Français
ภาษาไทย
ဗမာစာ
فارسی
Română
Italiano
Polski
اردو
Türkçe
Tiếng Việt
한국어
Bahasa Indonesia
Deutsch
日本語
Русский
Português
हिन्दी
Suomi
नेपाली
Dansk
العربية
繁體中文
Norsk bokmål
Čeština
Filipino
עברית
Bahasa Melayu
Nederlands
বাংলা
Español
English
Au sein de ChatGPT, un outil de traitement du langage naturel alimenté par une intelligence artificielle développé par OpenAI, l'intérêt ne cesse de croître, que ce soit pour des tâches relativement simples telles que la rédaction d'e-mails, ou des tâches plus complexes comme la rédaction d'essais ou la compilation de code. Pour en savoir plus, consultez cet article complet.
Cela n'est en aucun cas parfait, bien sûr - il est connu pour faire des erreurs et des erreurs car il interprète mal les informations qu'il apprend, mais beaucoup le considèrent, ainsi que d'autres outils d'IA, comme l'avenir de notre utilisation d'Internet.
Les conditions d'utilisation d'OpenAI pour ChatGPT interdisent spécifiquement la génération de logiciels malveillants, y compris les ransomwares, les enregistreurs de frappe, les virus ou "tout autre logiciel destiné à causer un certain niveau de préjudice". Il interdit également les tentatives de création de spam, ainsi que les cas d'utilisation visant à des activités cybercriminelles.
Mais comme pour toute technologie en ligne innovante, il y a déjà des personnes qui expérimentent la façon dont elles pourraient exploiter ChatGPT à des fins plus obscures.
Après le lancement, il n'a pas fallu longtemps avant que des cybercriminels ne publient des discussions sur des forums clandestins sur la façon dont ChatGPT pourrait être utilisé pour faciliter des activités cybermalveillantes, telles que l'écriture d'e-mails d'hameçonnage ou l'aide à compiler des logiciels malveillants.
Et il y a des inquiétudes selon lesquelles les escrocs vont essayer d'utiliser ChatGPT et d'autres outils d'IA, tels que Google Bard, dans le cadre de leurs efforts. Bien que ces outils d'IA ne révolutionnent pas les cyberattaques, ils pourraient quand même aider les cybercriminels - même involontairement - à mener des campagnes malveillantes de manière plus efficace.
« Je ne pense pas, du moins à court terme, que ChatGPT créera de nouveaux types d'attaques. L'objectif sera de rendre leurs opérations quotidiennes plus rentables », déclare Sergey Shykevich, responsable du groupe de renseignement sur les menaces chez Check Point, une entreprise spécialisée en cybersécurité.
Aussi :Qu'est-ce que ChatGPT et pourquoi est-ce important ? Voici tout ce que vous devez savoir
Les attaques de phishing sont le composant le plus courant des campagnes de piratage malveillant et de fraude. Que les attaquants envoient des e-mails pour distribuer des logiciels malveillants, des liens de phishing ou qu'ils soient utilisés pour convaincre une victime de transférer de l'argent, l'e-mail est l'outil clé dans la coercition initiale.
Cette dépendance à l'e-mail signifie que les gangs ont besoin d'un flux constant de contenu clair et utilisable. Dans de nombreux cas - en particulier avec le phishing - l'objectif de l'attaquant est de persuader un humain de faire quelque chose, comme transférer de l'argent. Heureusement, beaucoup de ces tentatives de phishing sont facilement repérables comme des spams en ce moment. Mais un rédacteur automatisé efficace pourrait rendre ces e-mails plus convaincants.
La cybercriminalité est une industrie mondiale, avec des criminels de toutes sortes de pays envoyant des e-mails de phishing à des cibles potentielles dans le monde entier. Cela signifie que la langue peut être une barrière, surtout pour les campagnes de spear-phishing les plus sophistiquées qui reposent sur les victimes qui croient qu'elles s'adressent à un contact de confiance - et il est peu probable que quelqu'un croie qu'il s'adresse à un collègue si les e-mails sont pleins d'erreurs d'orthographe et de grammaire non caractéristiques ou de ponctuation étrange.
Mais si l'IA est exploitée correctement, un chatbot pourrait être utilisé pour rédiger du texte pour des courriels dans n'importe quelle langue souhaitée par l'attaquant.
"La grande barrière pour les cybercriminels russes est la langue - l'anglais", déclare Shykevich. "Ils embauchent maintenant des diplômés d'études d'anglais dans les collèges russes pour écrire des courriels de phishing et travailler dans des centres d'appels - et ils doivent payer pour cela."
Il continue: "Quelque chose comme ChatGPT peut leur faire économiser beaucoup d'argent dans la création de différentes variétés de messages de phishing. Cela peut simplement améliorer leur vie. Je pense que c'est la voie qu'ils rechercheront."
En théorie, il existe des protections en place qui sont conçues pour prévenir les abus. Par exemple, ChatGPT demande aux utilisateurs de s'inscrire avec une adresse e-mail et nécessite également un numéro de téléphone pour vérifier l'inscription.
Et même si ChatGPT refusera d'écrire des e-mails de phishing, il est possible de lui demander de créer des modèles d'e-mails pour d'autres messages, qui sont couramment exploités par les cyberattaquants. Cet effort pourrait inclure des messages tels que prétendre qu'une prime annuelle est offerte, une mise à jour logicielle importante doit être téléchargée et installée, ou qu'un document joint doit être examiné de toute urgence.
"Rédiger un e-mail pour convaincre quelqu'un de cliquer sur un lien afin d'obtenir quelque chose comme une invitation à une conférence - c'est plutôt bien, et si vous êtes un locuteur non natif de l'anglais, cela paraît très bien", déclare Adam Meyers, vice-président principal du renseignement chez Crowdstrike, un fournisseur de cybersécurité et de renseignements sur les menaces.
"Vous pouvez lui demander de créer une invitation bien formulée et grammaticalement correcte que vous ne seriez pas forcément en mesure de faire si vous n'étiez pas locuteur natif de l'anglais."
Mais abuser de ces outils n'est pas seulement limité aux emails ; les criminels pourraient les utiliser pour aider à rédiger des scripts pour n'importe quelle plateforme en ligne basée sur du texte. Pour les auteurs d'escroqueries ou même pour les groupes de cybermenaces avancées essayant de mener des campagnes d'espionnage, cela pourrait être un outil utile -- surtout pour créer de faux profils sociaux afin d'attirer les gens.
"Si vous souhaitez générer du jargon professionnel plausible pour LinkedIn afin de donner l'impression d'être un vrai professionnel cherchant à établir des connections, ChatGPT est excellent pour cela", déclare Kelly Shortridge, experte en cybersécurité et principale technologue de produit chez Fastly, un fournisseur de cloud-computing.
Différents groupes de piratage tentent d'exploiter LinkedIn et d'autres plateformes de médias sociaux en tant qu'outils pour mener des campagnes de cyber-espionnage. Mais créer de faux profils en ligne qui semblent légitimes - et les remplir de publications et de messages - est un processus chronophage.
Shortridge pense que les attaquants pourraient utiliser des outils d'IA tels que ChatGPT pour rédiger du contenu convaincant tout en bénéficiant d'une charge de travail moins intense que si le travail était effectué manuellement.
"Beaucoup de ces campagnes d'ingénierie sociale nécessitent beaucoup d'efforts car vous devez configurer ces profils", dit-elle, soutenant que les outils d'IA pourraient considérablement réduire la barrière à l'entrée.
"Je suis certaine que ChatGPT pourrait rédiger des articles de pensée influente très convaincants," dit-elle.
La nature de l'innovation technologique signifie que, chaque fois qu'une nouveauté émerge, il y aura toujours des personnes qui chercheront à l'exploiter à des fins malveillantes. Et même avec les moyens les plus innovants pour tenter de prévenir les abus, la nature sournoise des cybercriminels et des fraudeurs fait qu'ils sont susceptibles de trouver des moyens de contourner les protections.
« Il n'y a aucun moyen d'éliminer complètement les abus à zéro. Cela ne s'est jamais produit avec aucun système », déclare Shykevich, qui espère que mettre en évidence les problèmes potentiels de cybersécurité entraînera davantage de discussions sur la façon de prévenir l'exploitation des chatbots d'IA à des fins erronées.
"C'est une excellente technologie - mais, comme toujours avec une nouvelle technologie, il y a des risques et il est important d'en discuter pour en être conscient. Et je pense que plus nous en discutons, plus il est probable que OpenAI et des entreprises similaires investiront davantage dans la réduction des abus", suggère-t-il.
Il y a également un avantage pour la cybersécurité dans les chatbots IA, tels que ChatGPT. Ils sont particulièrement bons pour traiter et comprendre le code, il y a donc un potentiel pour les utiliser afin d'aider les défenseurs à comprendre les malwares. Comme ils peuvent aussi écrire du code, il est possible que, en assistant les développeurs avec leurs projets, ces outils puissent aider à créer un code meilleur et plus sécurisé plus rapidement, ce qui est bénéfique pour tout le monde.
Tel que l'a récemment écrit Jeff Pollard, analyste principal chez Forrester, ChatGPT pourrait permettre une réduction massive du temps nécessaire pour produire des rapports d'incidents de sécurité.
"Faire tourner ces processus plus rapidement signifie plus de temps pour faire le reste - tester, évaluer, enquêter et réagir, ce qui permet aux équipes de sécurité de s'adapter", note-t-il, ajoutant qu'un robot pourrait suggérer les prochaines actions recommandées en fonction des données disponibles.
« Si l'orchestration, l'automatisation et la réponse en matière de sécurité sont correctement configurées pour accélérer la récupération des artefacts, cela pourrait accélérer la détection et la réponse et aider les analystes du [centre des opérations de sécurité] à prendre de meilleures décisions », dit-il.
Donc, les chatbots pourraient rendre la vie plus difficile pour certains dans le domaine de la cybersécurité, mais il pourrait également y avoir des aspects positifs.
ZDNET a contacté OpenAI pour obtenir des commentaires, mais n'a pas reçu de réponse. Cependant, ZDNET a demandé à ChatGPT quelles règles sont en place pour éviter qu'il soit utilisé de manière abusive à des fins de hameçonnage - et voici le texte que nous avons obtenu.
"Il est important de noter que bien que les modèles de langage IA tels que ChatGPT puissent générer un texte similaire à celui des emails de phishing, ils ne peuvent pas effectuer d'actions malveillantes par eux-mêmes et nécessitent l'intention et les actions d'un utilisateur pour causer des dommages. En conséquence, il est important pour les utilisateurs de faire preuve de prudence et de bon sens lors de l'utilisation de la technologie de l'IA, et d'être vigilants pour se protéger contre le phishing et autres activités malveillantes."