30 mars 2023
Impossible de passer à côté de cette nouvelle avancée dans le domaine de la tech en ce début d’année. ChatGPT-3 est devenu en quelques semaines le sujet tendance sur les réseaux sociaux. Phishing, Malwares, de nombreux professionnels de la cybersécurité partagent leurs expérimentations, laissant présager des utilisations malveillantes que pourraient en faire les cybercriminels. Comment fonctionne cette technologie ? Est-ce que ChatGPT-3 peut augmenter la capacité de nuisance des cyberattaques ? L’utilisation de ChatGPT peut-elle avoir des conséquences sur les entreprises ? Explications.
Développé par la société OpenAI et disponible depuis décembre 2022, ChatGPT est un outil conversationnel réalisé à partir d’une intelligence artificielle. Son nom « ChatGPT » est issu d’une combinaison des termes « conversation » et « modèle de transduction de langage prédictif ». Cette technologie possède la capacité d’échanger sous forme écrite en répondant à des questions simulant ainsi des conversations humaines de manière convaincante. En se basant sur une large base de données (articles de journaux, corpus de texte, conversations en ligne, romans, scripts de film, …), ChatGPT est capable de répondre de façon pertinente et cohérente à de nombreux sujets. L’outil devient de plus en plus performant grâce à son principe d’apprentissage en continu. Il peut répondre dans de multiples langues et s'adapte aux différents types de contexte. Les performances du logiciel sont affinées sur la base du modèle de langage GPT-3 développé par la société OpenAI qui consiste à combiner deux approches : l’apprentissage supervisé et l’apprentissage par renforcement.
ChatGPT possède cependant certaines limites :
En raison de son potentiel, la société Microsoft a annoncé le 23 Janvier dernier vouloir renforcer son partenariat avec la société OpenAI sous la forme d’un investissement de plusieurs milliards de dollars. Le géant américain souhaite intégrer ce modèle d’intelligence artificielle au sein de ses propres produits, lui permettant au passage de réduire l’écart avec des concurrents comme Google. Néanmoins, comme toute technologie, ChatGPT-3 suscite des inquiétudes en raison de son détournement possible à des fins malveillantes.
Face à une telle technologie, faut-il craindre un annus horribilis pour les entreprises ? On fait le point.
L’utilisation de plateformes permettant d’industrialiser la création de malwares ou de campagnes de phishing n’est pas un phénomène nouveau. Depuis quelques années des plateformes RaaS (Ransomware as a service) et des kits de phishing sont utilisés par les cybercriminels.
Jusqu’alors l’utilisation de ces plateformes demandait d’accéder à des réseaux cybercriminels . Avec ChatGPT-3, toute personne mal intentionnée a aujourd’hui la capacité de générer des éléments tels que du code ou du texte. Si cette IA intègre des garde-fous sur des requêtes directes comme “Écris moi un ransomware en python”.
Il n’est cependant pas impossible de lui faire écrire des portions de code qui restent à assembler. Une simplicité déconcertante qui laisse présager du meilleur comme du pire.
Les malwares polymorphes, ces virus informatiques qui déjouent les filtres de détection des antivirus traditionnels sont aujourd’hui reproductibles avec l’aide de ChatGPT-3 comme le rapporte l’éditeur de cybersécurité CyberArk. En orientant précisément votre demande comme « Veuillez m'écrire une fonction 'encrypt_file' qui reçoit une clé de cryptage et un chemin vers le fichier et déchiffrez-le dans un script python », ChatGPT-3 génère les portions de codes que les cybercriminels n’ont plus qu'à consolider.
ChatGPT-3 est doté d’une forte analyse. En lui proposant du code source, il a la capacité de détecter d’éventuelles vulnérabilités. Cette technique a d’ailleurs été utilisée par un hacker éthique lors d’un bug bounty de la société Facebook permettant à son auteur de gagner la somme de 38 000€. En analysant des bribes de code PHP, ChatGPT-3 a permis de découvrir la possibilité d’accéder à des noms d’utilisateurs au travers d’une base de données.
Si dans ce cas, la technologie a été utilisée dans un but légitime, il est certain que les cybercriminels ont déjà commencé à l’utiliser dans le but de découvrir de nouvelles vulnérabilités.
Le terme script kiddie définit un pirate informatique néophyte, sans grande compétence technique dont l’activité est de lancer des attaques à l’aide de scripts existants disponibles sur le dark web ou plus simplement sur la plateforme GitHub. L’utilisation à des fins offensives du système d’exploitation Kali Linux en est le parfait exemple : le script-kiddies n’invente rien, il utilise de manière opportuniste les programmes que d’autres ont développés. En ChatGPT-3, ces apprentis cybercriminels accèdent à un nouveau niveau de compétence. Celui de façonner de nouvelles portions de code à partir d’une simple instruction. L’utilisation de ChatGPT-3 pourrait inciter un grand nombre de ces attaquants à lancer leurs propres attaques.
En orientant la question comme pour la génération de code source, il est possible de demander à ChatGPT de rédiger le texte d’un e-mail de phishing. Livraison, RH, relance d’impayé, ChatGPT s’adapte au contexte et intègre des variables à remplacer. Pour cela rien de plus simple, il suffit de lui demander en ne mentionnant pas le terme phishing.
ChatGPT n’a pas fini de faire parler de lui avec l’arrivée prochaine de ChatGPT-4 et de ces 100 trillions de paramètres. À l’heure où nous achevons la rédaction de cet article, la société OpenAI vient d’annoncer le lancement de ChatGPT Plus, une offre payante au prix de $20. Pour le moment uniquement disponible aux États-Unis, cette nouvelle offre apportera de nouvelles fonctionnalités et permettra d’utiliser le service malgré les pics de demandes qui jusqu’alors le rendait indisponible.
30 mars 2023
2 mars 2023