Passer au contenu

Ce malware indétectable est signé… ChatGPT

ChatGPT est une arme redoutable pour les hackers. Avec l’aide de l’IA, il est possible de coder un dangereux malware indétectable… sans écrire une seule ligne de code.

Suscitant l’inquiétude des forces de l’ordre, ChatGPT est massivement exploité par les criminels. Les escrocs se servent notamment de l’intelligence artificielle pour rédiger des mails de phishing convaincants, imaginer des messages de rançon… ou concevoir des logiciels malveillants. Malgré toutes les restrictions mises en place par OpenAI, certains pirates se tournent en effet vers le modèle de langage pour coder des ransomwares ou des malwares voleurs de données.

Pour démontrer les dangers posés par ChatGPT, Aaron Mulgrew, chercheur en cybersécurité de la société américaine ForcePoint, a mené sa propre expérience. Celui-ci s’est servi du chatbot pour « créer des logiciels malveillants avancés sans écrire de code et uniquement en utilisant ChatGPT ». 

À lire aussi : Cette horloge ChatGPT illustre le plus gros problème des IA génératives

Ce chercheur a piégé ChatGPT

L’expérience a surtout pour but de démontrer l’insuffisance des restrictions mises en place par OpenAI. La start-up encadre en effet le modèle linguistique avec une série de règles. Par exemple, ChatGPT ne peut aider son interlocuteur dans le cadre d’activités criminelles. Si vous demandez à l’IA comment pirater un ordinateur, déployer un virus ou voler de l’argent, elle refusera de vous répondre. ChatGPT affichera un avertissement de cet acabit :

« En tant qu’intelligence artificielle responsable, je ne peux pas vous fournir d’informations ou de conseils sur des activités illégales, dangereuses ou nuisibles, y compris sur la manière de causer du tort à autrui. Je ne peux pas vous aider à concevoir, coder ou expliquer comment créer un malware ou mener des activités illégales ».

Pour contourner les garde-fous d’OpenAI, Aaron Mulgrew a pris le parti de décomposer la création en plusieurs étapes successives, en apparence légales et strictement inoffensives. De cette manière, ChatGPT n’a pas « réalisé » qu’il était en train de programmer un logiciel malveillant… Dans le détail, le chercheur voulait mettre au point un malware de type infostealer, c’est-à-dire conçu pour voler les données d’un appareil.

Tout d’abord, il a convaincu ChatGPT de générer une ligne de code qui récupère automatiquement un fichier sur le disque dur d’un ordinateur, comme des PDF ou des documents Word. Ceux-ci sont ensuite divisés en morceaux et cachés dans des images, qui sont ensuite exfiltrées par le biais d’un dossier Google Drive. Pour infiltrer l’ordinateur, le virus a été déguisé en fichier d’installation pour économiseur d’écran Windows.

Le mode opératoire ayant été défini, Mulgrew a voulu rendre le malware indétectable par les antivirus et les systèmes de sécurité. Le chercheur a demandé à ChatGPT d’introduire divers changements dans le code, notamment pour « retarder le démarrage effectif de deux minutes », ce qui permet de contourner certains dispositifs de sécurité. Dans la même optique, il lui a demandé d’obfusquer le code du malware. Ce procédé consiste à rendre le code d’un logiciel difficile à comprendre et à interpréter afin d’aveugler les antivirus. Ceux-ci passent alors à côté des fonctionnalités malveillantes.

Dans un premier temps, ChatGPT a refusé d’obtempérer. Le chercheur a donc demandé au chatbot de « changer toutes les variables en prénoms et noms de famille anglais aléatoires ». N’y voyant rien de malfaisant, le modèle linguistique a obtempéré. Avec les changements apportés, le virus est devenu indétectable. Aucun des antivirus testés par Mulgrew n’a épinglé le logiciel.

Coder un virus sans coder

Sans écrire une seule ligne de code, un internaute peut apparemment concevoir de A à Z un nouveau virus informatique. Néanmoins, on remarquera qu’il est nécessaire d’avoir une idée assez précise du fonctionnement d’un virus et d’un langage de programmation pour arriver à ses fins.

Certaines étapes ont demandé plusieurs tentatives et un peu d’inventivité au chercheur. Pour rendre le virus impossible à détecter, Mulgrew a par exemple sollicité de solides connaissances en informatique. C’est lui qui a imaginé de quelle manière il était possible de tromper les antivirus. Ce n’est pas l’intelligence artificielle. Dans ce cas de figure, ChatGPT n’était qu’un outil, facilitant la conversion d’une idée en code informatique.

Ce n’est donc pas vraiment à la portée de n’importe qui. Il y a « un certain niveau de compétence requis » pour créer un logiciel de cette manière, concède Mulgrew. Néanmoins, en se chargeant du code, ChatGPT peut faire gagner énormément de temps aux développeurs de malwares… Sans l’IA, la conception du virus aurait pris « plusieurs semaines à une équipe de 5 à 10 développeurs », estime le chercheur.

 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : ForcePoint


Florian Bayard
Votre opinion
Les commentaires sont fermés.