ChatGPT est-il un désastre en matière de cybersécurité? Nous avons demandé aux experts

La main d'une personne tenant un smartphone. Le smartphone affiche le site Web de l'IA générative ChatGPT.
Sanket Mishra / Pexels

ChatGPT se sent assez incontournable en ce moment, avec des histoires émerveillé par ses capacités apparemment partout où vous regardez. Nous avons vu comment il peut écrire de la musique, rendre des animations 3D et composer de la musique. Si vous pouvez y penser, ChatGPT peut probablement tenter sa chance.

Contenu

  • Capacités douteuses
  • L'ami d'un pêcheur
  • ChatGPT peut-il renforcer votre cybersécurité ?
  • Comment rester en sécurité

Et c'est bien le problème. Il y a toutes sortes de tords à la main dans la communauté technologique en ce moment, les commentateurs s'inquiétant fréquemment que l'IA soit sur le point pour conduire à une apocalypse de logiciels malveillants avec même les pirates informatiques les plus audacieux évoquant des chevaux de Troie et des rançongiciels imparables.

Vidéos recommandées

Mais est-ce réellement vrai? Pour le savoir, j'ai parlé à un certain nombre d'experts en cybersécurité pour voir ce qu'ils pensaient des capacités des logiciels malveillants de ChatGPT, s'ils étaient préoccupés par son potentiel d'utilisation abusive et ce que vous pouvez faire pour vous protéger dans ce nouveau monde.

En rapport

  • Le fabricant de ChatGPT OpenAI fait face à une enquête de la FTC sur les lois de protection des consommateurs
  • 81 % pensent que ChatGPT est un risque pour la sécurité, selon une enquête
  • J'ai appris à ChatGPT à m'apprendre les jeux de société, et maintenant je n'y retournerai plus

Capacités douteuses

Une personne tapant sur un ordinateur portable qui affiche le site Web d'IA générative ChatGPT.
Matheus Bertelli / Pexels

L'une des principales attractions de ChatGPT est sa capacité à effectuer des tâches compliquées avec seulement quelques invites simples, en particulier dans le monde de la programmation. La crainte est que cela réduirait les barrières à l'entrée pour la création de logiciels malveillants, risquant potentiellement une prolifération d'auteurs de virus qui s'appuient sur des outils d'IA pour faire le gros du travail à leur place.

Joshua Long, analyste en chef de la sécurité chez la société de sécurité Intego, illustre ce point. « Comme tout outil du monde physique ou virtuel, le code informatique peut être utilisé pour le bien ou pour le mal », explique-t-il. « Si vous demandez un code capable de crypter un fichier, par exemple, un bot comme ChatGPT ne peut pas connaître votre véritable intention. Si vous prétendez avoir besoin d'un code de cryptage pour protéger vos propres fichiers, le bot vous croira, même si votre véritable objectif est de créer un ransomware.

ChatGPT a mis en place diverses protections pour lutter contre ce genre de choses, et l'astuce pour les créateurs de virus consiste à contourner ces garde-fous. Demandez carrément à ChatGPT de créer un virus efficace et il refusera tout simplement, vous obligeant à faire preuve de créativité afin de le déjouer et de l'amener à faire ce que vous voulez contre son meilleur jugement. Considérant ce que les gens sont capables de faire avec jailbreaks dans ChatGPT, la possibilité de créer des logiciels malveillants à l'aide de l'IA semble théoriquement possible. En fait, c'est déjà démontré, nous savons donc que c'est possible.

Mais tout le monde ne panique pas. Martin Zugec, directeur des solutions techniques chez Bitdefender, pense que les risques sont encore assez faibles. "La majorité des auteurs de logiciels malveillants novices ne possèdent probablement pas les compétences requises pour contourner ces mesures de sécurité. mesures, et donc le risque posé par les logiciels malveillants générés par les chatbots reste relativement faible à l'heure actuelle », a-t-il dit.

"Les logiciels malveillants générés par les chatbots ont été un sujet de discussion populaire ces derniers temps", poursuit Zugec, "mais il existe actuellement aucune preuve suggérant qu'il représente une menace importante dans un avenir proche. Et il y a une raison simple à cela. Selon Zugec, "la qualité du code malveillant produit par les chatbots a tendance à être faible, ce qui en fait un option attrayante pour les auteurs de logiciels malveillants expérimentés qui peuvent trouver de meilleurs exemples dans le code public dépôts. »

Application ChatGPT exécutée sur un iPhone.
Joe Maring/Tendances numériques

Ainsi, bien qu'il soit certainement possible de faire en sorte que ChatGPT crée du code malveillant, quiconque possède les compétences nécessaire pour manipuler le chatbot IA est susceptible de ne pas être impressionné par le mauvais code qu'il crée, Zugec croit.

Mais comme vous pouvez le deviner, l'IA générative ne fait que commencer. Et pour Long, cela signifie que les risques de piratage posés par ChatGPT ne sont pas encore gravés dans le marbre.

"Il est possible que la montée en puissance des robots IA basés sur LLM entraîne une augmentation faible à modérée des nouveaux logiciels malveillants, ou une amélioration des logiciels malveillants capacités et évasion antivirus », explique Long, en utilisant un acronyme pour les grands modèles de langage que les outils d'IA comme ChatGPT utilisent pour construire leur connaissance. "À ce stade, cependant, on ne sait pas quel impact direct des outils comme ChatGPT ont ou auront sur les menaces de logiciels malveillants du monde réel."

L'ami d'un pêcheur

Personne tapant sur un clavier d'ordinateur.

Si les compétences d'écriture de code de ChatGPT ne sont pas encore à la hauteur, cela pourrait-il constituer une menace par d'autres moyens, par exemple en écrivant des campagnes de phishing et d'ingénierie sociale plus efficaces? Ici, les analystes conviennent qu'il y a beaucoup plus de potentiel d'abus.

Pour de nombreuses entreprises, un vecteur d'attaque potentiel est constitué par les employés de l'entreprise, qui peuvent être trompés ou manipulés pour fournir par inadvertance un accès là où ils ne le devraient pas. Les pirates le savent, et il y a eu de nombreuses attaques d'ingénierie sociale très médiatisées qui se sont avérées désastreuses. Par exemple, on pense que le groupe nord-coréen Lazarus a lancé son Intrusion de 2014 dans les systèmes de Sony - entraînant la fuite de films inédits et d'informations personnelles - en se faisant passer pour un recruteur et en obligeant un employé de Sony à ouvrir un fichier infecté.

C'est un domaine où ChatGPT pourrait considérablement aider les pirates et les hameçonneurs à améliorer leur travail. Si l'anglais n'est pas la langue maternelle d'un acteur menaçant, par exemple, il pourrait utiliser un chatbot IA pour lui écrire un e-mail de phishing convaincant destiné à cibler les anglophones. Ou il pourrait être utilisé pour créer rapidement un grand nombre de messages convaincants en beaucoup moins de temps qu'il n'en faudrait aux acteurs de la menace humaine pour effectuer la même tâche.

Les choses pourraient encore empirer lorsque d'autres outils d'IA sont ajoutés au mélange. Comme Karen Renaud, Merrill Warkentin et George Westerman l'ont postulé dans Examen de la gestion Sloan du MIT, un fraudeur pourrait générer un script à l'aide de ChatGPT et le faire lire par téléphone par une fausse voix qui se fait passer pour le PDG d'une entreprise. Pour un employé de l'entreprise recevant l'appel, la voix sonnerait - et agirait - exactement comme son patron. Si cette voix demandait à l'employé de transférer une somme d'argent sur un nouveau compte bancaire, l'employé pourrait bien tomber dans le piège en raison de la déférence qu'il accorde à son patron.

Comme le dit Long, « [les acteurs de la menace] ne doivent plus compter sur leurs propres compétences en anglais (souvent imparfaites) pour rédiger un e-mail frauduleux convaincant. Ils ne doivent même pas trouver leur propre formulation intelligente et la faire passer par Google Translate. Au lieu de cela, ChatGPT - totalement inconscient du potentiel d'intention malveillante derrière la demande - se fera un plaisir d'écrire l'intégralité du texte de l'e-mail frauduleux dans la langue de votre choix.

Et tout ce qui est nécessaire pour que ChatGPT le fasse réellement est une incitation intelligente.

ChatGPT peut-il renforcer votre cybersécurité ?

Un ordinateur portable ouvert sur le site Web ChatGPT.
Shutterstock

Pourtant, tout n'est pas mauvais. Les mêmes caractéristiques qui font de ChatGPT un outil attrayant pour les acteurs de la menace - sa vitesse, sa capacité à trouver des failles dans le code - en font une ressource utile pour les chercheurs en cybersécurité et les sociétés antivirus.

Long souligne que les chercheurs utilisent déjà des chatbots d'IA pour trouver des objets non encore découverts ("zero-day") vulnérabilités dans le code, simplement en téléchargeant le code et en demandant à ChatGPT de voir s'il peut détecter tout potentiel faiblesses. Cela signifie que la même méthodologie qui pourrait affaiblir les défenses peut être utilisée pour les renforcer.

Et bien que le principal attrait de ChatGPT pour les pirates puisse résider dans sa capacité à écrire des messages de phishing plausibles, ces mêmes talents peuvent aider à former les entreprises et les utilisateurs sur ce qu'il faut rechercher pour éviter d'être victime d'une arnaque eux-mêmes. Il pourrait également être utilisé pour désosser les logiciels malveillants, aidant les chercheurs et les entreprises de sécurité à développer rapidement des contre-mesures.

En fin de compte, ChatGPT en soi n'est pas intrinsèquement bon ou mauvais. Comme le souligne Zugec, "L'argument selon lequel l'IA peut faciliter le développement de logiciels malveillants pourrait s'appliquer à n'importe quel autre les progrès technologiques qui ont profité aux développeurs, tels que les logiciels open source ou le partage de code plates-formes ».

En d'autres termes, tant que les garanties continueront à s'améliorer, la menace que représente même le meilleurs chatbots IA ne deviendra peut-être jamais aussi dangereux qu'on l'a récemment prédit.

Comment rester en sécurité

Le nom ChatGPT à côté d'un logo OpenAI sur un fond noir et blanc.

Si vous êtes préoccupé par les menaces posées par les chatbots IA et les logiciels malveillants qu'ils peuvent créer à mauvais escient, vous pouvez prendre certaines mesures pour vous protéger. Zugec dit qu'il est important d'adopter une "approche de défense à plusieurs niveaux" qui comprend "la mise en œuvre de solutions de sécurité des terminaux, la conservation des logiciels et des systèmes à jour, et rester vigilant face aux messages ou demandes suspects.

Long, quant à lui, recommande d'éviter les fichiers que vous êtes automatiquement invité à installer lorsque vous visitez un site Web. Lorsqu'il s'agit de mettre à jour ou de télécharger une application, obtenez-la sur la boutique d'applications officielle ou sur le site Web du fournisseur de logiciels. Et soyez prudent lorsque vous cliquez sur les résultats de recherche ou que vous vous connectez à un site Web - les pirates peuvent simplement payer pour placer leurs sites frauduleux en haut des résultats de recherche et voler vos informations de connexion avec sites Web sosie soigneusement conçus.

ChatGPT ne va nulle part, pas plus que le malware qui cause tant de dégâts dans le monde entier. Bien que la menace de la capacité de codage de ChatGPT puisse être exagérée pour le moment, sa compétence à créer des e-mails de phishing pourrait causer toutes sortes de maux de tête. Pourtant, il est tout à fait possible de se protéger de la menace qu'il représente et de s'assurer de ne pas en être victime. À l'heure actuelle, une grande prudence - et une application antivirus solide - peuvent aider à garder vos appareils sains et saufs.

Recommandations des éditeurs

  • Google Bard peut désormais parler, mais peut-il noyer ChatGPT?
  • Le trafic du site ChatGPT a chuté pour la première fois
  • Le rival ChatGPT d'Apple peut automatiquement écrire du code pour vous
  • Des avocats de New York condamnés à une amende pour avoir utilisé de faux cas ChatGPT dans un dossier juridique
  • Ce navigateur Web intègre ChatGPT d'une nouvelle manière fascinante