ChatGPT crée-t-il un cauchemar en matière de cybersécurité ? Nous avons demandé aux experts

Hibou Gourou
La main d'une personne tenant un smartphone. Le smartphone affiche le site Web de l'IA générative ChatGPT.
Sanket Mishra / Pexels

ChatGPT semble assez incontournable en ce moment, avec des histoires s'émerveillant de ses capacités apparemment partout où vous regardez. Nous avons vu comment il peut écrire de la musique, rendre des animations 3D et composer de la musique. Si vous pouvez y penser, ChatGPT peut probablement tenter sa chance.

Et c'est bien le problème. Il y a toutes sortes de tords dans la communauté technologique en ce moment, les commentateurs s'inquiétant fréquemment que l'IA soit sur le point de conduire à une apocalypse de logiciels malveillants avec même les pirates les plus audacieux évoquant des chevaux de Troie et des rançongiciels imparables.

Mais est-ce réellement vrai ? Pour le savoir, j'ai parlé à un certain nombre d'experts en cybersécurité pour voir ce qu'ils pensaient des capacités des logiciels malveillants de ChatGPT, s'ils étaient préoccupés par son potentiel d'utilisation abusive et ce que vous pouvez faire pour vous protéger dans ce nouveau monde naissant.

Capacités douteuses

Une personne tapant sur un ordinateur portable qui affiche le site Web d'IA générative ChatGPT.
Matheus Bertelli / Pexels

L'une des principales attractions de ChatGPT est sa capacité à effectuer des tâches compliquées avec seulement quelques invites simples, en particulier dans le monde de la programmation. La crainte est que cela réduirait les barrières à l'entrée pour la création de logiciels malveillants, risquant potentiellement une prolifération d'auteurs de virus qui s'appuient sur des outils d'IA pour faire le gros du travail à leur place.

Joshua Long, analyste en chef de la sécurité chez la société de sécurité Intego, illustre ce point. « Comme tout outil du monde physique ou virtuel, le code informatique peut être utilisé pour le bien ou pour le mal », explique-t-il. « Si vous demandez un code capable de crypter un fichier, par exemple, un bot comme ChatGPT ne peut pas connaître votre véritable intention. Si vous prétendez avoir besoin d'un code de cryptage pour protéger vos propres fichiers, le bot vous croira, même si votre véritable objectif est de créer un ransomware.

ChatGPT a mis en place diverses protections pour lutter contre ce genre de choses, et l'astuce pour les créateurs de virus consiste à contourner ces garde-fous. Demandez carrément à ChatGPT de créer un virus efficace et il refusera tout simplement, vous obligeant à faire preuve de créativité afin de le déjouer et de l'amener à faire ce que vous voulez contre son meilleur jugement. Compte tenu de ce que les gens sont capables de faire avec les jailbreaks dans ChatGPT , la possibilité de créer des logiciels malveillants à l'aide de l'IA semble théoriquement possible. En fait, cela a déjà été démontré , donc nous savons que c'est possible.

Mais tout le monde ne panique pas. Martin Zugec, directeur des solutions techniques chez Bitdefender, pense que les risques sont encore assez faibles. "La majorité des auteurs de logiciels malveillants novices ne possèdent probablement pas les compétences requises pour contourner ces mesures de sécurité, et par conséquent, le risque posé par les logiciels malveillants générés par les chatbots reste relativement faible pour le moment", a-t-il déclaré.

"Les logiciels malveillants générés par les chatbots ont été un sujet de discussion populaire ces derniers temps", poursuit Zugec, "mais il n'y a actuellement aucune preuve suggérant qu'ils constituent une menace importante dans un avenir proche". Et il y a une raison simple à cela. Selon Zugec, "la qualité du code malveillant produit par les chatbots a tendance à être faible, ce qui en fait une option moins attrayante pour les auteurs de logiciels malveillants expérimentés qui peuvent trouver de meilleurs exemples dans les référentiels de code publics".

Application ChatGPT exécutée sur un iPhone.
Joe Maring/Tendances numériques

Ainsi, bien qu'il soit certainement possible de faire en sorte que ChatGPT élabore du code malveillant, quiconque possède les compétences nécessaires pour manipuler le chatbot IA ne sera probablement pas impressionné par le mauvais code qu'il crée, estime Zugec.

Mais comme vous pouvez le deviner, l'IA générative ne fait que commencer. Et pour Long, cela signifie que les risques de piratage posés par ChatGPT ne sont pas encore gravés dans le marbre.

"Il est possible que la montée en puissance des bots d'IA basés sur LLM entraîne une augmentation faible à modérée des nouveaux logiciels malveillants, ou une amélioration des capacités des logiciels malveillants et de l'évasion antivirus", déclare Long, en utilisant un acronyme pour les grands modèles de langage que l'IA des outils comme ChatGPT utilisent pour développer leurs connaissances. "À ce stade, cependant, on ne sait pas quel impact direct des outils comme ChatGPT ont ou auront sur les menaces de logiciels malveillants du monde réel."

L'ami d'un pêcheur

Personne tapant sur un clavier d'ordinateur.

Si les compétences d'écriture de code de ChatGPT ne sont pas encore à la hauteur, cela pourrait-il constituer une menace par d'autres moyens, par exemple en écrivant des campagnes de phishing et d'ingénierie sociale plus efficaces ? Ici, les analystes conviennent qu'il y a beaucoup plus de potentiel d'abus.

Pour de nombreuses entreprises, un vecteur d'attaque potentiel est constitué par les employés de l'entreprise, qui peuvent être trompés ou manipulés pour fournir par inadvertance un accès là où ils ne le devraient pas. Les pirates le savent, et il y a eu de nombreuses attaques d'ingénierie sociale très médiatisées qui se sont avérées désastreuses. Par exemple, on pense que le groupe nord-coréen Lazarus a commencé son intrusion en 2014 dans les systèmes de Sony – entraînant la fuite de films inédits et d'informations personnelles – en se faisant passer pour un recruteur et en demandant à un employé de Sony d'ouvrir un fichier infecté.

C'est un domaine où ChatGPT pourrait considérablement aider les pirates et les hameçonneurs à améliorer leur travail. Si l'anglais n'est pas la langue maternelle d'un acteur menaçant, par exemple, il pourrait utiliser un chatbot IA pour lui écrire un e-mail de phishing convaincant destiné à cibler les anglophones. Ou il pourrait être utilisé pour créer rapidement un grand nombre de messages convaincants en beaucoup moins de temps qu'il n'en faudrait aux acteurs de la menace humaine pour effectuer la même tâche.

Les choses pourraient encore empirer lorsque d'autres outils d'IA sont ajoutés au mélange. Comme Karen Renaud, Merrill Warkentin et George Westerman l'ont postulé dans Sloan Management Review du MIT , un fraudeur pourrait générer un script à l'aide de ChatGPT et le faire lire par téléphone par une fausse voix qui se fait passer pour le PDG d'une entreprise. Pour un employé de l'entreprise recevant l'appel, la voix sonnerait – et agirait – exactement comme son patron. Si cette voix demandait à l'employé de transférer une somme d'argent sur un nouveau compte bancaire, l'employé pourrait bien tomber dans le piège en raison de la déférence qu'il accorde à son patron.

Comme le dit Long, « [les acteurs de la menace] ne doivent plus compter sur leurs propres compétences en anglais (souvent imparfaites) pour rédiger un e-mail frauduleux convaincant. Ils ne doivent même pas trouver leur propre formulation intelligente et la faire passer par Google Translate. Au lieu de cela, ChatGPT – totalement inconscient du potentiel d'intention malveillante derrière la demande – se fera un plaisir d'écrire l'intégralité du texte de l'e-mail frauduleux dans la langue de votre choix.

Et tout ce qui est nécessaire pour que ChatGPT le fasse réellement est une incitation intelligente.

ChatGPT peut-il renforcer votre cybersécurité ?

Un ordinateur portable ouvert sur le site Web ChatGPT.
Shutterstock

Pourtant, tout n'est pas mauvais. Les mêmes caractéristiques qui font de ChatGPT un outil attrayant pour les acteurs de la menace – sa vitesse, sa capacité à trouver des failles dans le code – en font une ressource utile pour les chercheurs en cybersécurité et les sociétés antivirus.

Long souligne que les chercheurs utilisent déjà des chatbots d'IA pour trouver des vulnérabilités encore inconnues ("zero-day") dans le code, simplement en téléchargeant le code et en demandant à ChatGPT de voir s'il peut détecter d'éventuelles faiblesses. Cela signifie que la même méthodologie qui pourrait affaiblir les défenses peut être utilisée pour les renforcer.

Et bien que le principal attrait de ChatGPT pour les acteurs de la menace puisse résider dans sa capacité à écrire des messages de phishing plausibles, ces mêmes talents peuvent aider à former les entreprises et les utilisateurs sur ce qu'il faut rechercher afin d'éviter d'être eux-mêmes arnaqués. Il pourrait également être utilisé pour désosser les logiciels malveillants, aidant les chercheurs et les entreprises de sécurité à développer rapidement des contre-mesures.

En fin de compte, ChatGPT en soi n'est pas intrinsèquement bon ou mauvais. Comme le souligne Zugec, "l'argument selon lequel l'IA peut faciliter le développement de logiciels malveillants pourrait s'appliquer à toute autre avancée technologique qui a profité aux développeurs, comme les logiciels open source ou les plateformes de partage de code".

En d'autres termes, tant que les garanties continueront de s'améliorer, la menace posée par les meilleurs chatbots IA ne deviendra peut-être jamais aussi dangereuse qu'on l'a récemment prédit.

Comment rester en sécurité

Le nom ChatGPT à côté d'un logo OpenAI sur un fond noir et blanc.

Si vous êtes préoccupé par les menaces posées par les chatbots IA et les logiciels malveillants qu'ils peuvent créer à mauvais escient, vous pouvez prendre certaines mesures pour vous protéger. Zugec dit qu'il est important d'adopter une "approche de défense à plusieurs niveaux" qui comprend "la mise en œuvre de solutions de sécurité des terminaux, la mise à jour des logiciels et des systèmes et la vigilance face aux messages ou demandes suspects".

Long, quant à lui, recommande d'éviter les fichiers que vous êtes automatiquement invité à installer lorsque vous visitez un site Web. Lorsqu'il s'agit de mettre à jour ou de télécharger une application, obtenez-la sur la boutique d'applications officielle ou sur le site Web du fournisseur de logiciels. Et soyez prudent lorsque vous cliquez sur les résultats de recherche ou que vous vous connectez à un site Web – les pirates peuvent simplement payer pour placer leurs sites frauduleux en haut des résultats de recherche et voler vos informations de connexion avec des sites Web sosie soigneusement conçus .

ChatGPT ne va nulle part, pas plus que le malware qui cause tant de dégâts dans le monde entier. Alors que la menace de la capacité de codage de ChatGPT peut être exagérée pour le moment, sa compétence à créer des e-mails de phishing pourrait causer toutes sortes de maux de tête. Pourtant, il est tout à fait possible de se protéger de la menace qu'il représente et de s'assurer de ne pas en être victime. À l'heure actuelle, une grande prudence – et une application antivirus solide – peuvent aider à garder vos appareils sains et saufs.