Le logiciel ChatGPT d'Open AI fait des vagues. Avec l'aide de l'IA, le chatbot répond à une grande variété de questions de manière très éloquente. Il n'est donc pas surprenant que, comme c'est toujours le cas avec les nouvelles technologies, les criminels réfléchissent déjà à la manière d'utiliser ces capacités à leurs propres fins.
Une étude conjointe d'Europol, d'Unicri et de Trend Micro a enquêté sur ce point. Selon ces résultats, des outils d'ingénierie sociale encore mieux générés tels que le phishing ou le BEC pourraient être envisagés pour le logiciel Open AI. Actuellement, d'autres chercheurs en sécurité ont également examiné des e-mails frauduleux générés avec l'IA actuellement en vogue et ont reçu des résultats menaçants. De plus, les criminels semblent déjà discuter des moyens d'amener ChatGPT sur le dark web dans des forums clandestins.
Le rôle de ChatGPT
Il est clair que ChatGPT ne joue pas le rôle de la mythique "boîte de Pandore" désormais ouverte, mais représente simplement la première étape d'un développement prévisible qui conduira tôt ou tard à l'utilisation de l'IA dans la cybercriminalité. Pour les créateurs d'Open AI, la sortie peut être l'aboutissement préliminaire d'un long développement, mais pour l'informatique, le voyage ne fait que commencer.ChatGPT montre de nouvelles possibilités et inspirera plusieurs autres à faire de même. La technologie sous-jacente sera accessible au grand public et utilisée de manière rentable et judicieuse en tant que composant de solutions plus vastes. Une évolution commune et également positive pour l'informatique. Le revers de la médaille est que les criminels pourront également y accéder et utiliser efficacement la technologie.
E-mails d'hameçonnage/d'attaque
Les e-mails de phishing font partie du programme standard pour la plupart des types d'attaques, afin de créer un point de départ initial pour d'autres activités criminelles. Et ce n'est souvent pas si facile. C'est pourquoi il existe également un secteur de services distinct dans le métro numérique, qui propose ce que l'on appelle "l'accès en tant que service" de bonne qualité — une question de prix, rien de plus. Le problème pour les criminels est que la technologie et l'intuition humaine sont capables d'intercepter les attaques, c'est pourquoi elles sont lancées en masse (des milliards) ou, à grands frais, avec une interaction humaine.
L'IA pour augmenter l'efficacité semble très tentante pour ce groupe d'agresseurs. L'état actuel de l'art avec ChatGPT peut aider à formuler des e-mails de manière plus crédible. Les fautes d'expression et d'orthographe souvent mentionnées dans les formations à la sécurité sont éliminées, et de nouveaux contenus peuvent être générés plus rapidement pour que les mails paraissent "plus attractifs".
Des e-mails sans erreur trompent plus facilement les utilisateurs
Mais les "meilleurs" e-mails de phishing ne sont pas les soucis des chercheurs en sécurité lorsqu'ils envisagent l'utilisation de l'IA dans l'accès en tant que service. On craint plutôt qu'il soit possible de créer une IA de manière à ce qu'elle soit capable de mener une communication intéressante avec une victime et ainsi de réduire l'énorme effort actuellement impliqué dans les attaques ciblées. Si cela réussit, les futurs e-mails de phishing ne pourront plus être distingués des véritables communications professionnelles.
Les victimes sont alors confrontées à des attaques personnelles, dans lesquelles des connaissances disponibles via les réseaux sociaux, par exemple, sont intégrées. La variante d'attaque Emotet a déjà démontré les effets que cela peut avoir en écrivant son e-mail d'attaque en réponse à un e-mail précédemment envoyé par la victime, heureusement sans support d'IA - avec un contenu généré de manière générique. Le dynamite phishing, comme cette méthode est connue, s'est déjà avéré extrêmement efficace.
Escroqueries - Compromis de messagerie professionnelle (BEC)
Les progrès réalisés par l'IA ces dernières années s'observent surtout au niveau du langage et de la communication interpersonnelle. Ce qui est également spécial à propos de ChatGPT, c'est que le logiciel utilise non seulement ce qui existe déjà, mais génère également un nouveau contenu intéressant pour les gens. Cela suggère qu'il est utilisé par les cybercriminels dans ce domaine. Il y a une communication interpersonnelle dans toutes les variantes d'escroquerie.
Dans le secteur des entreprises, par exemple, il s'agit de la méthode Business E-Mail Compromise (BEC), dans laquelle un employé est trompé en lui faisant croire qu'il communique avec son patron ou un client important. Et il existe également une grande variété de variantes dans la sphère privée, telles que diverses escroqueries amoureuses ou le fameux "Prince du Nigeria". En bref, la victime est persuadée dans une communication directe, souvent longue, de finir par transférer sans réfléchir de l'argent à l'agresseur. Avec les possibilités actuelles de ChatGPT, les mails doivent être culturellement optimisés, par exemple avec de la poésie.
Barrière de la langue? Pas de problème pour l'IA
Cependant, ici aussi, c'est davantage l'étape d'expansion supplémentaire qui suscite des inquiétudes. La première chose qui risque de tomber, ce sont les barrières linguistiques. L'IA est déjà disponible en allemand aujourd'hui. Les options de traduction précédentes peuvent germaniser des mots ou des phrases, mais ne blanchissent que mal le contexte culturel d'une personne. Une IA peut le faire. Il existe déjà des techniques apparentées dans le domaine des deep fakes qui permettent d'échanger les visages des personnes en temps réel, rendant plus difficile l'identification par vidéo.
En outre, il existe de nombreux stratagèmes d'escroquerie éprouvés. Une IA peut donc être facilement formée avec des cas réussis et apprendre comment convaincre au mieux les gens. Les auteurs peuvent non seulement augmenter leur efficacité, mais aussi le nombre de victimes qu'ils attaquent en parallèle. Mais une IA spécialisée dans la fraude peut conduire à des scénarios d'application complètement différents que nous ne pouvons pas encore évaluer du tout.
Création de logiciels malveillants par l'IA
Richard Werner, consultant commercial chez Trend Micro (Image : Trend Micro)
Le ChatGPT peut également développer et déboguer des logiciels/codes. Par conséquent, il existe la possibilité théorique de générer également des logiciels malveillants. Cela a déjà été prouvé dans des tests de preuve de concept. Bien que les développeurs d'Open AI ajustent régulièrement leurs politiques pour éviter cela, il existe toujours des exemples de la façon dont cela fonctionne.
Des obstacles subsistent : Le code créé fonctionne, mais nécessite une description précise par le demandeur. Il est également discuté que le code généré par l'IA n'est pas encore convaincant, en particulier dans le développement de logiciels. ChatGPT est donc susceptible d'être relativement peu utile pour les cybercriminels déterminés aujourd'hui. Cependant, la phase d'expansion est également prévisible ici.
Il est clair que tôt ou tard, les logiciels d'attaque seront écrits par l'IA. Par exemple, cela réduit le temps entre la découverte d'une vulnérabilité, son correctif et une cyberattaque à quelques minutes seulement - même pour les criminels qui ne sont pas techniquement talentueux. Mais tous ces défis sont bien connus pour lesquels il existe des solutions dans le domaine de la sécurité. Déjà, l'industrie est confrontée à plus de 300.000 XNUMX nouveaux fichiers malveillants par jour. Nous parlons de zéro jour et de quelques heures, et l'IA a depuis longtemps pris en charge le travail pour nous aussi, principalement pour identifier les inconnues dans le type de procédure.
Conclusion : ChatGPT change-t-il l'avenir de la sécurité informatique ?
ChatGPT n'a pas initié ce développement, mais a seulement démontré au public ce qui a longtemps été discuté dans les cercles scientifiques. On peut supposer que l'utilisation de l'IA jouera un rôle, en particulier dans l'infection initiale. Ici, Access-as-a-Service est en concurrence pour les clients, et l'IA peut minimiser les efforts énormes ou améliorer le succès des attaques de masse. Par conséquent, les entreprises doivent supposer que les attaquants seront capables de contourner leurs principaux mécanismes de défense encore plus qu'auparavant.
Plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.