Lorsque ChatGPT et des chatbots similaires sont devenus largement disponibles pour la première fois, la préoccupation dans le monde de la cybersécurité était de savoir comment la technologie IA pourrait être utilisée pour lancer des cyberattaques. En fait, il n’a pas fallu très longtemps avant que les acteurs de la menace ne découvrent comment contourner les vérifications de sécurité pour utiliser ChatGPT pour écrire du code malveillant.
Il semble maintenant que les rôles se sont inversés. Au lieu que les attaquants utilisent ChatGPT pour causer des incidents cybernétiques, ils se sont maintenant retournés contre la technologie elle-même. OpenAI, qui a développé le chatbot, a confirmé une violation de données dans le système causée par une vulnérabilité dans la bibliothèque open-source du code, selon Security Week. La brèche a pris le service hors ligne jusqu’à ce qu’elle soit réparée.
Un succès du jour au lendemain
La popularité de ChatGPT était évidente dès sa sortie fin 2022. Tout le monde, des écrivains aux développeurs de logiciels, voulait expérimenter le chatbot. Malgré ses réponses imparfaites (certains de ses textes étaient maladroits ou clairement plagiés), ChatGPT est rapidement devenu l’application grand public à la croissance la plus rapide de l’histoire, atteignant plus de 100 millions d’utilisateurs mensuels en janvier. Environ 13 millions de personnes utilisaient la technologie IA quotidiennement dans le mois complet suivant sa sortie. Comparez cela à une autre application extrêmement populaire TikTok – qui a pris neuf mois pour atteindre un nombre d’utilisateurs similaire.
Un analyste en cybersécurité a comparé ChatGPT à un couteau suisse, affirmant que la grande variété d’applications utiles de la technologie est une grande raison de sa popularité précoce et rapide.
La violation de données
Chaque fois que vous avez une application ou une technologie populaire, il ne faut qu’un peu de temps avant que les acteurs de menaces ne la ciblent. Dans le cas de ChatGPT, l’exploitation est survenue via une vulnérabilité dans la bibliothèque open-source Redis. Cela a permis aux utilisateurs de voir l’historique de chat d’autres utilisateurs actifs.
Les bibliothèques open-source sont utilisées “pour développer des interfaces dynamiques en stockant des routines et des ressources facilement accessibles et fréquemment utilisées, telles que des classes, des données de configuration, de la documentation, des données d’aide, des modèles de messages, du code pré-écrit et des sous-routines, des spécifications de type et des valeurs,” selon une définition de Heavy.AI. OpenAI utilise Redis pour mettre en cache les informations des utilisateurs pour un rappel et un accès plus rapides. Étant donné que des milliers de contributeurs développent et accèdent au code open-source, il est facile que des vulnérabilités apparaissent et passent inaperçues. Les acteurs de menaces le savent, c’est pourquoi les attaques contre les bibliothèques open-source ont augmenté de 742 % depuis 2019.
Dans le grand schéma des choses, l’exploit de ChatGPT était mineur, et OpenAI a corrigé le bug dans les jours suivant sa découverte. Mais même un incident cyber mineur peut causer beaucoup de dommages.
Cependant, cela n’était qu’un incident de surface. Alors que les chercheurs d’OpenAI approfondissaient leurs recherches, ils ont découvert que cette même vulnérabilité était probablement responsable de la visibilité des informations de paiement pendant quelques heures avant que ChatGPT ne soit mis hors ligne.
“Il était possible pour certains utilisateurs de voir le prénom et le nom, l’adresse e-mail, l’adresse de paiement, les quatre derniers chiffres (seulement) d’un numéro de carte de crédit et la date d’expiration de la carte de crédit d’un autre utilisateur actif. Les numéros complets de carte de crédit n’ont jamais été exposés à aucun moment,” a déclaré OpenAI dans un communiqué sur l’incident.
IA, chatbots et cybersécurité
La fuite de données dans ChatGPT a été rapidement adressée avec apparemment peu de dommages, les abonnés payants impactés représentant moins de 1% de ses utilisateurs. Cependant, l’incident pourrait être un présage des risques qui pourraient affecter les chatbots et les utilisateurs à l’avenir.
Il existe déjà des préoccupations concernant la confidentialité entourant l’utilisation des chatbots. Mark McCreary, co-président de la pratique de la confidentialité et de la sécurité des données chez le cabinet d’avocats Fox Rothschild LLP, a déclaré à CNN que ChatGPT et les chatbots sont comme la boîte noire dans un avion. La technologie IA stocke d’énormes quantités de données et utilise ensuite ces informations pour générer des réponses aux questions et aux sollicitations. Et tout ce qui se trouve dans la mémoire du chatbot devient accessible pour les autres utilisateurs.
Par exemple, les chatbots peuvent enregistrer les notes d’un seul utilisateur sur n’importe quel sujet, puis résumer ces informations ou rechercher plus de détails. Mais si ces notes incluent des données sensibles — la propriété intellectuelle d’une organisation ou des informations sensibles sur les clients, par exemple — elles entrent dans la bibliothèque du chatbot. L’utilisateur n’a plus le contrôle sur les informations.
Renforcement des restrictions sur l’utilisation de l’IA
En raison des préoccupations liées à la vie privée, certaines entreprises et même des pays entiers renforcent leur réglementation. JPMorgan Chase, par exemple, a limité l’utilisation de ChatGPT par ses employés en raison des contrôles de l’entreprise autour des logiciels et applications tiers, mais il existe également des inquiétudes concernant la sécurité des informations financières si celles-ci sont saisies dans le chatbot. Et l’Italie a invoqué la protection de la vie privée de ses citoyens pour justifier sa décision de bloquer temporairement l’application sur tout le territoire national. La préoccupation, ont déclaré les officiels, est due à la conformité avec le RGPD.
Les experts s’attendent également à ce que des acteurs malveillants utilisent ChatGPT pour créer des e-mails de phishing sophistiqués et réalistes. Finie, la grammaire médiocre et les tournures de phrases étranges qui étaient jusqu’ici le signe révélateur d’une arnaque par phishing. Désormais, les chatbots imiteront les locuteurs natifs avec des messages ciblés. ChatGPT est capable de traductions linguistiques sans faille, ce qui sera un changement de jeu pour les adversaires étrangers.
Une tactique tout aussi dangereuse est l’utilisation de l’IA pour créer de la désinformation et des campagnes de théories du complot. Les implications de cette utilisation pourraient aller au-delà des risques cybernétiques. Des chercheurs ont utilisé ChatGPT pour écrire un éditorial, et le résultat était similaire à ce que l’on pourrait trouver sur InfoWars ou d’autres sites web bien connus pour la diffusion de théories du complot.
OpenAI répondant à certaines menaces
Chaque évolution des chatbots créera de nouvelles menaces cybernétiques, soit à travers leurs capacités linguistiques plus sophistiquées, soit par leur popularité. Cela rend la technologie une cible privilégiée comme vecteur d’attaque. À cette fin, OpenAI prend des mesures pour prévenir les futures violations de données au sein de l’application. Elle offre une prime de bogue allant jusqu’à 20 000 $ à quiconque découvre des vulnérabilités non signalées.
Cependant, The Hacker News a rapporté : “le programme ne couvre pas la sécurité du modèle ou les problèmes d’hallucination, où le chatbot est incité à générer du code malveillant ou d’autres sorties défectueuses.” Ainsi, il semble qu’OpenAI souhaite renforcer la technologie contre les attaques extérieures, mais fait peu pour empêcher le chatbot d’être la source d’attaques cybernétiques.
ChatGPT et d’autres chatbots vont devenir des acteurs majeurs dans le monde de la cybersécurité. Seul le temps dira si la technologie sera victime d’attaques ou la source.
No Responses