Piratage ChatGPT : plus de 100 000 comptes en vente sur le Dark Web

Attention ! Plus de 100 000 comptes ChatGPT ont été piratés et mis en vente sur le Dark Web. De quoi accéder à des données sensibles pour les utiliser à des fins malveillantes. Vérifiez si vous êtes concerné !

De par sa popularité qui n'en finit plus de croître, ChatGPT représente une véritable mine d'or pour les cybercriminels. Nombre d'entre eux utilisent l'IA pour enrichir leurs faux profils sur les sites de rencontre ou sur LinkedIn, générer leurs campagnes de phishing ou encore cloner l'application mobile en y rajoutant un petit malware en plus. Et c'est sans compter sur les failles de sécurité de la plateforme, à l'image de celle de mars où toutes les conversations, les données personnelles et les informations de paiement des utilisateurs avaient été mélangées et exposées aux yeux de tous. Mais les pirates visent également les comptes des utilisateurs. En effet, le groupe de cybersécurité Group-IB révèle dans un rapport que, entre juin 2022 et mai 2023, plus de 100 000 comptes ChatGPT ont été compromis et mis en vente sur le Dark Web. Sont principalement touchés l'Inde, le Pakistan, le Brésil, le Vietnam, l'Égypte, les États-Unis, la France – le seul pays d'Europe concerné –, le Maroc, l'Indonésie et le Bangladesh. La majorité des identifiants ont été dérobés grâce à des malwares comme Raccoon, Vidar et RedLine. Alors, êtes-vous concerné ?

Piratage ChatGPT : des données sensibles en libre accès

La compromission des comptes a permis aux pirates de récolter de nombreuses données personnelles – voire bancaires pour les personnes abonnées à ChatGPT Plus – qui pourront être utilisées pour mener des campagnes de phishing plus ciblées et de plus grande ampleur. En fouillant l'historique des conversations, les hackers peuvent également accéder à un véritable trésor de données sensibles, qu'elles soient personnelles ou professionnelles – c'est pour cette raison que les grandes entreprises de la tech telles que Google, Apple ou Samsung interdisent l'usage des chatbot comme ChatGPT, Bing AI et Bard à leurs employés (voir notre article). De plus, comme les internautes ont généralement la très mauvaise habitude d'utiliser un même mot de passe pour plusieurs comptes, ces derniers peuvent eux aussi être piratés.

Les conséquences d'une telle compromission sont plus graves qu'elles ne peuvent paraître au premier abord. En effet, les comptes piratés peuvent être utilisés pour mener des activités illégales, comme générer des arnaques et des campagnes de phishing – ChatGPT est très doué pour ça –, mais aussi créer facilement du code malveillant et mettre au point de nouvelles attaques, sans que les autorités ne puissent remonter jusqu'à leur véritable auteur. Enfin, comme certains comptes sont dotés d'un accès à l'API de GPT-4 – le dernier modèle de langage qui alimente ChatGPT –, les pirates peuvent facilement le vendre sur le marché noir, étant donné que cette API n'est accessible que sur liste d'attente et est réservée à un nombre limité d'utilisateurs.

Piratage ChatGPT : comment vérifier que son compte n'a pas été compromis ?

Pour vérifier que votre compte ChatGPT – ou tout autre compte d'ailleurs – n'est pas sur le Dark Web, le plus simple est d'utiliser des outils comme Have I Been Pwned ? – que l'on pourrait traduire par "est-ce que mon mot de passe a été piraté ?" – ou le vérificateur de violation de données pCloud. Il suffit de rentrer votre adresse mail dans la barre de recherche pour savoir si elle a fait partie d'une ou plusieurs violations de données, et sur quelle plateforme (voir notre fiche pratique).

Que vous soyez concerné ou non, nous vous recommandons de prendre les mesures nécessaires pour sécuriser votre compte – mieux vaut prévenir que guérir ! Tout d'abord, il est préférable d'opter pour la connexion via votre compte Google ou Microsoft, ce qui vous assure un niveau de sécurité plus élevé – les géants de la tech sont rodés contre les cyberattaques – et vous permet d'activer la sacro-sainte double authentification (2FA). Dans la mesure du possible, effacez vos historiques de conversation avec ChatGPT contenant du contenu sensible, que ce soit sur vous ou sur l'entreprise pour laquelle vous travaillez. Installez également un antivirus sur vos appareils afin d'éviter de vous faire voler vos identifiants par un malware et, bien évidemment, faites attention à ce que vous téléchargez !