tentatives de piratage et d’hameçonnage.

« Il est bien documenté que des personnes mal intentionnées expérimentent le sujet, mais au cours de cette année, nous nous attendons à ce que les pirates informatiques maîtrisent beaucoup mieux la façon dont ils peuvent utiliser ChatGPT avec succès à des fins malveillantes », a écrit Shishir Singh, directeur technologique de la cybersécurité chez BlackBerry, dans un communiqué de presse.

Singh a déclaré à Business Insider que ces craintes étaient dues aux progrès fulgurants de l’IA au cours de l’année dernière. Les experts ont déclaré que les progrès des grands modèles de langage, qui sont désormais plus à même d’imiter le langage humain, ont été plus rapides que prévu. Singh a décrit ces innovations rapides comme quelque chose sorti d’un « film de science-fiction ». Selon lui, « ce que nous avons vu au cours des neuf à dix derniers mois, nous ne l’avons vu qu’à Hollywood ».

L’exploitation de la cybercriminalité pourrait constituer une responsabilité pour Open AI

Alors que les cybercriminels ajoutent de plus en plus d’objets tels que ChatGPT à leur boîte à outils, des experts comme l’ancien procureur fédéral Edward McAndrew se demandent si les entreprises porteraient une certaine responsabilité dans ces crimes.

McAndrew, qui a collaboré avec le ministère de la Justice dans le cadre d’enquêtes sur la cybercriminalité, a par exemple indiqué que les entreprises qui utilisent ChatGPT ou un chatbot comme celui-ci pourraient être tenues pour responsables si elles incitent quelqu’un à commettre un cybercrime.

Pour gérer les contenus illégaux ou criminels sur leurs sites web d’utilisateurs tiers, la plupart des entreprises tech aux États-Unis invoquent la section 230 du Communications Decency Act de 1996. Cette loi stipule que les fournisseurs de sites web qui permettent aux gens de publier des contenus – comme Facebook ou Twitter – ne sont pas responsables des déclarations faites sur leurs plateformes.

Cependant, étant donné que le langage provient du chatbot lui-même, McAndrew a déclaré que la loi pourrait ne pas protéger OpenAI contre les poursuites civiles ou pénales – bien que les versions open source pourraient rendre plus difficile l’établissement d’un lien entre les cybercrimes et OpenAI.

L’étendue de la protection juridique accordée aux entreprises technologiques en vertu de la section 230 est également contestée cette semaine devant la Cour suprême par la famille d’une femme tuée par des terroristes d’ISIS en 2015. La famille fait valoir que Google devrait être tenu responsable de son algorithme qui favorise les vidéos extrémistes.

McAndrew a également déclaré que ChatGPT pourrait constituer une « mine d’informations » pour ceux qui sont chargés de recueillir des preuves de tels crimes s’ils étaient en mesure de citer des entreprises comme OpenAI.

« Ce sont des questions vraiment intéressantes qui ne seront pas résolues avant des années », a déclaré McAndrew, « mais comme nous le voyons, depuis les débuts d’Internet, les criminels ont été parmi les premiers à l’utiliser. Et nous le voyons à nouveau aujourd’hui avec de nombreux outils d’IA ». Face à ces questions, McAndrew voit un débat politique sur la manière dont les États-Unis et le monde en général vont définir les paramètres de l’IA et des entreprises technologiques.

Dans l’enquête de Blackberry, 95 % des personnes interrogées sur les technologies de l’information ont déclaré que les gouvernements devraient être responsables de la création et de la mise en œuvre des réglementations.
McAndrew a déclaré que la tâche de réglementation peut être un défi, car il n’existe pas d’agence ou de niveau de gouvernement exclusivement chargé de créer des mandats pour le secteur de l’IA et que le problème de la technologie de l’IA dépasse les frontières des États-Unis.

« Nous avons besoin de coalitions internationales et de normes internationales pour le comportement dans le cyberespace, et je pense qu’il faudra des décennies pour les développer, si tant est que nous soyons en mesure de les développer ».

La technologie n’est toujours pas parfaite pour les cybercriminels

Un fait qui rend la cybercriminalité plus difficile ? ChatGPT est connu pour être défectueux. Cela pourrait poser un problème à un cybercriminel qui tenterait de rédiger un e-mail imitant une autre personne, ont indiqué des experts à Business Insider. Dans le code que Shykevich et ses collègues ont découvert sur le Dark Web, les erreurs devaient être corrigées avant qu’il puisse être utilisé pour une fraude.

En outre, ChatGPT continue d’implémenter des garde-fous pour empêcher les activités illégales, même si ces garde-fous peuvent souvent être contournés avec le bon script. Shykevich a souligné que certains cybercriminels s’attaquent désormais aux modèles API de ChatGPT, des versions open source de l’application qui n’ont pas les mêmes restrictions de contenu que l’interface utilisateur Web.

Shykevich a également déclaré qu’à l’heure actuelle, ChatGPT ne peut pas contribuer à la création de logiciels malveillants sophistiqués ou de faux sites Web qui se présentent par exemple comme le site d’une banque connue. Mais cela pourrait devenir un jour une réalité, car la course à l’IA créée par les géants de la technologie peut accélérer le développement de meilleurs chatbots, a déclaré Shykevich à Business Insider.

« Je suis plus préoccupé par l’avenir et il semble que l’avenir ne soit pas dans quatre ou cinq ans, mais plutôt dans un ou deux ans », a déclaré Shykevich.

Open AI n’a pas répondu immédiatement à la demande de commentaire d’Insider.

Ce texte a été traduit de l’anglais par Lisa Dittrich. Vous trouverez l’original ici.