IA : le dark web lance WormGPT, un ChatGPT malveillant
Des chercheurs de SlashNext, une entreprise de cybersécurité, ont découvert sur un forum clandestin l’existence d’une IA malveillante du nom de WormGPT. Ce chatbot peut notamment créer des mails de phishing personnalisés et très convaincants.
Depuis le lancement de ChatGPT en fin d’année dernière, l’intelligence artificielle intéresse tout le monde. Des éducateurs aux médecins en passant par les banquiers, les distributeurs et les médias. Mais elle attire aussi l’attention des cybercriminels (ce n’est pas surprenant), qui apprécient toutes les technologies pouvant faciliter leurs activités malveillantes.
Un modèle entraîné avec des données liées aux logiciels malveillants
Des chercheurs de SlashNext, une entreprise de cybersécurité, ont ainsi découvert sur un forum clandestin l’existence d’une IA dénuée d’éthique. Ce chatbot a reçu le nom évocateur de WormGPT. Comme ChatGPT, il peut répondre à toutes les questions qu’on lui pose ou exécuter les tâches qu’on lui demande. Par exemple, sur instruction, il peut développer des virus et planifier des attaques informatiques ou des arnaques en fournissant tous les détails inimaginables. WormGPT s’appuie sur GPT-J, un modèle de langage open source conçu par EleutherAI en 2021. Les cybercriminels ont entraîné ce système avec une masse de données liées aux logiciels malveillants.
Un courriel capable de tromper un gestionnaire de compte
Parmi les cas d’utilisation de WormGPT les plus effarants, on trouve la création de mails de phishing personnalisés et très convaincants. Les chercheurs de SlashNext ont testé les capacités de l’outil en lui demandant de générer un courriel persuasif à utiliser dans le cadre d’une attaque de compromission d’e-mail professionnel. Cette manœuvre vise à manipuler un salarié afin qu’il divulgue des données sensibles sur son entreprise ou effectue un paiement. Le mail envoyé par SlashNext devait piéger un gestionnaire de compte en lui demandant de payer d’urgence une facture.
Finies les fautes d’orthographe suspectes
Pour tromper sa cible, WormGPT s’est fait passer pour le directeur général de la société. Mais pas que. Le logiciel a pu convaincre aussi grâce à une grammaire impeccable. On le sait que trop, les pirates informatiques ont tendance à faire énormément de fautes d’orthographe et de syntaxes. C’est d’ailleurs à cause de ces erreurs qu’on parvient le plus souvent à les épingler. WormGPT, lui, écrit correctement, tout en utilisant le champ lexical du métier de la victime ou de son domaine d’activités. Histoire de faire savoir qu’il s’agit effectivement du DG.
Vers le contrôle de ChatGPT et Google Bard ?
Selon SlashNext, les hackers se partagent aussi des connaissances sur le dark web ou des forums spécialisés pour manipuler facilement des IA. Ils emploient des requêtes pour contourner les restrictions sur des modèles comme ChatGPT et Google Bard. Ils ont ainsi tout le loisir de leur faire faire tout ce qu’ils veulent. Une fois l’algorithme neutralisé sur le plan éthique et légal, les pirates informatiques peuvent par exemple demander des conseils pour améliorer leurs messages de phishing. Ce qui semble assez effarant et nous convainc définitivement que l’IA peut passer du côté obscur de la force aux mains de bandits.
De nouveaux défis pour les experts en cybersécurité
Europol, l’agence européenne de police criminelle, avait alerté en mars sur les possibilités des IA génératives en matière de cybercriminalité. Elle avait déjà évoqué le recours aux chatbots pour rédiger des mails de phishing et coder des virus. Maintenant, nous sommes prévenus. Avec WormGPT, les attaquants n’ont plus besoin d’expertise en codage pour nuire aux internautes. Aussi, ils n’auront plus à se casser la tête pour se jouer de tel ou tel dispositif de sécurité virtuel. L’IA est là pour leur faciliter la tâche avec une méthodologie clé en main. Face à de telles perspectives, les experts en cybersécurité auront bientôt de nouveaux défis. Et cela d’autant que WormGPT pourrait servir de modèle pour développer des outils encore plus puissants.
