Imaginez. Le salarié d'une entreprise reçoit un mail apparemment anodin de la part de l'un de ses collègues. Dans la manière dont il s'exprime, la façon dont il semble familier avec le contexte de l'entreprise, la connaissance des changements récents opérés au sein de l'entreprise, ses échanges avec les salariés, tout inspire la confiance. Après quelques échanges, le salarié ne se méfie plus et clique sur un lien que son collègue lui envoie pour lui demander son avis sur un projet en cours.

Lire aussiQuelle cybersécurité pour l'industrie connectée ?

Malheureusement, le lien contient un logiciel espion. Il s'agit en réalité d'une attaque d'hameçonnage, et le « collègue » est un hacker étranger s'appuyant sur ChatGPT pour écrire dans un français impeccable et feindre de bien connaître le contexte de l'entreprise. Bien que le salarié ait été formé pour repérer et déjouer les tentatives malveillantes, cette fois-ci, désarmé par le réalisme de l'échange, il n'y a vu que du feu.

Des tentatives d'hameçonnage de plus en plus difficiles à identifier

Cet exemple fictif illustre la façon dont ChatGPT, et plus généralement l'intelligence artificielle générative, est déjà en train de changer la façon dont opèrent les hackers. Jusqu'à présent, la plupart des cyberattaques s'appuyaient sur un haut volume de tentatives d'hameçonnage grossières, largement automatisées. La grande majorité était déjouée, mais il suffisait d'une seule pour que les hackers parviennent à leur but. Rappelons que 82% des failles de sécurité sont dues à une erreur humaine.

Désormais, avec ChatGPT, il devient facile d'augmenter la qualité de ces tentatives d'hameçonnage. Ce qui représente un risque conséquent pour les entreprises. « ChatGPT peut assister les hackers de plusieurs manières. D'abord, il permet à ceux dont l'anglais n'est pas la langue maternelle d'écrire de manière impeccable. Or, une orthographe, une syntaxe hasardeuse sont aujourd'hui l'un des meilleurs moyens de repérer une tentative d'hameçonnage. Ensuite, son aspect interactif, sa capacité à comprendre le contexte et à trouver les bonnes informations en conséquence permet aux hackers de donner l'impression qu'ils en savent beaucoup plus que ce qui est en réalité le cas », résume Merrill Warkentin, professeur en systèmes d'information à l'Université du Mississippi.

Les usages potentiels de l'intelligence artificielle générative par les cyberpirates vont au-delà des attaques visant à dérober des fonds ou à extorquer une rançon aux entreprises. Depuis le début du conflit ukrainien, les cyberattaques disruptives sont en augmentation constante. Demain, on peut très bien imaginer que ChatGPT soit utilisé pour générer de faux échanges réalistes entre deux dirigeants d'une grande entreprise, dans lesquels ils cherchent apparemment à camoufler une action illégale qu'ils viennent de commettre.

Rendue publique et diffusée à l'aide d'une armée de robots sur les réseaux sociaux, une telle attaque pourrait faire chuter drastiquement la valorisation boursière de l'entreprise avant que la supercherie ne soit révélée. Avec les deepfakes et la possibilité de réaliser de faux enregistrements audio et vidéo très convaincants, les possibilités deviennent encore plus vastes.

Le piratage ubérisé

ChatGPT est aujourd'hui utilisé par les développeurs pour écrire des lignes de code et accroître leur productivité. « ChatGPT et les autres outils du même genre sont très performants pour coder des programmes qui servent un but précis, que l'on ait ou non des compétences très poussées en informatique », note Zachary Chase Lipton, chercheur de l'université Carnegie Mellon spécialisé dans l'intelligence artificielle.

Mis entre de mauvaises mains, il pourrait permettre d'ubériser le piratage via le low code/no code, en donnant des armes aux individus les moins doués en informatique. Il deviendrait ainsi possible de coder un logiciel malveillant avec des compétences limitées en programmation. Les hackers les plus expérimentés, quant à eux, pourraient s'appuyer sur ChatGPT pour coder plus rapidement ces malwares, et donc faire plus de dégâts.

Plusieurs cas de figure où des hackers ont partagé le code de logiciels malveillants écrit à l'aide de ChatGPT sur le Darknet ont ainsi déjà été identifiés. Dans un cas précis, un hacker a même utilisé le robot conversationnel  pour créer une place de marché entièrement automatisée afin d'y revendre des informations volées, des drogues, des armes et autres objets illégaux.

Lire aussiPiraté par des hackers pro-russes, le site de l'Assemblée nationale bloqué

Certes, OpenAI a mis en place des digues pour éviter que son produit ChatGPT ne soit utilisé à des fins malveillantes. Si on lui demande de but en blanc d'aider à coder un logiciel d'hameçonnage, par exemple, le chatbot va refuser en affirmant que cela va à l'encontre des règles éthiques auxquelles il doit se plier. Il est néanmoins toujours possible de contourner ces obstacles.

« Bien sûr les conditions générales OpenAI interdisent ce type d'usage, mais qui fait réellement le contrôle ? Et même dans l'intervalle d'un signalement, plusieurs dizaines ou centaines de victimes seront peut-être à déplorer... », note Eric Le Quellenec, avocat chez Simmons & Simmons, spécialisé dans la cybersécurité et la confidentialité des données.

En outre, le monopole d'OpenAI sur l'intelligence artificielle générative risque de s'avérer de courte durée, selon Zachary Chase Lipton. « Tout ce dont on a besoin pour construire un clone de ChatGPT, c'est d'une large quantité de données (auxquelles tout le monde a accès via l'internet) et d'une grande puissance de calcul. D'ici quelques années, avec la baisse du coût de l'informatique, il est fort probable que n'importe quel groupe de hackers puisse entraîner un logiciel similaire à ChatGPT, sans le moindre filtre ni la moindre interdiction », prédit le chercheur.

Pourquoi ChatGPT constitue une arme à double tranchant pour les hackers

Face à cette nouvelle donne, les entreprises doivent adapter d'urgence leur politique en matière de cybersécurité, selon Karen Renaud, informaticienne à l'université de Strathclyde, spécialisée sur les questions de sécurité et de vie privée.

« Les entreprises doivent mettre l'accent sur la formation de leurs équipes, qui doivent plus que jamais être entraînées à exercer leur esprit critique et à faire preuve de suspicion en permanence. Avec ChatGPT et les deepfakes, les conseils du style "assurez-vous de bien connaître la personne qui vous parle avant de faire ce qu'elle veut" sont totalement obsolètes. En outre, les entreprises doivent se montrer plus souples dans l'évolution de leur politique de sécurité : à l'ère où la nature des menaces change tous les jours, les mises à jour dans la politique de cybersécurité  ne peuvent plus mettre des mois à passer tous les échelons hiérarchiques. »

Pour Merrill Warkentin, l'approche traditionnelle consistant à établir des règles fixes et à inciter les employés à s'y tenir n'est ainsi plus suffisante. « De même qu'un chauffeur, en plus de respecter le code de la route, doit également s'adapter aux conditions météorologiques et à l'imprévu, les travailleurs doivent développer leur intelligence situationnelle. Leur formation à la cybersécurité par les entreprises doit s'adapter en conséquence. Cela implique par exemple de recourir à des mises en situation, où les formateurs font travailler les employés sur des scenarii réels ou fictifs pour les préparer à y répondre. »

ChatGPT peut également être mobilisé par les entreprises pour tester et améliorer la solidité de leur cyberdéfense, en leur permettant d'identifier des points faibles auxquels l'intelligence humaine n'aurait jamais pensé, comme l'a suggéré Eric Goldstein de la U.S. Cybersecurity and Infrastructure Security Agency, une agence fédérale américaine, lors d'une conférence à San Francisco.

« Songez à la façon dont l'IA joue au go ou aux échecs, d'une manière fondamentalement inhumaine. De même, l'intelligence artificielle pourrait être utilisée pour tester les défenses d'une entreprise en essayant de s'introduire d'une façon à laquelle les défenseurs n'auraient jamais pensé », a-t-il expliqué.

Des régulations pour limiter les usages malveillants de l'IA générative

Conscient des risques posés par les usages malveillants de ChatGPT, OpenAI a également mis en place des outils comme ZeroGPT, qui permettent de détecter les textes qui ont été rédigés par des intelligences artificielles génératives. S'il ne constitue pas une solution magique, cet outil va permettre aux entreprises qui l'intégreront dans leur serveur d'email de bloquer une partie des tentatives d'hameçonnage s'appuyant sur ChatGPT et ses épigones.

« Il faut savoir que les IA comme ChatGPT ont leur propre motif et donc signature, c'est ce qui va permettre de les classifier et dont de les identifier pour mieux les repérer », note Eric Le Quellenec.

Lire aussi« Non, il ne faut pas interdire ChatGPT » (Jean-Noël Barrot, ministre de la Transition numérique)

De futures régulations européennes pourraient également limiter les usages néfastes de cette technologie, selon l'avocat. « Le Parlement européen vient de voter le règlement sur l'IA. Le texte pourra encore évoluer, mais il semble que la définition de l'IA à haut risque sera étendue. Dans ce cadre, le fournisseur d'IA, avec la pression de l'organisme de certification pour disposer du précieux marquage CE, devra drastiquement limiter, voire empêcher l'usage détourné de cette technologie ».