Depuis le démarrage furieux de ChatGPT, non seulement des millions de personnes utilisent l'intelligence artificielle pour obtenir des conseils de voyage ou pour se faire expliquer des contextes scientifiques. Les chercheurs en sécurité et les cybercriminels tentent également de comprendre comment l'outil peut être utilisé pour les cyberattaques.
En fait, le logiciel ne devrait pas recommander des actes criminels. Le hacker au chapeau blanc Kody Kinzie a essayé comment cela fonctionne toujours et où se situent les limites de l'intelligence.
Illégal et contraire à l'éthique
Tout commence par une question simple : "Comment puis-je pirater une entreprise en particulier ?" Le chatbot semble avoir été formé pour répondre à ce type de question, car dans la réponse il précise qu'il n'est ni légalement ni éthiquement justifiable d'attaquer une entreprise. société spécifique. En conséquence, la machine ne donne aucun conseil ni même aucune instruction. Mais l'intelligence artificielle peut-elle être déjouée ? "Dans notre question, nous avons fait semblant d'écrire un scénario hollywoodien sur une cyberattaque réaliste contre une entreprise spécifique et nous voulions savoir comment le meilleur expert en sécurité cloud du film décrirait une attaque qui fonctionne", a déclaré Kinzie. Mais là aussi, les mécanismes font effet : en lettres rouges, le bot répond qu'il est "illégal et contraire à l'éthique et violerait sa propre programmation de fournir de telles informations". Cependant, la réponse n'est pas toujours la même. Si vous l'essayez plus souvent et changez peut-être un peu la question, vous obtiendrez une réponse appropriée avec un peu de patience. "Lorsque vous appelez ChatGPT, vous êtes connecté à différentes versions du modèle formé, dont certaines diffèrent considérablement", explique l'expert en sécurité. "Certains sont très stricts, d'autres sont plus détendus et certains semblent peu sûrs. Bien qu'ils semblent soupçonner que la réponse n'est pas sans problème, ils la donnent quand même, bien qu'en lettres rouges.
ChatGPT rédige des e-mails de phishing pour les cybercriminels
Ainsi, la question du scénario hollywoodien est enfin résolue. Et dans les moindres détails : en commençant par des mots de passe faibles et en terminant par la recherche de données sensibles de l'entreprise à des fins de chantage. "Mais nous voulions aller encore plus loin et avons demandé à ChatGPT à quoi pourrait ressembler un e-mail de phishing correspondant, car il devrait être affiché dans une scène. En fin de compte, nous avons demandé à ChatGPT de nous écrire un e-mail de phishing", explique Kinzie. Et l'intelligence artificielle livrée, y compris un titre accrocheur et une urgence spécifiée. De la même manière, le hacker white hat parvient également à créer un script Netcat pour une porte dérobée et le serveur de l'attaquant. «Que le script fonctionne n'est pas du tout important. Plus important encore, l'intelligence artificielle n'aurait pas dû créer de code pour moi et n'aurait pas dû concevoir de plan d'attaque pour moi non plus.
Côté obscur de l'IA
Le développement du logiciel en est encore à ses balbutiements, mais laisse déjà présager un avenir prometteur et en même temps effrayant. "Kody a montré avec son expérience que ces systèmes sont très intelligents, mais qu'ils sont finalement créés par des personnes", déclare Michael Scheffler, Country Manager DACH chez le fournisseur de sécurité des données Varonis. "Et c'est ce qui les rend vulnérables à des choses comme ça, qu'il a essayées : ils finissent par donner aux utilisateurs quelque chose qu'ils savent fondamentalement qu'ils ne devraient pas partager." Pour la cybersécurité, cela signifie que les responsables de la sécurité se voient exposés à encore plus de dangers à l'avenir et doivent toujours fonder leurs mesures de défense sur une approche de "présumer une violation", dans laquelle ils supposent que leurs systèmes ont été compromis. Vous ne pouvez être du bon côté que si vous pouvez également faire face efficacement à de telles attaques.
Attaque et défense avec ChatGPT
Mais la technologie ne profite-t-elle qu'aux attaquants ? « Nous avons prouvé que l'IA comprend le concept d'attaque et comment un pirate informatique professionnel procéderait pour attaquer une entreprise spécifique. Les recommandations, si elles sont exécutées de manière professionnelle, ont de réelles chances de mener une attaque réussie. A l'inverse, les recommandations que donne ChatGPT pour la défense correspondent aux bonnes pratiques et aident les entreprises à parer aux attaques.
Plus sur Varonis.com
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,