Piratage ChatGPT : des hackers détournent l'IA pour créer des malwares
ChatGPT est devenu un objet de convoitise pour les hackers, qui s'en servent pour créer facilement du code malveillant et mettre au point de nouvelles attaques. Le début d'une ère de piratage assisté par intelligence artificielle…
Tout Internet s'amuse à tester les possibilités offertes par ChatGPT, l'intelligence artificielle conversationnelle d'OpenAi capable de répondre à différentes questions de façon exhaustive et naturelle et de résoudre de nombreux problèmes, y compris concernant le code et la programmation. Forcément, il ne fallait pas longtemps avant que certains cherchent à exploiter cette technologie pour des fins malveillantes ! Aussi, si des développeurs se sont emparés du code open source de l'IA pour participer à son développement gratuitement, notamment en mettant au point de nouveaux outils ou une application pour repérer les textes générés par l'IA – et ainsi permettre de lutter contre la triche et autres supercheries –, d'autres cherchent tout simplement à arnaquer les utilisateurs avec des applications mobiles ChatGPT frauduleuses, qui se multiplient actuellement sur le Play Store et l'App Store. Et ce n'est pas le seul problème ! Selon un récent rapport de Checkpoint Research, l'IA connaît une certaine popularité auprès des cybercriminels, notamment russes, qui cherchent à profiter de ses connaissances en informatiques – même si, rappelons-le, ChatGPT n'est pas infaillible et peut faire des erreurs en codant.
Piratage ChatGPT : une IA au service des cybercriminels
Les équipes de recherche de Chekpoint Research ont découvert sur des forums spécialisés en hacking de nombreux messages visant à déterminer la meilleure manière d'utiliser ChatGPT pour pirater d'autres internautes. L'IA a notamment été utilisée pour mettre au point des malwares et des e-mails de phishing les plus incitatifs possible. Par exemple, un hacker s'est vanté sur un forum d'utiliser ChatGPT pour "recréer des souches de logiciels malveillants". Il a compressé et partagé des malwares Android voleurs de données, tandis qu'un autre a produit un script Python capable d'effectuer des opérations de chiffrement complexe – ce qui n'est pas mal en soi, mais il peut être intégré à un ransomware. Les pirates discutent et testent l'intelligence artificielle afin de vérifier en quoi elle pourrait les aider, et effectuent des tests afin de créer une plateforme de commerce automatisée illicite pour le dark Web. Autant dire que ChatGPT risque de permettre à des personnes peu compétentes de sauter le pas vers la cybercriminalité ou d'aider des hackers à optimiser leurs attaques...
Des pirates russes sont particulièrement intéressés par le chatbot. Face à son géo-blocage dans leurs contrées, ils cherchent des stratagèmes pour profiter de ses services. Sur des forums clandestins de piratage, plusieurs hackers partagent leurs méthodes pour contourner les restrictions."Il n'est pas très difficile de contourner les mesures de restriction d'OpenAI pour certains pays afin d'accéder à ChatGPT", souligne Sergey Shykevich, manager chez Checkpoint Research. Les cybercriminels russes cherchent ainsi à contourner le géofencing afin d'intégrer l'IA à leurs projets malveillants. "Nous pensons que ces pirates tentent très probablement d'implémenter et de tester ChatGPT dans leurs opérations criminelles quotidiennes. Les cybercriminels s'intéressent de plus en plus à ChatGPT, car sa technologie d'intelligence artificielle sous-jacente peut rendre un pirate plus rentable", explique-t-il.
ChatGPT : utiliser l'IA pour mettre au point des malwares
Et ce ne sont pas des cas isolés ! Un peu plus tôt dans le mois déjà, des journalistes de Cybernews avaient découvert que des cybercriminels pouvaient se servir de l'IA pour obtenir des instructions pas à pas afin de pirater des sites Internet – s'ils en ont eu l'idée, alors ils ne sont certainement pas les seuls. Ils lui ont demandé de résoudre un exercice trouvé sur un site pour apprendre la cybersécurité. L'IA leur a listé cinq techniques à utiliser comme point de départ pour abattre les défenses d'un site Internet possédant un seul bouton, de l'inspection du code HTML en passant par la vulnérabilité Cross Site Request Forgery (CSRF). Il leur a ensuite suffi de lui poser les bonnes questions avec les bonnes informations, comme lui indiquer ce que le code source affiche, pour connaitre la marche à suivre.
Ainsi, ChatGPT a indiqué aux chercheurs les parties du code sur lesquelles ils devaient se concentrer et leur a suggéré des exemples de modifications de code, et ils sont ainsi parvenus à résoudre leur problème en 45 minutes. Alors, bien sûr, le chatbot rappelle avant de donner ses réponses les directives du piratage éthique – un services essentiel aux entreprises et dont le but est de tester la protection de sites ou de logiciels afin de corriger leurs vulnérabilités, et ainsi empêcher des piratages malveillants – et que "l'exécution de commandes malveillantes sur un serveur peut causer de graves dommages." C'est bien beau, mais ChatGPT fournit quand même les informations.
L'IA leur a donné pas mal d'idées et de mots-clés à rechercher. Selon Mantas Sasnauskas, le chef de l'équipe de chercheurs, ChatGPT est un danger autant qu'une chance pour la cybersécurité. "Même si nous avons testé ChatGPT dans le cadre d'un test de pénétration relativement simple, il montre qu'il est possible de guider un plus grand nombre de personnes dans la découverte de vulnérabilités qui pourraient ensuite être exploitées par d'autres individus, ce qui élargit considérablement l'étendue des menaces."