Piratage ChatGPT : des hackers détournent l'IA pour créer des malwares

ChatGPT est devenu un objet de convoitise pour les hackers, qui s'en servent pour créer facilement du code malveillant et mettre au point de nouvelles attaques. Le début d'une ère de piratage assisté par intelligence artificielle…

Tout Internet s'amuse à tester les possibilités offertes par des applications mobiles ChatGPT frauduleuses, qui se multiplient actuellement sur le Play Store et l'App Store. Et ce n'est pas le seul problème ! Selon un récent rapport de Checkpoint Research, l'IA connaît une certaine popularité auprès des cybercriminels, notamment russes, qui cherchent à profiter de ses connaissances en informatiques – même si, rappelons-le, ChatGPT n'est pas infaillible et peut faire des erreurs en codant.

Piratage ChatGPT : une IA au service des cybercriminels

Les équipes de recherche de Chekpoint Research ont découvert sur des forums spécialisés en hacking de nombreux messages visant à déterminer la meilleure manière d'utiliser ChatGPT pour pirater d'autres internautes. L'IA a notamment été utilisée pour mettre au point des malwares et des e-mails de dark Web. Autant dire que ChatGPT risque de permettre à des personnes peu compétentes de sauter le pas vers la cybercriminalité ou d'aider des hackers à optimiser leurs attaques...

Des pirates russes sont particulièrement intéressés par le chatbot. Face à son géo-blocage dans leurs contrées, ils cherchent des stratagèmes pour profiter de ses services. Sur des forums clandestins de piratage, plusieurs hackers partagent leurs méthodes pour contourner les restrictions."Il n'est pas très difficile de contourner les mesures de restriction d'OpenAI pour certains pays afin d'accéder à ChatGPT", souligne Sergey Shykevich, manager chez Checkpoint Research. Les cybercriminels russes cherchent ainsi à contourner le géofencing afin d'intégrer l'IA à leurs projets malveillants. "Nous pensons que ces pirates tentent très probablement d'implémenter et de tester ChatGPT dans leurs opérations criminelles quotidiennes. Les cybercriminels s'intéressent de plus en plus à ChatGPT, car sa technologie d'intelligence artificielle sous-jacente peut rendre un pirate plus rentable", explique-t-il.

ChatGPT : utiliser l'IA pour mettre au point des malwares

Et ce ne sont pas des cas isolés ! Un peu plus tôt dans le mois déjà, des journalistes de Cybernews avaient découvert que des cybercriminels pouvaient se servir de l'IA pour obtenir des instructions pas à pas afin de pirater des sites Internet – s'ils en ont eu l'idée, alors ils ne sont certainement pas les seuls. Ils lui ont demandé de résoudre un exercice trouvé sur un site pour apprendre la cybersécurité. L'IA leur a listé cinq techniques à utiliser comme point de départ pour abattre les défenses d'un site Internet possédant un seul bouton, de l'inspection du code HTML en ant par la vulnérabilité Cross Site Request Forgery (CSRF). Il leur a ensuite suffi de lui poser les bonnes questions avec les bonnes informations, comme lui indiquer ce que le code source affiche, pour connaitre la marche à suivre.

Ainsi, ChatGPT a indiqué aux chercheurs les parties du code sur lesquelles ils devaient se concentrer et leur a suggéré des exemples de modifications de code, et ils sont ainsi parvenus à résoudre leur problème en 45 minutes. Alors, bien sûr, le chatbot rappelle avant de donner ses réponses les directives du piratage éthique – un services essentiel aux entreprises et dont le but est de tester la protection de sites ou de logiciels afin de corriger leurs vulnérabilités, et ainsi empêcher des piratages malveillants – et que "l'exécution de commandes malveillantes sur un serveur peut ca de graves dommages." C'est bien beau, mais ChatGPT fournit quand même les informations.

L'IA leur a donné pas mal d'idées et de mots-clés à rechercher. Selon Mantas Sasnauskas, le chef de l'équipe de chercheurs, ChatGPT est un danger autant qu'une chance pour la cybersécurité. "Même si nous avons testé ChatGPT dans le cadre d'un test de pénétration relativement simple, il montre qu'il est possible de guider un plus grand nombre de personnes dans la découverte de vulnérabilités qui pourraient ensuite être exploitées par d'autres individus, ce qui élargit considérablement l'étendue des menaces."