Microsoft, les développeurs de logiciels, les forces de l’ordre, les banques, les étudiants qui rédigent des dissertations et presque tout le monde pense pouvoir tirer parti de ChatGPT.
Il en va de même pour les cybercriminels.
Le robot conversationnel basé sur l’intelligence artificielle est présenté comme le moteur de recherche qui détrônera Google, aidera les développeurs à générer du code sans faille, à écrire le prochain grand succès du rock… En fait, c’est tellement nouveau que les gens ne peuvent même pas imaginer ce qu’il peut faire.
Mais l’histoire montre que les escrocs et les États-nations essaieront de tirer parti de toute nouvelle technologie à leur avantage, et aucun professionnel de la sécurité informatique ne devrait s’attendre à autre chose.
Ainsi, dit un chercheur sur les menaces à Cyberint basé en Israël, ils feraient mieux d’être préparés.
Si ChatGPT aidera les éditeurs de logiciels à écrire du meilleur code, a déclaré Shmuel Gihon, il en fera de même pour les créateurs de logiciels malveillants.
Non seulement cela, a-t-il ajouté, cela pourrait les aider avec l’ingénierie inverse des applications de sécurité.
« En tant que cybercriminel, si je peux améliorer mes outils de piratage, mes rançongiciels, mes logiciels malveillants tous les trois à quatre mois, mon temps de développement pourrait être réduit de moitié ou plus. Ainsi, le jeu du chat et de la souris auquel jouent les fournisseurs de défense avec les cybercriminels pourrait devenir beaucoup plus difficile pour eux.
Le « si » dans cette phrase n’est pas dû à la capacité de l’outil, a-t-il ajouté, mais aux capacités du cybercriminel qui l’utilise. « L’IA entre de bonnes mains pourrait être un outil très puissant. Les cybercriminels professionnels, les groupes de rançongiciels et les groupes d’espionnage feront probablement un meilleur usage de cet outil que les pirates amateurs. »
« Je suis sûr qu’ils trouveront d’excellentes utilisations pour cette technologie. Cela les aidera probablement à décortiquer les logiciels qu’ils attaquent… les aidera à trouver de nouvelles vulnérabilités et des bogues dans leur propre code, dans des délais plus courts. »
Et les pros de la sécurité de l’information ne devraient pas seulement s’inquiéter de ChatGPT, a-t-il ajouté, mais de tout outil piloté par l’intelligence artificielle. « Demain, un autre moteur d’IA sera publié », a-t-il noté.
« Je ne suis pas sûr que les fournisseurs de sécurité se soient préparés à ce rythme d’innovation du côté des cybercriminels », a-t-il ajouté. « C’est quelque chose auquel nous devons nous préparer. Je sais que l’IA est déjà intégrée dans les technologies de sécurité, mais je ne sais pas si c’est à ce niveau. »
Les fournisseurs de sécurité devraient réfléchir à la manière dont les pirates pourraient utiliser ChatGPT contre leurs applications, a-t-il conseillé. « Si certains de mes produits sont open source ou si mon infrastructure frontale est construite sur le moteur X, je devrais savoir ce que ChatGPT dit de ma technologie. Je devrais savoir comment traduire les capacités de ChatGPT aux yeux des cybercriminels. »
Parallèlement, les RSSI doivent voir si l’outil peut être exploité pour aider à protéger leurs environnements. Une possibilité : l’assurance qualité des logiciels.
Adaptation et traduction française par Renaud Larue-Langlois.
