WormGPT : le ChatGPT des cybercriminels est une arme redoutable
Les cybercriminels aussi se mettent à l'IA ! Ils ont mis au point WormGPT, le pendant maléfique de ChatGPT, capable de les assister dans leurs activités illégales, notamment pour générer des campagnes de phishing très convaincantes.
Le développement des IA génératives a été une aubaine pour les cybercriminels. Sur le Dark Web, ils s'échangent des astuces et autres combines afin de contourner les garde-fous des intelligences artificielles et de leur faire générer des malwares et des campagnes de phishing. Ils sont même allés plus loin en créant leurs propres modules personnalisés, semblables à ChatGPT, mais plus faciles à utiliser à des fins malveillantes. En enquêtant sur un forum clandestin de hacking, les chercheurs en sécurité informatique de SlashNext ont découvert l'apparition d'une nouvelle IA, WormGPT. Son créateur le décrit comme "le plus grand ennemi du célèbre ChatGPT qui vous permet de faire toutes sortes de choses illégales".
Les cybercriminels s'en servent pour créer des campagnes de phishing particulièrement sophistiquées et indétectables. WormGPT permet "d'automatiser la création de faux courriels très convaincants, personnalisés en fonction du destinataire, augmentant ainsi les chances de réussite de l'attaque", explique le chercheur en cybersécurité Daniel Kelley. "L'utilisation de l'IA générative démocratise l'exécution d'attaques BEC sophistiquées. Même les attaquants ayant des compétences limitées peuvent utiliser cette technologie, ce qui en fait un outil accessible à un plus grand nombre de cybercriminels". La nouvelle IA est d'ores et déjà commercialisée sur le marché noir. Voilà qui promet !
WormGPT : une IA pour créer des e-mails de phishing
WormGPT s'appuie sur GPT-J, un modèle de langage open source développé par EleutherAI en 2021 et qui s'appuie sur GPT-2. Les cybercriminels ont exploité ce modèle et l'ont entraîné avec des "données liées aux logiciels malveillants". Grâce à toutes ces informations, l'IA s'est spécialisée dans les activités illicites en ligne. Elle permet le support illimité de caractères, mémorise les échanges de chat et possède des capacités de formatage de code. Son créateur explique qu'elle est spécialisée dans les attaques de compromission par e-mail professionnel (BEC). Pour faire simple, il s'agit de créer des campagnes d'e-mails personnalisés très convaincants qui visent à manipuler les salariés d'organisations commerciales, gouvernementales ou à but non lucratif, afin qu'ils divulguent des données sensibles sur la société ou envoient de l'argent.
Les chercheurs ont pu tester WormGPT. Il en ressort que celui-ci est capable de générer des e-mails d'excellente qualité, presque indiscernables des communications réelles. Il personnalise les messages en fonction du destinataire, augmentant ainsi les chances de succès de l'attaque. Ceux-ci sont quasiment irréprochables en termes de syntaxe, de grammaire, etc. Or, c'est par des fautes de ce type qu'on repère d'un coup d’œil un mail de phishing. Dans leur exemple, les chercheurs essayent de piéger un gestionnaire de compte en se faisant passer pour le PDG de l'entreprise et en lui demandant de payer une facture. Ils n'ont pas été déçus ! En quelques secondes, l'IA a généré "un e-mail qui était non seulement remarquablement persuasif, mais aussi stratégiquement rusé". Une fois les e-mails de phishing générés, il ne reste plus aux cybercriminels qu'à les envoyer en masse, en espérant que quelqu'un morde à l'hameçon. Ce type d'attaque est particulièrement dangereux car il utilise l'IA pour contourner les mesures de sécurité traditionnelles, comme les filtres anti-spam, ce qui rend les internautes plus vulnérables.
IA malveillante : des garde-fous faciles à contourner
Mais WormGPT n'est pas le seul à pouvoir être utilisé à des fins malveillantes. À ses débuts, ChatGPT a lui aussi été détourné pour créer des malwares (voir notre article). Quant à Bard, il est également possible de lui demander de générer des campagnes de phishing ou de coder le script d'un ransomware, comme l'a révélé une étude menée par Check Point Research (CPR). On peut aussi citer FreedomGPT, l'IA non censurée. Au nom de la liberté d'expression, il est possible de lui demander comment fabriquer une bombe artisanale à domicile, nettoyer une scène de crime après un meurtre, fabriquer des drogues dures ou encore kidnapper un enfant…
Sur les forums, les pirates se partagent des séries de requêtes capables de contourner les restrictions de ChatGPT, Google Bard et autres IA génératives. Ils expliquent comment réaliser une attaque de prompt-injection sur les chatbots, qui consiste à convaincre l'IA de contourner les restrictions mises en place par les développeurs, en lui demandant de lui donner un exemple de mail de phishing, et non de le générer par exemple. Europol, l'agence européenne de police criminelle, avait souligné dans un rapport publié en mars que les cybercriminels s'appuyaient déjà massivement sur des chatbots pour rédiger des mails de phishing, coder des malwares et manipuler les internautes. Les autorités vont avoir du pain sur la planche !