Comment ChatGPT va révolutionner la cybersécurité

Une nouvelle génération de chatbots rédigent des textes cohérents et sérieux. Cet outil peut être autant utilisé par les cybercriminels que par les cyber-défenseurs.

Même si les principes de l’apprentissage automatique ont été établis il y a près d’un demi-siècle, en pratique, ils ne sont appliqués de façon généralisée que depuis peu. Au fur et à mesure que la puissance de calcul s’est améliorée, les ordinateurs ont d’abord appris à distinguer les objets dans les images et à mieux jouer au go que l’être humain, puis ils ont appris à dessiner des images à partir de descriptions textuelles et à avoir une conversation cohérente. En 2021-2022, ces découvertes scientifiques étaient accessibles au grand public. Par exemple, vous pouvez vous inscrire sur MidJourney et illustrer instantanément vos livres. OpenAI a finalement ouvert son vaste modèle de langage GPT-3 (Generative Pretrained Transformer 3, ou Transformateur générique pré-entraîné en français) au grand public avec ChatGPT. L’agent conversationnel à intelligence artificielle (chatbot) est disponible sur chat.openai.com et vous permet de juger par vous-même : comment il arrive à avoir une conversation cohérente, comment il explique les concepts scientifiques complexes mieux que n’importe quel professeur, comment il traduit de façon artistique les textes dans différentes langues et comment il arrive à faire bien d’autres choses.

Image générée par MidJourney après avoir envoyé la requête « Gnome avec une loupe perdu dans les serveurs de stockage de données »

Si nous réduisons ChatGPT à ses caractéristiques essentielles, le modèle de langage s’entraîne sur un corpus gigantesque de textes en ligne, à partir desquels il « retient  » quels mots, phrases et paragraphes sont les plus courants et comment ils interagissent. Aidé par divers outils techniques et des séances de formation supplémentaires avec les humains, le modèle est spécifiquement optimisé pour le dialogue. Comme « on trouve absolument tout sur Internet », le modèle est capable de maintenir une conversation sur n’importe quel thème : mode, histoire de l’art, programmation ou encore physique quantique.

Les scientifiques, les journalistes et les passionnés pensent que ChatGPT peut être utilisé pour bien d’autres choses. La page Awesome ChatGPT Prompts de GitHub propose une liste d’amorces (phrases pour commencer une conversation avec un chatbot) qui permettent de « modifier » ChatGPT afin qu’il réponde de la même façon que Gandalf ou tout autre personnage littéraire, qu’il écrive en code Python, qu’il rédige des documents d’affaires ou des CV, ou même qu’il imite un terminal Linux. Néanmoins, ChatGPT n’est qu’un modèle de langage donc tous les points mentionnés ci-dessus ne sont que des combinaisons et des placements de mots courants. Il n’y a aucune logique et aucune raison dans ce contenu. ChatGPT dit parfois des choses qui n’ont aucun sens, comme n’importe quelle personne réelle, notamment lorsqu’il fait référence à des études scientifiques qui n’existent pas. Vous devez toujours utiliser le contenu de ChatGPT avec prudence. Cela étant dit, même sous sa forme actuelle, le bot est pratique pour divers processus et secteurs industriels. Voici quelques exemples dans le domaine de la cybersécurité.

La création de programmes malveillants

Sur les forums clandestins de hackers, les cybercriminels débutants expliquent comment ils se servent de ChatGPT pour créer de nouveaux chevaux de Troie. Le bot peut écrire le code ; il vous suffit de décrire succinctement la fonction souhaitée (« sauvegarder tous les mots de passe dans le fichier X et l’envoyer via HTTP POST au serveur Y ») pour obtenir un programme simple qui vole les informations (infostealer) sans avoir aucune connaissance en programmation. Si le code rédigé par le chatbot est utilisé, les solutions de sécurité vont le détecter et le neutraliser aussi rapidement et efficacement que n’importe quel autre programme malveillant créé par une personne. De plus, si ce code n’est pas vérifié par un expert en programmation, le programme malveillant va certainement contenir de petites erreurs et des failles logiques qui le rendront moins efficace.

Pour le moment, les chatbots ne peuvent rivaliser qu’avec les créateurs de virus novices.

L’analyse de programmes malveillants

Lorsque les analystes en sécurité de l’information étudient de nouvelles applications suspectes, ils rétroconçoivent le pseudo-code ou le code de la machine afin d’essayer de savoir comment le système fonctionne. Même si cette tâche ne peut pas être complètement attribuée à ChatGPT, le chatbot peut rapidement expliquer ce qu’une partie spécifique du code fait. Notre collègue Ivan Kwiatkovski a développé un plug-in pour IDA Pro qui effectue exactement cette tâche. Le modèle de langage utilisé n’est pas vraiment ChatGPT, mais son cousin davinci-003, mais cette différence est purement technique. Il arrive que le plug-in ne fonctionne pas, ou que le résultat ne soit bon que pour terminer dans la poubelle, mais lorsqu’il attribue automatiquement des noms légitimes aux fonctions et identifie les algorithmes de chiffrement dans le code et les paramètres, il convient d’avoir votre paquetage. Il est particulièrement utile dans des conditions de SOC où les analystes toujours surchargés de travail ne peuvent consacrer que très peu de temps à chaque incident, donc n’importe quel outil qui permet d’accélérer le processus est le bienvenu.

Résultats du plug-in

Résultats du plug-in

 

La recherche de vulnérabilités

Une approche différente de la précédente est la recherche automatique de code vulnérable. Le bot « lit » le pseudo-code de l’application décompilée et identifie les endroits qui pourraient être vulnérables. De plus, le chatbot fournit le code Python conçu pour l’exploitation de la vulnérabilité (preuve de concept, ou PoC). Il est vrai que le chatbot peut commettre plusieurs erreurs, que ce soit au niveau de la recherche des vulnérabilité ou de l’écriture du code PoC, mais même sous sa forme actuelle, l’outil est utile pour les cybercriminels et les défenseurs.

 

Conseils en sécurité

Comme ChatGPT sait ce que les gens disent sur la cybersécurité en ligne, les conseils qu’il donne dans ce domaine semblent convaincants. En revanche, comme pour n’importe quel conseil donné par un chatbot, vous ne savez jamais vraiment d’où il vient, donc 1 conseil sur 10 pourrait très bien être incorrect. Ainsi, les conseils que vous pouvez voir sur la capture d’écran ci-dessous semblent tous corrects :

Conseils générés par le bot ChatGPT

Conseils générés par le bot ChatGPT

 

L’hameçonnage et les attaques BEC

La rédaction de textes convaincants est le point fort de GPT-3 et ChatGPT. Ainsi, il est fort probable qu’il y ait déjà des attaques automatiques d’hameçonnage ciblé (spear phishing) qui se servent des chatbots. Le problème principal de l’envoi massif de messages d’hameçonnage est qu’ils sonnent faux, avec un texte beaucoup trop générique qui ne s’adresse pas directement au destinataire. Quant à l’hameçonnage ciblé, lorsqu’un vrai cybercriminel rédige un message pour une seule victime, c’est assez coûteux. C’est pourquoi cette technique n’est utilisée que pour les attaques ciblées. ChatGPT est configuré pour modifier radicalement l’équilibre des pouvoirs puisqu’il permet aux cybercriminels de générer des messages personnalisés et persuasifs à échelle individuelle. Pourtant, pour qu’un message contienne tous les éléments nécessaires, le chatbot doit recevoir des instructions très détaillées.

Exemple d'un e-mail généré par ChatGPT

Exemple d’un e-mail généré par ChatGPT

 

Les attaques d’hameçonnage plus importantes comprennent généralement plusieurs séries d’e-mails, et chacun gagne progressivement la confiance de la victime. Pour le second, troisième et énième message, ChatGPT va faire gagner beaucoup de temps aux cybercriminels. Étant donné que le chatbot se souvient du contexte de la conversation, les e-mails suivants peuvent être joliment rédigés à partir d’une demande simple et courte.

E-mail généré pour poursuivre l'attaque

E-mail généré pour poursuivre l’attaque

 

De plus, la réponse de la victime peut facilement être ajoutée au modèle, créant ainsi un suivi irréfutable en quelques secondes.

Les correspondances stylisées sont l’un des outils que les escrocs peuvent utiliser. À partir d’un court échantillon d’un style particulier, l’agent conversationnel peut facilement l’utiliser pour les messages suivants. Cela permet de créer de faux e-mails convaincants qui auraient soi-disant été envoyés d’un employé à un autre.

Malheureusement, cela signifie aussi que le nombre d’attaques d’hameçonnage réussies va augmenter. Et que le chatbot sera aussi convaincant que les e-mails, les réseaux sociaux et les services de messagerie.

Comment vous défendre ? Les experts en analyse du contenu développent activement des outils qui détectent les textes rédigées par des chatbots. L’avenir nous dira à quel point ces filtres sont efficaces. Pour le moment, nous vous conseillons de suivre deux de nos conseils de base : faire attention et vous former en cybersécurité. Mais nous en avons aussi un nouveau. Apprenez à détecter les textes générés par un bot. Les propriétés mathématiques ne sont pas visibles à l’œil nu, mais les infimes erreurs de style et les petites incongruités trahissent les robots. Essayez ce jeu pour savoir si vous êtes capable de faire la différence entre un texte écrit par un être humain et celui rédigé par une machine.

Conseils