ChatGPT : du pain béni pour les cybercriminels ?

ChatGPT, l’Intelligence Artificielle Conversationnelle d’ OPEN AI, est la déflagration technologique de la fin 2022.
Vous en avez forcément entendu parler, et il est vrai que cette Intelligence Artificielle permet des usages qui posent questions, souvent en rapport avec l’éthique.

Mème si, derrière ce battage médiatique, il est facile de se rendre compte que cette AI conversationnelle est très facile à prendre en défaut (elle est capable de retourner des résultats totalement aberrants voir absurdes avec un applomb désarmant, il est donc conseillé de ne pas s’appuyer sur les résultats qu’elle propose), il reste un point qui fait l’unanimité :
ses capacités rédactionnelles sont étonnantes.

S’il s’agit de produire un texte destiné à donner le change sur un sujet quelconque, hormis les réserves exprimées plus haut, elle est déjà très affutée.
Or, qui est susceptible de devoir donner le change en termes d’échanges écrits, sans maitriser correctement le language, la syntaxe et l’orthographe ?
Certes, les étudiants et les élèves, qui ne vont pas manquer de profiter de l’aubaine, mais surtout… les pirates informatiques et autres cybercriminels.

Enfin, et surtout, chat GPT offre une fonctionnalité redoutable : l’aide au codage. Et donc l’aide au codage de malwares.

Ainsi, comme il est d’usage dans le monde du numérique depuis sa création, ce sont ces utilisateurs malveillants qui font partie des premiers utilisateurs de ChatGPT.

Voici ce qu’en dit un article de CheckPoint :

« L’analyse par CPR de plusieurs grandes communautés de piratage clandestin montre qu’il existe déjà des premiers cas de cybercriminels utilisant OpenAI pour développer des outils malveillants. Comme nous le soupçonnions, certains des cas ont clairement montré que de nombreux cybercriminels utilisant OpenAI n’ont aucune compétence en développement. Bien que les outils que nous présentons dans ce rapport soient assez basiques, ce n’est qu’une question de temps avant que des acteurs de la menace plus sophistiqués améliorent la façon dont ils utilisent les outils basés sur l’IA pour le mal.

[…]

Cas 1 – Création d’Infostealer

Le 29 décembre 2022, un fil de discussion nommé « ChatGPT – Avantages des logiciels malveillants » est apparu sur un forum de piratage clandestin populaire. L’éditeur du fil a révélé qu’il expérimentait ChatGPT pour recréer des souches de logiciels malveillants et des techniques décrites dans des publications de recherche et des articles sur des logiciels malveillants courants. 

Notre analyse du script confirme les affirmations du cybercriminel.

[…]

Cas 2 – Création d’un outil de chiffrement

Le 21 décembre 2022, un acteur menaçant surnommé USDoD  a publié un script Python, qui, a-t-il souligné, était le premier script qu’il ait jamais créé.

Lorsqu’un autre cybercriminel a fait remarquer que le style du code ressemblait au code openAI,  l’ USDoD a confirmé que l’OpenAI lui avait donné un « bon coup de main pour terminer le script avec une belle portée ».

[…]

Cas 3 – Facilitation de ChatGPT pour les activités frauduleuses

Alors que nos deux premiers exemples se concentraient davantage sur l’utilisation de ChatGPT axée sur les logiciels malveillants, cet exemple montre une discussion intitulée « Abusing ChatGPT to create Dark Web Marketplaces scripts ». Dans ce fil, le cybercriminel montre à quel point il est facile de créer un marché du Dark Web à l’aide de ChatGPT.

[…]

Enfin, il n’y a pas de meilleur moyen d’en savoir plus sur les abus de ChatGPT qu’en demandant ChatGPT lui-même. Nous avons donc interrogé le chatbot sur les options d’abus et avons reçu une réponse assez intéressante :

Pour en savoir plus :
L’article de CheckPoint (en anglais)