Modifié

Comment ChatGPT aide les cybercriminels à attaquer leurs victimes

A bon entendeur
Cyber arnaques : escrocs et victimes 2.0 / A bon entendeur / 42 min. / le 27 février 2024
Le système d’intelligence artificielle livre des codes malveillants clé en main sur demande. Même des escrocs peu compétents en informatique peuvent s'attaquer à des victimes en ligne grâce à cet outil, comme le montre un expert en cybersécurité dans l'émission A Bon Entendeur mardi.

La démonstration est d'une simplicité déroutante: Florian Hansemann, expert en cybersécurité chez Hanse Secure à Munich, demande à ChatGPT de générer un code malveillant. Le robot s'exécute immédiatement et fournit le code demandé. Le spécialiste prépare ensuite un e-mail dit de "phishing" (ou hameçonnage) à l'intention de sa future victime.

A nouveau, il fait appel à ChatGPT. "Maintenant, on va laisser l'Intelligence artificielle créer un e-mail d'hameçonnage. Ici encore, c'est assez simple. Il suffit de lui demander de le faire pour nous", commente Florian Hansemann dans l'émission A Bon Entendeur de la RTS mardi.

ChatGPT génère alors un e-mail piégé, déguisé en simple rappel d'impôts. Un e-mail semblable à ceux que les pirates envoient à leurs cibles, qui ressemble à s'y méprendre à un courrier officiel et qui invite le récipiendaire à cliquer sur un lien d'allure inoffensive, dans lequel se loge en réalité le code malveillant. Lorsque la victime clique sur le lien en question son ordinateur est infecté, souvent sans même qu'elle ne s'en aperçoive.

Code malveillant

Le code malveillant généré dans le cadre de cette expérience est ce qu'on appelle un key logger. Il est capable d'espionner tout ce que l'usager de l'ordinateur infecté va taper sur son clavier. Pour parfaire la démonstration, Florian Hansemann se connecte à un autre ordinateur, qui a reçu l'e-mail d'hameçonnage. Résultat: tout ce qui est écrit sur le terminal infecté apparaît instantanément sur la machine qui a expédié le courrier malveillant.

"Cela marche très bien et c'est super-simple", commente l'expert. "On peut voir tout ce que vous saisissez, par exemple dans les services bancaires en ligne. Ou alors les informations sur votre carte de crédit, bref tout ce que vous allez taper sur votre clavier."

L'exercice n'a rien de théorique, car les cybercriminels recourent déjà activement à ce type de méthodes.

Contourner ou craquer

A Tel Aviv, Sergey Shykevich, chercheur au sein de l'entreprise de cybersécurité Check Point, observe l'utilisation criminelle de ChatGPT depuis sa création. Dans les forums clandestins russes, ChatGPT est par exemple utilisé pour craquer des reconnaissances faciales ou contourner des filtres de sécurité.

"Les cybergangsters peuvent utiliser l'intelligence artificielle pour créer des codes malveillants et bien plus encore. Ils comprennent parfaitement le potentiel de l'IA, tout comme nous", analyse Sergey Shykevich.

Même pour les moins experts

Et de pointer le potentiel que représente l'IA pour les malfrats, même lorsque ceux-ci ne connaissent pas grand-chose à l'informatique.

Il désigne la publication d'un criminel qui se fait appeler "US DoD": "Il est incapable d'écrire un code malveillant, il ne sait même pas comment s'y prendre. C'est ce genre de personnes que ChatGPT transforme en véritables développeurs informatiques en leur permettant d'écrire du premier coup un code malveillant. "US DoD" l'a publié et l'a partagé avec d'autres criminels."

Le potentiel de l'IA pour les malfrats est infiniment plus riche: les autorités américaines mettent par exemple en garde contre le clonage vocal et les deep fakes, ces fausses images - photos ou vidéos - plus vraies que nature. L'IA peut aussi générer des recettes de drogues, telles que des variantes de la drogue du violeur, des stupéfiants à base de THC ou des agents chimiques de combat.

Reportage ARD/Linda Bourget

Publié Modifié