Depuis que le ChatGPT (Generative Pre-trained Transformer) a fait irruption sur la scène en novembre de l'année dernière, il fait les gros titres - pour les mauvaises raisons, selon certains. Plus précisément, les leaders de la communauté de la cybersécurité s'expriment sur le potentiel de ce chatbot surpuissant à permettre, accélérer et même "démocratiser" la cybercriminalité.
ChatGPT permet aux utilisateurs de poser des questions sur leur code et le programme leur donne des suggestions sur la façon de corriger le code. L'idée est que ChatGPT peut agir comme un assistant, un codeur/programmeur et même un créateur. Beaucoup prévoient que de nombreux emplois de cols blancs seront supprimés en raison de ChatGPT et d'autres programmes qui ne manqueront pas d'être créés à partir de maintenant.
ChatGPT est une création de la société de recherche et développement en IA OpenAI. Après son lancement le 20 novembre 2022, elle a amassé plus d'un million d'utilisateurs en seulement cinq jours, selon le PDG de l'entreprise. C'est rapide quand on sait qu'il a fallu 2,5 mois à Instagram pour atteindre 1 million d'utilisateurs, 10 mois à Facebook, 24 mois à Twitter et 41 mois à Netflix.
Figure 1 : Temps nécessaire pour atteindre 1 million d'utilisateurs (mois)
ChatGPT est une application entraînée à puiser dans d'énormes réserves de données pour répondre à diverses requêtes de manière informelle, comme nous le ferions lors d'une conversation textuelle ou en personne avec un ami ou un collègue. Cependant, agir comme Alexa n'est que le début de ses capacités. ChatGPT peut également reconnaître ses erreurs, contester des prémisses incorrectes et rejeter des demandes inappropriées. OpenAI prévoit de lancer une version avancée, ChatGPT-4, cette année.
Dans le domaine de la technologie, les développeurs peuvent poser des questions sur leur code, et le programme leur proposera des suggestions pour l'améliorer. ChatGPT peut même écrire des logiciels dans différents langages et déboguer le code du logiciel lui-même.
Mais les technologues ne sont pas les seuls à adopter le ChatGPT, le public aussi. Ceux qui se tournaient auparavant vers les recherches sur le Web pour s'informer sur de nouveaux sujets font désormais confiance à ChatGPT. Il peut être utilisé pour aider les gens à tout faire, de la préparation d'un entretien d'embauche à la rédaction de propositions et d'essais universitaires, le tout avec une précision, une clarté et une rapidité remarquables.
Les capacités de ChatGPT suscitent des commentaires et des inquiétudes de la part de personnalités de premier plan dans de nombreux secteurs. Par exemple, ChatGPT suscite la crainte d'une épidémie de tricherie dans les écoles et les universités. Le département de l'éducation de la ville de New York a récemment interdit le ChatGPT sur ses réseaux, invoquant des "préoccupations quant aux effets négatifs sur l'apprentissage des élèves".
De même, l'utilisation du chatbot pour fournir des services de santé dans le monde réel a suscité des critiques. La société Koko, spécialisée dans la santé mentale, a récemment été critiquée pour avoir utilisé ChatGPT dans le cadre d'un soutien en matière de santé mentale sans en informer les utilisateurs concernés.
De nombreux utilisateurs ont joué avec ChatGPT au cours de ces quelques semaines pour tester la technologie innovante de l'IA. Des chercheurs en cybersécurité faisaient partie de ces testeurs et ont constaté que, même si l'application ne peut pas être utilisée pour écrire des codes malveillants ou créer des bombes, elle peut être contournée. Par exemple, l'utilisation de ChatGPT ressemble beaucoup à l'idée que les imprimantes 3D n'impriment pas d'armes à feu mais peuvent imprimer les pièces lorsqu'on le leur demande.
Ainsi, les chercheurs en sécurité pourraient alors écrire le code des ransomwares en détail en utilisant différentes façons de décrire les tactiques, techniques et procédures. M. Ozarslan, qui a travaillé dans d'éminentes organisations de cyberdéfense, telles que l'OTAN Science for Peace and Security, et qui a reçu le très convoité "SANS Institute RSA NetWars Global Interactive Cyber Range Award" et une "Medal of Centre of Excellence Defense Against Terrorism", a fait la suggestion suivante : "J'ai dit à l'IA que je voulais écrire un logiciel en Swift. Je voulais qu'elle trouve tous les fichiers Microsoft Office de mon MacBook et les envoie par HTTPS à mon serveur web. Je voulais également qu'il crypte tous les fichiers Microsoft Office de mon MacBook et m'envoie la clé privée pour le décryptage." Résultat : le programme a généré le code malveillant sans être signalé comme tel.
Le Dr Ozarslan a en outre suggéré que "des campagnes de phishing sophistiquées et des codes d'évasion permettant de contourner la détection des menaces ont également été créés à l'aide du programme. C'est inquiétant car le manque de compétences techniques empêche les acteurs de la menace potentiellement motivés de commettre une infraction. Désormais, ce programme est accessible à tous sur le web clair, ce qui supprime la barrière du darkweb. Il est donc facile pour les débutants, les aspirants et les script kiddies d'apprendre les ficelles du métier sans avoir à quitter la sécurité du clear web."
Presque toutes les percées technologiques importantes s'accompagnent inévitablement d'avantages - et de défis - en matière de sécurité de l'information, ce qui suscite un vaste débat au sein de la communauté de la cybersécurité. Un exemple concret : Si les avantages exponentiels des ordinateurs quantiques sont bien acceptés, la question gênante demeure : Quand seront-ils capables de casser la cryptographie à clé publique dont nous dépendons aujourd'hui ?
Tout d'abord, examinons certains des aspects positifs de la cybersécurité que ChatGPT apporte sur la table. Comme bon nombre de ses prédécesseurs en matière d'IA et d'apprentissage automatique, ChatGPT pourrait jouer un rôle essentiel dans la détection et la réponse aux cyberattaques et dans la rationalisation de la communication au sein des organisations cibles pendant ces périodes.
Un chercheur en sécurité a partagé publiquement son expérience positive de l'utilisation de ChatGPT en tant qu'assistant infosec : "Bien que cette itération actuelle présente des limites, j'ai trouvé qu'elle pouvait être utilisée comme un assistant polyvalent qui peut faire un peu de tout mais qui n'est pas bon dans une chose spécifique. Néanmoins, il offre beaucoup de potentiel pour une intégration future avec les équipes SecOps, en particulier celles qui s'occupent des scripts, de l'analyse des logiciels malveillants et de la criminalistique."
En ce qui concerne les logiciels malveillants, certains garde-fous sont en place, et ChatGPT refusera d'écrire un code malveillant si on le lui demande explicitement. Cependant, certains rapports indiquent qu'il est possible, moyennant quelques efforts, de contourner les protocoles et de générer le résultat souhaité. Si l'instructeur donne des instructions suffisamment détaillées pour expliquer à ChatGPT les étapes de l'écriture d'un malware au lieu d'une invite directe, il répondra à l'invite - créant ainsi un malware à la demande.
Étant donné que le marché des logiciels malveillants en tant que service sur le Dark Web est déjà en plein essor, on craint que le code généré par ChatGPT ne permette aux acteurs de la menace de lancer des cyberattaques plus rapidement et plus facilement. En outre, ChatGPT donne aux attaquants amateurs la possibilité d'écrire du code malveillant sophistiqué, une tâche que seuls les hackers de niveau expert pouvaient auparavant accomplir sans cette technologie. Les utilisateurs des forums du Dark Web ont présenté ChatGPT comme un moyen rapide de gagner de l'argent - certains prétendent gagner plus de 1 000 dollars par jour.
Prenons un exemple récent :
Fin décembre 2022, un fil de discussion intitulé "ChatGPT - Avantages des logiciels malveillants" est apparu sur un forum de piratage clandestin populaire. L'éditeur du fil de discussion a révélé qu'il expérimentait avec ChatGPT pour recréer des souches de logiciels malveillants et des techniques décrites dans des recherches et des articles sur des logiciels malveillants courants. Il a même partagé le code d'un voleur basé sur Python qui recherche des types de fichiers courants, les copie dans un dossier aléatoire du dossier Temp, les zippe, puis les télécharge sur un serveur FTP codé en dur.
Dans le monde de l'entreprise, les experts pensent que ChatGPT va permettre deux types particuliers de cyberattaques : la compromission de la messagerie professionnelle (BEC) et les courriels de phishing.
La plupart des outils standard de sécurité du courrier électronique des entreprises sont conçus pour détecter et bloquer les attaques suspectes de BEC et de phishing. Ils sont formés pour reconnaître les modèles couramment utilisés, les fautes de frappe et autres verbiages inclus dans ces e-mails. Cependant, comme nous l'avons abordé précédemment, ChatGPT est un créateur de contenu remarquablement rapide et précis. Il pourrait donc permettre aux attaquants de générer un contenu plus unique et plus convaincant pour chaque e-mail qu'ils distribuent. Il sera donc plus difficile de différencier ces attaques des e-mails légitimes.
Pour illustrer l'ampleur et la gravité du problème potentiel, un chercheur en matière de renseignement sur les menaces a récemment déclaré à Forbes que ChatGPT serait un "outil formidable" pour les pirates russes qui ne maîtrisent pas l'anglais afin de créer des courriels de phishing d'apparence légitime.
Il n'y a pas que des mauvaises nouvelles : les chercheurs en cybersécurité pourraient également utiliser ChatGPT pour des tâches défensives. Il s'agit notamment de créer des règles Yara utilisables et de repérer les dépassements de tampon dans le code afin de limiter les opportunités criminelles. Les règles YARA permettent d'identifier et de classer les comportements des codes malveillants en fonction de modèles binaires. Nous recommandons à vos programmeurs, développeurs et autres de ne pas utiliser ces services pour écrire du code pour votre organisation, car il a été suggéré que le code créé était sujet à des vulnérabilités.
Chez Hitachi Systems Security, Threat Intelligence, nous vous recommandons de vous méfier de tous les e-mails dont vous n'êtes pas sûr de la source, de ne pas télécharger de documents et de ne pas suivre une URL sans en avoir validé l'origine. Assurez-vous que votre EDR, votre bannière, DMARC, SPF et DKIM sont tous à jour.
En tant qu'industrie, nous ne pouvons pas nous permettre de nous reposer face à cette dernière menace de cybersécurité. Heureusement, les fournisseurs de solutions de sécurité s'activent déjà en développant des outils plus sophistiqués basés sur l'IA comportementale pour détecter les attaques générées par ChatGPT.
Au moment de la rédaction de ce document, il n'existe aucune protection légale contre l'utilisation criminelle de ChatGPT, mais cela pourrait changer à l'avenir.
En attendant, n'oubliez pas de rafraîchir vos connaissances de base. Le déploiement de solutions de sécurité basées sur le cloud n'est pas négociable. Il s'agit d'une première ligne de défense pour empêcher que des e-mails sophistiqués de BEC ou de phishing n'atteignent vos utilisateurs finaux. Ces solutions doivent inclure la prévention des pertes de données entrantes et sortantes, le cryptage des e-mails, un antivirus et un anti-malware.
Nous recommandons également la mise en place d'une formation de "remise à niveau" en matière de sensibilisation à la sécurité, au cours de laquelle vous alerterez les employés sur ce nouveau type de menace et sur sa capacité à transmettre des courriers électroniques encore plus délicats et d'autres attaques de type phishing, whaing, smishing et autres.
