ChatGPT est rapidement devenu un outil incontournable, dépassant la barre du million d’utilisateurs après tout juste quelques semaines d’existence. Mais il présente également certains risques pour les utilisateurs et les entreprises. Il est en effet très facile de divulguer, de façon accidentelle, des informations personnelles ou professionnelles en rédigeant des questions à l’attention de l’intelligence artificielle (IA), ce qui peut entraîner une fuite de données et un réel préjudice pour les entreprises.
Selon Gustavo Palazolo, threat research engineer chez Netskope, ChatGPT faciliterait aussi la tâche des cybercriminels dans l’élaboration de leurs attaques pour créer des logiciels malveillants ou des éléments de code néfastes :
« Cette IA pourrait en effet rédiger des emails de phishing plus convaincants, mettre en œuvre des attaques d’ingénierie sociale davantage persuasives, dialoguer avec leurs victimes afin de les inciter à divulguer des informations sensibles, voire rédiger du code malveillant sans disposer de compétences avancées. Tous ces aspects permettent en outre des attaques plus efficaces et menées à plus grande échelle.
Il est ainsi courant pour les hackers, surtout débutants, de réutiliser du code Open Source ou ayant fait l’objet d’une fuite dans leurs logiciels malveillants. Avec ChatGPT, les pirates moins expérimentés peuvent exploiter le moteur de l’IA pour générer ces éléments de code, mais aussi pour mieux comprendre leur fonctionnement, ou encore sélectionner l’outil le mieux adapté à leurs visées. En plus d’être capable d’expliquer le fonctionnement de différentes techniques malveillantes, cette IA génère également des exemples de code presque parfaits, à l’aide du langage de programmation C++, pour effectuer une série de tâches susceptibles d’aider les hackers ; telle que l’injection de processus, la détection de machines virtuelles et même le chiffrement de fichiers pouvant être utilisé lors d’attaques de ransomware.
Les entreprises et les utilisateurs individuels doivent donc se protéger : les attaques d’ingénierie sociale constituent un risque élevé et persistant pour les entreprises (avec ou sans recours à l’IA) et ont augmenté depuis le début de la pandémie de Covid. Une majorité des salariés pratiquent encore le télétravail, et ils se méfient bien moins qu’avant des solutions numériques tout en adoptant en masse des outils de collaboration à distance. L’existence d’un outil d’IA capable d’imiter notre comportement rend ce risque encore plus grand. Les entreprises doivent donc impérativement recréer un “pare-feu humain” en formant leurs employés et clients à repérer les indices de fraude, et à vérifier systématiquement l’identité de leur interlocuteur.
Cependant, les nouveaux vecteurs d’attaque susceptibles d’être développés grâce à l’IA peuvent en grande partie être contrés en optimisant la stratégie de sécurité. Cela demande notamment de maintenir les logiciels à jour, d’appliquer tous les correctifs, de veiller à l’adoption de politiques et de technologies efficaces pour la protection des données et, enfin, de protéger étroitement les atouts les plus précieux d’une entreprise.
Finalement, les risques associés à cette IA ne sont pas exagérés. Les hackers peuvent en effet détourner ChatGPT de nombreuses manières différentes pour se faciliter la tâche. Mais force est de reconnaître que l’IA n’est pas exclusivement une arme au service des cybercriminels. Elle constitue également un outil précieux pour repérer les vulnérabilités dans du code, ou pour évaluer une posture de sécurité et identifier comment améliorer les défenses d’une entreprise. »
Tribune par Gustavo Palazolo, threat research engineer chez Netskope