ChatGPT : les pirates peuvent-ils en profiter pour multiplier les cyberattaques ?

Depuis des années, les avantages de l’IA sont vantés par des entreprises et des spécialistes. Mais d’autres tirent la sonnette d’alarme sur les dérives, les erreurs qu’un algorithme mal conçu peut engendrer ou encore les deepfakes.

Avec ChatGPT, le risque cyber franchit certainement une nouvelle étape. Les pirates pourraient s’en servir pour écrire des logiciels malveillants ou repérer les vulnérabilités d’un site ou d’un serveur informatique.

Autre exploitation détournée de ce chatbot : le lancement de campagnes de phishing. En décembre dernier, les chercheurs de Checkpoint (une entreprise américaine spécialisée dans la cybersécurité) ont démontré comment ChatGPT pouvait potentiellement construire une campagne de logiciels malveillants du début à la fin, de la création d’un courriel de phishing à l’écriture du code malveillant.

Mais pour générer un code complet, il fallait demander au modèle IA de prendre en compte des éléments auxquels seul un programmeur expert aurait pensé… Et c’est bien là les limites de ChatGPT.

Une solution miracle pour les « script kiddies »

C’est l’avis de Marcus Hutchins, un hacker qui avait permis en 2017 d’arrêter la propagation du ransomware WannaCry. Connu sous son pseudonyme en ligne MalwareTech, il a essayé de développer un ransomware (ou rançongiciel, code malveillant chiffrant les données). Mais « ChatGPT a échoué », a-t-il expliqué dans une interview à CyberScoop.

« L’attaquant doit savoir ce qu’il veut exactement et être capable de spécifier la fonctionnalité. Le simple fait d’écrire “écrire un code pour un malware” ne produira rien de vraiment utile », a déclaré Sergey Shykevich, chercheur chez Checkpoint, dans un communiqué de presse.

« ChatGPT est un perroquet qui a beaucoup lu et qui ne sait que refaire ce qui est déjà connu. Pas besoin de ChatGPT pour développer des virus », affirme un expert du ministère des Armées qui souhaite rester anonyme.

Finalement, dans sa version actuelle, ChatGPT apparaît comme plus utile à des « script kiddies ». Avec cette solution d’IA, ces pirates non expérimentés pourraient ainsi compenser leurs faiblesses dans le développement de codes malveillants. La preuve, sur un forum de pirates, une personne est parvenue à concevoir un script Python capable de chiffrer et de déchiffrer des fichiers à la volée. Un code certes « bénin » en l’état, mais qui pourrait être affiné dans les prochains mois…

Enfin, le traitement du langage naturel (Natural language processing-NLP) pourrait représenter une aubaine pour tous les spammeurs du monde entier qui ne maîtrisent que leur langue maternelle.

En termes de création de contenus, le potentiel est clair et ChatGPT franchit une nouvelle étape. Des pirates pourraient s’appuyer sur cette solution pour concevoir des campagnes de phishing en différentes langues et difficiles à identifier comme étant des pièges, car le contenu serait parfaitement adapté à la cible (un expert-comptable, un DRH…).

Si des solutions permettent actuellement de repérer des contenus générés par ChatGPT, il sera peut-être plus difficile de détecter un email usurpant une banque ou une administration. Seule la vigilance de l’être humain permettra de lutter contre les risques de piratages ou d’usurpation d’identité.