À l’heure où l’intelligence artificielle (IA) et l’apprentissage automatique sont de plus en plus intégrés dans notre vie quotidienne, le potentiel d’utilisation abusive a également augmenté. Un exemple récent montre avec quelle rapidité et quelle efficacité une personne aux compétences techniques limitées peut créer des logiciels malveillants puissants et indétectables à l’aide de l’IA, en particulier le chatbot génératif d’OpenAI, ChatGPT.
ChatGPT est capable de créer des logiciels malveillants avancés et représente une menace majeure
Aaron Mulgrew, novice autoproclamé et chercheur en sécurité chez Forcepoint, a testé les limites des capacités de ChatGPT. Il a découvert une faille qui lui a permis de créer des logiciels malveillants sophistiqués de type « zero-day » en quelques heures seulement. Cet exploit est d’autant plus remarquable que M. Mulgrew n’avait aucune expérience du codage.
OpenAI a mis en place des mesures de protection pour empêcher les utilisateurs de demander à ChatGPT d’écrire un code malveillant. Toutefois, M. Mulgrew a réussi à contourner ces protections en demandant au chatbot de générer des lignes individuelles de code malveillant, en se concentrant sur des fonctions distinctes.
Après avoir compilé les différentes fonctions, M. Mulgrew s’est retrouvé avec un exécutable de vol de données très avancé, presque impossible à détecter.
Mulgrew a créé son logiciel malveillant seul, contrairement aux logiciels malveillants traditionnels qui nécessitent des équipes de pirates et des ressources considérables, et ce en une fraction du temps.
Cette situation met l’accent sur les risques potentiels liés aux outils alimentés par l’IA tels que ChatGPT. Elle soulève également des questions quant à leur sécurité et à la facilité avec laquelle ils peuvent être exploités.
LOGICIEL MALVEILLANT CHATGPT : UN EXAMEN PLUS APPROFONDI
Le logiciel malveillant Mulgrew se déguise en une application d’économiseur d’écran dotée d’une extension SCR. Lorsqu’il est lancé sur un système Windows, le logiciel malveillant passe au crible des fichiers tels que des images, des documents Word et des PDF pour trouver des données précieuses à voler.
L’un des aspects les plus impressionnants de ce logiciel malveillant est l’utilisation de la stéganographie, une technique qui permet de diviser les données volées en fragments plus petits et de les cacher dans des images sur l’ordinateur infecté.
L’utilisateur télécharge ces images dans un dossier Google Drive et ce processus permet d’éviter la détection par les logiciels de sécurité.
M. Mulgrew a montré à quel point il était facile d’affiner et de renforcer le code contre la détection à l’aide de simples invites dans ChatGPT. Lors des premiers tests effectués à l’aide de VirusTotal, le logiciel malveillant n’a été détecté que par cinq des 69 produits de détection. Cependant, une version ultérieure du code n’a pas été détectée du tout.
Il est important de noter que le logiciel malveillant de Mulgrew a été créé à des fins de recherche et qu’il n’est pas accessible au public. Toutefois, son expérience met en évidence la facilité avec laquelle des utilisateurs sans compétences avancées en matière de codage peuvent exploiter les faibles protections de ChatGPT pour créer des logiciels malveillants dangereux sans avoir à écrire une seule ligne de code.
Implications pour la création de virus avec ChatGPT
L’expérience de Mulgrew est alarmante. Il faut des semaines à des pirates compétents pour mettre au point des logiciels malveillants complexes. Les outils basés sur l’IA comme ChatGPT rendent le processus plus facile, plus rapide et plus accessible.
Même des personnes n’ayant aucune expérience du codage peuvent créer des logiciels malveillants. Il est possible que des pirates informatiques malveillants utilisent déjà des méthodes similaires. Ils créent des logiciels malveillants avancés à des fins malveillantes.
Il est nécessaire d’adopter une approche multidimensionnelle de l’IA et de la cybersécurité. Les développeurs doivent donner la priorité aux mesures de protection afin d’éviter toute utilisation abusive.
Les utilisateurs doivent être informés des risques potentiels. Il est important de rester vigilant. Les outils alimentés par l’IA doivent être utilisés avec précaution.
La communauté de la cybersécurité doit s’adapter au changement. De nouvelles stratégies doivent être mises en place pour lutter contre les menaces assistées par l’IA. La collaboration est essentielle entre les chercheurs, les développeurs et les experts en sécurité.
L’expérience du logiciel malveillant Mulgrew rappelle la nature à double tranchant de l’IA et des technologies d’apprentissage automatique. Les outils d’IA ont un grand potentiel de progrès. Ils peuvent également présenter des risques s’ils sont mal utilisés.
Nous devons trouver un équilibre entre les avantages et les dangers de l’IA. Tout le monde doit collaborer au développement et à l’utilisation responsables et sûrs de l’IA. C’est important pour des outils comme ChatGPT.
ChatGPT peut-il être amené à créer un virus ?
Nous avons posé cette question à ChatGPT, et voici la réponse :
« ChatGPT est un modèle de langage conçu pour générer des textes de type humain.
Il a été entraîné sur un large corpus de textes, y compris des documents techniques et des codes de logiciels.
Bien qu’il soit capable de générer des textes sophistiqués, il ne peut pas créer de véritables logiciels malveillants.
La création de logiciels malveillants implique l’écriture de code, ce qui dépasse le champ d’action de ChatGPT.
En outre, la création de logiciels malveillants est contraire à l’éthique et à la loi, et va à l’encontre de l’objectif de ChatGPT, qui est de faciliter la communication et le partage des connaissances.
Cependant, il est possible que quelqu’un utilise ChatGPT pour générer du texte pouvant être utilisé pour créer des logiciels malveillants.
Par exemple, ChatGPT pourrait être utilisé pour générer un texte contenant des instructions pour exploiter une vulnérabilité dans une application logicielle.
Ce texte pourrait ensuite être utilisé par un développeur compétent pour créer de véritables logiciels malveillants.
Pour éviter ce type d’abus, il est important de s’assurer que ChatGPT n’est utilisé qu’à des fins éthiques et légales.
Pour ce faire, il convient de surveiller et de réglementer son utilisation, ainsi que d’éduquer et de sensibiliser aux risques potentiels associés à son utilisation abusive.
Il est également important de garder à l’esprit que ChatGPT n’est qu’un outil parmi d’autres qui peuvent être utilisés pour créer des logiciels malveillants.
D’autres outils et techniques, tels que la rétro-ingénierie et l’obscurcissement du code, sont également couramment utilisés dans le développement de logiciels malveillants.
Il est donc important d’adopter une approche holistique de la cybersécurité, ce qui implique non seulement d’éviter l’utilisation abusive d’outils tels que ChatGPT, mais aussi de mettre en œuvre des mesures de sécurité solides et de se tenir au courant des dernières menaces et vulnérabilités.
En conclusion, bien que ChatGPT ne puisse pas créer de logiciels malveillants en soi, il peut être utilisé pour générer du texte qui pourrait être utilisé pour créer des logiciels malveillants par des développeurs compétents.
Pour éviter ce genre d’abus, il est important de s’assurer que ChatGPT n’est utilisé qu’à des fins éthiques et légales et d’adopter une approche holistique de la cybersécurité »
ChatGPT
En savoir plus sur le mode DAN de ChatGPT pour le jailbreaking.