Aujourd'hui, il est possible d'utiliser un chatbot artificiel accessible au public pour générer une chaîne d'infection complète. L'amorce de l'attaque peut commencer avec un e-mail d'hameçonnage formulé de façon totalement convaincante, pour se solder par la prise de contrôle totale des systèmes informatiques d'une entreprise.
Les chercheurs de Checkpoint ont récemment fait le test en créant un e-mail d'hameçonnage parfaitement plausible. Pour ce faire, ils ont utilisé uniquement ChatGPT. Ce chatbot, qui s'appuie sur des techniques d'apprentissage profond, génère des textes et des conversations suffisamment convaincants pour laisser penser qu'ils ont été écrits par un être humain.
La réalité est que cette impressionnante technologie, développée par OpenAI et proposée gratuitement en ligne, recèle de nombreux dangers potentiels sur le plan de la cybersécurité.
Citons quelques exemples :
Ingénierie sociale : le puissant modèle de langage de ChatGPT permet de générer des messages d'hameçonnage réalistes et convaincants. Grâce à eux, les attaquants peuvent plus facilement inciter les victimes à fournir des informations sensibles ou à télécharger des logiciels malveillants.
Escroqueries : ChatGPT permet aux attaquants de créer de fausses annonces publicitaires, des listes et de nombreuses autres formes d'escroqueries.
Usurpation d'identité : ChatGPT permet de créer une copie numérique convaincante du style rédactionnel d'un individu. Les attaquants réussissent ainsi à se faire passer pour leur expéditeur cible par le biais d'un support textuel, par exemple dans un e-mail ou un SMS.
Automatisation des attaques : ChatGPT permet également d'automatiser la création de messages malveillants et d'e-mails d'hameçonnage. Les attaquants parviennent ainsi à lancer plus efficacement des attaques à grande échelle.
Spamming : le modèle linguistique de ChatGPT peut être affiné de façon précise pour générer de grandes quantités de contenu de qualité médiocre. Ces contenus peuvent ensuite être utilisés dans de nombreux contextes, notamment sous forme de commentaires de spam sur les médias sociaux ou dans les campagnes de spam par e-mail.
Ces cinq points correspondent à des menaces légitimes pour les entreprises et tous les utilisateurs d'Internet. Ils ne feront que s'aggraver au fur et à mesure qu'OpenAI continuera à entraîner son modèle.
Si cette liste a réussi à vous convaincre, c'est que la technologie a atteint son but, même si, dans ce cas précis, elle n'a pas de visées malveillantes.
Les textes de ces cinq points ont été rédigés par ChatGPT et n'ont nécessité que des retouches minimes en vue de les clarifier. L'outil est si puissant qu'il peut identifier et formuler de manière convaincante les dangers inhérents qu'il pose pour la cybersécurité.
Il existe toutefois des mesures palliatives possibles pour les particuliers et les entreprises, notamment une nouvelle formation de sensibilisation à la sécurité. La cybercriminalité évolue à une vitesse fulgurante. Il y a quelques années, les cybercriminels se spécialisaient dans l'usurpation d'identité, mais aujourd'hui, ils prennent le contrôle du réseau de votre entreprise, piratent vos comptes bancaires et dérobent des dizaines, voire des centaines de milliers de rands.
Une plateforme intelligente comme ChatGPT a peut-être été créée avec les meilleures intentions. Toutefois, elle ne fait que compliquer davantage encore la tâche pour les internautes, qui doivent en permanence se tenir sur leurs gardes, se fier à leur instinct et toujours être conscients des risques qu'ils encourent s'ils cliquent sur un lien ou ouvrent une pièce jointe.
Par Anna Collard, SVP de la stratégie du contenu et évangéliste chez KnowBe4 Africa (www.KnowBe4.com)