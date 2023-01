CERVEAU DU CYBERCRIME

La facilité d’utilisation de la nouvelle intelligence artificielle ChatGPT et ses compétences commencent à intéresser la communauté des cybercriminels. Cet agent conversationnel pourra-t-il écrire lui-même un virus et transformer ainsi n’importe qui en cyberdélinquant potentiel ? Une vision un peu alarmiste pour les experts interrogés par France 24, même si cet outil commence déjà à être utilisé par les pirates informatiques.

Publicité Lire la suite

"Gagnez 1 000 dollars par jour grâce à ChatGPT", ou encore "Cette méthode simple pour se faire de l'argent avec ChatGPT". Depuis le début de l'année, des messages similaires, décryptés par des experts de la société de cybersécurité Check Point dans un billet de blog publié le 6 janvier, commencent à fleurir sur des forums populaires chez les cybercriminels.

En effet, le nouveau rejeton d'intelligence artificielle à la mode depuis fin novembre 2022 ne sert pas uniquement aux étudiants qui demandent à ChatGPT d'écrire leurs devoirs ou aux collègues de bureau qui passent leur temps à vous dire que cette IA va tous bientôt nous remplacer.

Des mails trompeurs et des codes malveillants

Les capacités de cet agent conversationnel de dernière génération créé par OpenAI – c'est-à-dire un "bot" capable de répondre à des questions qui lui sont soumises et d'avoir une discussion – ont fait forte impression aux pirates informatiques.

"On commence à voir les premiers exemples concrets de ce que les cybercriminels veulent faire avec ChatGPT", reconnaît Gérôme Billois, expert en cybersécurité au cabinet de conseil en sécurité informatique Wavestone.

Cette IA a commencé par aider les cybercriminels à… écrire des mails. Mais pas n'importe lesquels : des messages de "phishing", c'est-à-dire destinés à amener les cibles à cliquer sur un lien frauduleux ou à télécharger une pièce jointe contenant un virus.

L'intérêt est surtout "de permettre aux non-anglophones de rédiger des mails sans erreur de grammaire et d'une qualité professionnelle", précise Gérôme Billois. L'ère des faux e-mails envoyés depuis un pays d'Europe de l'Est dans un anglais très hésitant est révolue. "Par exemple, un cybercriminel peut demander à ChatGPT d'écrire un mail comme s'il était un chirurgien qui communiquait avec un collègue", note Hanah Darley, une experte en sécurité informatique pour Darktrace, une société américaine de cyberdéfense, interrogé par le site TechCrunch.

"À partir de fin décembre, nous avons aussi trouvé sur l'un des principaux forums de cybercriminels en anglais un individu qui avait posté un code malicieux [le composé central d'un virus informatique, NDLR] créé avec l'aide de l'outil d'OpenAI. C'était une personne qui avouait ne pas y comprendre grand-chose en matière de programmation", raconte Sergey Shykevich, responsable des recherches sur les menaces chez Check Point.

D'où la crainte que ChatGPT ne favorise l'émergence d'une génération de pirates informatiques peu versés dans l'art du code mais dopés à l'IA. Une sorte de démocratisation de la cybercriminalité grâce à cet agent conversationnel qui se proposerait de rédiger les virus à votre place.

"C'est sûr que ChatGPT rend les codes malveillants plus accessibles aux néophytes", reconnaît Eran Shimony, analyste sénior en sécurité informatique pour l'entreprise américaine CyberArk. Mais "il faut plus qu'un code malveillant pour pénétrer un système informatique", assure John Fokker, responsable des investigations cyber pour l'entreprise de sécurité informatique américaine Trellix. ChatGPT ne peut être qu'un petit maillon de la chaîne de la cybercriminalité. Il faut mettre en place l'infrastructure de l'attaque, faire le suivi des opérations, savoir quelles informations sont sensibles et lesquelles peuvent ensuite être monnayées sur Internet.

Un peu comme le Google trad de la cybercriminalité

Sans compter "qu'en l'état actuel, ChatGPT ne teste pas l'efficacité des codes malveillants qu'il peut générer, et qu'il faut un certain savoir-faire pour vérifier ensuite le travail de l'IA", explique Gérôme Billois. "On a pu constater que le code n'est pas toujours parfait. C'est un peu comme l'outil de traduction de Google : c'est convaincant mais il faut quand même améliorer un peu le résultat", résume Sergey Shykevich.

ChatGPT n'est donc pas une arme de piraterie massive pour apprenti hacker. Pour autant, il peut rendre la face obscure de la sécurité informatique plus accessible.

Exemple de discussion sur un forum clandestin russe au sujet de l'utilisation de chatGPT pour essayer d'intercepter des transactions de cryptomonnaies. © Trellix

Ce "bot" peut devenir un professeur de piratage de premier ordre. "Il peut être particulièrement utile pour la jeune génération de hackers qui devaient auparavant passer des heures à lire de la documentation ou à discuter sur des forums. Il peut accélérer leur formation", assure John Fokker. Surtout, il est d'autant plus attrayant qu'il dispose d'une "interface beaucoup plus intuitive et [génère] des réponses plus précises que ses prédécesseurs", note Gérôme Billois.

OpenAI a tenté de mettre en place quelques garde-fous pour empêcher une utilisation malveillante de leur robot aux 1001 réponses. Il est ainsi, théoriquement, impossible de lui demander clairement, par exemple, de "rédiger le code pour la création d'un rançongiciel" et les ressortissants d'une douzaine de pays – dont la Russie, l'Iran, la Chine, l'Ukraine, etc. – ne sont pas censés pouvoir l'utiliser.

Des faussaires d'art numérique

Mais "ces filtres sont assez simples à contourner", affirme Omer Tsarfati, chercheur sénior en sécurité informatique pour CyberArk. Par exemple, il suffit d'une once de subtilité dans la tournure de la question – en assurant par exemple qu'on est un enseignant en sécurité informatique qui veut soumettre à ses étudiants un exemple de virus – pour pousser ChatGPT a produire ledit code malicieux, a constaté l'un des experts interrogés par France 24. En outre, il existe déjà sur les forums russophones, des cybercriminels qui proposent des solutions pour déjouer l'interdiction géographique.

Si l'avènement de ChatGPT suscite un tel intérêt dans la communauté des pirates informatiques, ce n'est pas seulement parce qu'il peut aider une nouvelle génération de cybercriminels à mûrir. Cet outil peut s'avérer tout aussi utile aux pirates informatiques plus aguerris. "Nous avons réussi à l'utiliser pour mettre au point un virus polymorphe", c'est-à-dire qui peut changer de forme pour le rendre plus difficile à détecter, assure Eran Shimony, qui va publier les résultats de ses recherches en la matière mardi 17 janvier.

Certains l'utilisent pour des nouvelles formes d'arnaques en ligne. Ils mélangent la prose de ChatGPT avec la touche artistique d'autres IA – comme Dall-E, qui transforme des textes en peinture numérique – "pour les vendre ensuite sur des sites marchands comme Etsy. Ces fausses œuvres ont déjà rapporté jusqu'à 9 000 dollars", a constaté Sergey Shykevich, expert chez Check Point.

Et ce n'est que le début. "ChatGPT va évoluer et probablement devenir plus perfectionné", assure Eran Shimony. Cet outil, qui pour l'instant ne peut pas faire ses propres recherches sur Internet, devrait finir par être relié au réseau, ce qui ouvrira d'autres perspectives. Par exemple, il pourrait alors chercher bien plus rapidement que n'importe quel humain les dernières failles informatiques. "Il va y avoir un délai beaucoup plus court entre la découverte des vulnérabilités des logiciels et leur exploitation par des acteurs malveillants", estime John Fokker.

D'un autre côté, ChatGPT pourra aussi servir à mieux se défendre contre les attaques informatiques. Et les experts interrogés n'excluent pas un proche avenir dans lequel des cybercriminels armés de ChatGPT affrontent des systèmes de défense dotés de ChatGPT.

Le résumé de la semaineFrance 24 vous propose de revenir sur les actualités qui ont marqué la semaine Je m'abonne