Le côté obscur de l'IA : comment ChatGPT et les outils d'IA générative alimentent les cyberattaques

Récemment, le monde de la technologie s'est enflammé pour les capacités de ChatGPT, un chatbot basé sur l'IA et développé par OpenAI. Cet outil polyvalent a été salué pour sa capacité à générer des textes persuasifs et même du code fonctionnel. Cependant, à mesure que la technologie évolue, les méthodes des acteurs malveillants évoluent également, et les prouesses de ChatGPT ne sont pas à l'abri de l'exploitation par les cybercriminels.

Les outils d'IA générative comme ChatGPT sont devenus une arme à double tranchant. S'ils confèrent aux utilisateurs des capacités impressionnantes, ils offrent également aux acteurs malveillants un moyen puissant de concevoir des récits et du code convaincants, notamment pour des attaques d'ingénierie sociale. Cela soulève des inquiétudes quant à l'impact de cette nouvelle catégorie d'outils sur les cyberattaques, en particulier celles impliquant l'ingénierie sociale.

L'ère de l'ingénierie sociale sans faille

Auparavant, les courriels mal rédigés ou truffés de fautes dematicétaient souvent des signes révélateurs de tentatives d'hameçonnage. Les formations de sensibilisation à la cybersécurité insistaient sur l'dentde ces anomalies afin de contrer les menaces potentielles. Cependant, l'apparition de ChatGPT a bouleversé la donne. Même les personnes ayant une maîtrise limitée de l'anglais peuvent désormais rédiger des messages impeccables et convaincants dans un anglais parfait, ce qui rend la détection des tentatives d'ingénierie sociale de plus en plus difficile.

OpenAI a intégré certaines mesures de sécurité à ChatGPT afin de prévenir les abus, mais ces barrières ne sont pas insurmontables, notamment pour les techniques d'ingénierie sociale. Des personnes malveillantes peuvent utiliser ChatGPT pour générer des courriels frauduleux, lesquels peuvent ensuite être envoyés avec des liens ou des requêtes malveillantes. Le processus est remarquablement efficace : ChatGPT produit rapidement des courriels avec une qualité professionnelle, comme le démontre un exemple de courriel créé sur demande.

Les découvertes de Darktracet la montée en puissance des attaques d'ingénierie sociale basées sur l'IA

La société de cybersécuritétracsignale une recrudescence des attaques d'ingénierie sociale basées sur l'IA, qu'elle attribue à ChatGPT et à des outils similaires. Ces attaques gagnent en sophistication : les courriels d'hameçonnage sont plus longs, mieux ponctués et plus convaincants. Le ton par défaut de ChatGPT imite celui des communications d'entreprise, ce qui rend la détection des messages malveillants encore plus difficile.

La courbe d'apprentissage criminelle

Les cybercriminels apprennent vite. Selon certains rapports, des forums du dark web accueillent désormais des discussions sur l'exploitation de ChatGPT à des fins d'ingénierie sociale. Des criminels opérant dans des pays non protégés trouvent des moyens de contourner les restrictions et d'exploiter sa puissance. ChatGPT permet aux attaquants de générer de nombreux messages uniques, échappant ainsi aux filtres anti-spam qui détectent les contenus répétitifs. De plus, il facilite la création de logiciels malveillants polymorphes, rendant leur détection plus complexe.

Bien que ChatGPT se concentre principalement sur la communication écrite, d'autres outils d'IA peuvent générer des voix d'un réalisme saisissant, imitant des individus spécifiques. Cette capacité de synthèse vocale permet de passer des appels téléphoniques convaincants se faisant passer pour des personnalités importantes. Cette approche en deux temps – courriels crédibles suivis d'appels vocaux – renforce la crédibilité des attaques d'ingénierie sociale.

Exploitation des demandeurs d'emploi et des faux outils ChatGPT

ChatGPT ne se limite pas à la création d'e-mails ; il peut générer des lettres de motivation et des CV à grande échelle, exploitant ainsi les demandeurs d'emploi dans des arnaques. De plus, des escrocs profitent de l'engouement pour ChatGPT en créant de faux sites web de chatbots qui prétendent utiliser les modèles d'OpenAI. En réalité, ces sites visent à voler de l'argent et à collecter des données personnelles.

Se protéger contre les attaques utilisant l'IA

Face à la multiplication des attaques utilisant l'IA, les organisations doivent s'adapter à ce paysage de menaces en constante évolution :

1. Incorporer du contenu généré par l'IA dans les simulations d'hameçonnage afin de familiariser les employés avec les styles de communication générés par l'IA.

2. Intégrer la formation de sensibilisation à l'IA générative dans les programmes de cybersécurité, en soulignant comment ChatGPT et des outils similaires peuvent être exploités.

3. Utiliser des outils de cybersécurité basés sur l'IA qui exploitent l'apprentissage automatique et le traitement du langage naturel pour détecter les menaces et signaler les communications suspectes pour examen humain.

4. Utiliser des outils basés sur ChatGPT pourdentles courriels écrits par l'IA générative, ajoutant ainsi une couche de sécurité supplémentaire.

5. Vérifiez toujours l'authenticité des expéditeurs dans les courriels, les discussions instantanées et les SMS.

6. Maintenez une communication ouverte avec vos pairs du secteur et restez informé des nouvelles arnaques.

7. Adoptez une approche de cybersécurité de type « zéro confiance », en supposant que les menaces peuvent provenir de sources internes et externes.

ChatGPT n'est que la partie émergée de l'iceberg, et d'autres chatbots similaires, susceptibles d'être exploités pour des attaques d'ingénierie sociale, devraient bientôt apparaître. Si ces outils d'IA offrent des avantages considérables, ils présentent également des risques importants. Vigilance, formation et mesures de cybersécurité avancées sont essentielles pour garder une longueur d'avance dans la lutte permanente contre les cybermenaces alimentées par l'IA.