Aussi incroyable que puisse être, ChatGPT crachera-t-il des logiciels malveillants sophistiqués ?
Cet article n’a pas été écrit par ChatGPT mais par Cameron Camp, chercheur spécialisé en sécurité chez ESET. Camp ne lui a pas non plus demandé de répondre à la question du titre – mais il le fera. Il suppose que c'est exactement ce que ChatGPT pourrait dire. Heureusement, il reste quelques erreurs de grammaire pour prouver que Camp n’est pas un robot. Mais c'est exactement ce que ChatGPT pourrait faire pour avoir l'air réel.
La technologie de ce robot hipster est comme un répondeur automatique sophistiqué, assez bonne pour produire des réponses aux devoirs, des documents de recherche, des réponses juridiques, des diagnostics médicaux et une foule d'autres choses qui ont réussi le test lorsqu'elles sont traitées comme si elles étaient le travail d’humains. Mais augmentera-t-elle de manière significative les centaines de milliers d'échantillons de maliciels que nous voyons et traitons quotidiennement, ou produira-t-elle un faux facilement repérable ?
Dans un duel machine contre machine dont les « spécialistes » rêvent depuis des années, ChatGPT apparaît un peu « trop bon » pour ne pas être considéré comme un concurrent sérieux qui pourrait bloquer la machine adverse. Avec l'attaquant et le défenseur utilisant les derniers modèles d'apprentissage automatique (ML- Machine Learning), cela devait arriver un jour.
Mais construire de bonnes machines antimalware, cela ne se fait pas que robot contre robot. Une intervention humaine a toujours été nécessaire : nous l'avons vu il y a de nombreuses années, au grand dam des fournisseurs de ML qui entrent dans la mêlée marketing - tout en essayant de brouiller les pistes en se référant à leurs produits ML comme utilisant l’IA (referring to their ML-only products as using “AI”).
Bien que les modèles ML aient été utilisés pour des essais frontaux approximatifs jusqu'à des analyses plus complexes, ils ne produisent pas de « maliciel tueur ». Les maliciels ne sont pas si simples. Pour en être certain, Camp a questionné plusieurs gourous en ML d’ESET.
Quelle sera la qualité des maliciels générés par ChatGPT et cela est-il possible ?
Nous ne sommes pas vraiment proches des « maliciels entièrement générés par l'IA », quoi que ChatGPT soit assez bon pour suggérer le code, générer des exemples de code et d'extraits, le débogage et l'optimisation du code, et même l'automatisation de la documentation.
Qu'en est-il de fonctionnalités plus avancées ?
Nous ne savons pas combien ChatGPT est bon en obscurcissement. Certains des exemples s’apparentent aux langages de script comme Python. Mais nous l’avons vu "inverser" la signification du code désassemblé lié à IDA Pro, ce qui est intéressant. Tout compte fait, c'est probablement un outil pratique pour aider un programmeur et c'est peut-être un premier pas vers la création de maliciels plus complets, mais pas encore aujourd’hui.
Quel est son niveau actuel?
ChatGPT est très impressionnant, car il s'agit d'un grand modèle de langage, et ses capacités surprennent même les créateurs de ce genre de modèles. Cependant, actuellement il est très superficiel, fait des erreurs, crée des réponses plus proches d’hallucinations (c'est-à-dire des réponses fabriquées) et n'est pas vraiment fiable pour tout ce qui est sérieux. Mais il semble gagner du terrain rapidement, à en juger par la nuée de technophiles qui s’en approchent.
Que peut-il faire actuellement ? Qu’est-ce qui est « à portée de main » pour cette plate-forme ?
Actuellement, nous voyons trois domaines probables d'adoption et d'utilisation malveillante :
1. Dés-hameçonner les hameçonneurs
Si vous pensez que l’hameçonnage était convaincant dans le passé, voyez plutôt. Cela va du sondage de plus de sources de données et de leur broyage de manière transparente jusqu’à cracher des e-mails spécialement conçus qui seront très difficiles à détecter en fonction de leur contenu, des taux de réussite promettant d'être meilleurs pour l’obtention de clics. Et vous ne pourrez pas les supprimer à la hâte pour de stupides erreurs de langue; sa connaissance de votre langue maternelle est probablement meilleure que la vôtre. Puisqu’un grand volume d'attaques les plus méchantes commence par quelqu'un qui clique sur un lien, attendez-vous à ce que l'impact associé soit surdimensionné.
2. Négociation automatisée des rançons
Les demandeurs de rançons doucereux sont probablement rares, mais ajouter un peu d'éclat ChatGPT aux communications pourrait réduire le boulot des escrocs pendant les négociations. Cela signifiera également moins d'erreurs, ce qui ne permettra pas aux victimes de se concentrer sur les véritables identités et emplacements des escrocs.
3. Les escroqueries par téléphone vont s'améliorer
Avec la production d’un langage naturel toujours plus naturel, les escrocs donneront l'impression d‘être de votre région et auront à l'esprit vos meilleurs intérêts. Il s'agit d’une des premières étapes de l'intégration de confiance dans une escroquerie : avoir l'air plus confiant en donnant l'impression qu'il fait partie des vôtres.
Si tout cela semble dans le futur, faites bien attention. Cela n'arrivera pas d'un coup, mais les criminels sont sur le point de s'améliorer. Alors on verra si la défense est à la hauteur.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et
https://www.eset.com/be-fr/