Malgré les protections mises en place par « OpenAI », les compétences de développement de ChatGPT sont toujours une aubaine pour les pirates. Un chercheur en cybersécurité vient de démontrer que les chatbots sont capables de développer des malwares voleurs de données indétectables.

ChatGPT n’est pas seulement capable de créer des documents bien composés. Il peut également coder des programmes en suivant les demandes qui lui sont adressées. Alors que les pirates ont commencé à utiliser ChatGPT pour écrire des messages de « phishing », un chercheur en cybersécurité a jeté un nouvel éclairage sur son potentiel malveillant.

Sans expérience dans le développement de logiciels malveillants, Aaron Mulgrew a réussi à guider ChatGPT, via quelques invites simples, en contournant les protections mises en place par OpenAI. Au lieu de lui demander de créer des logiciels malveillants (ce que ChatGPT aurait refusé ), il a segmenté le processus de création en envoyant des requêtes apparemment anodines. Par conséquent, les logiciels malveillants sont créés fonction par fonction.

Après avoir assemblé tout les extraits de code, le chercheur a pu récupérer le logiciel malveillant voleur de données à la fois sophistiqué et discret. Cela entre dans le PC via une application d’économiseur d’écran. Après un délai pour éviter la détection, il s’exécutera automatiquement et recherchera des images avant de récupérer les documents PDF et Word. Ils sont ensuite divisés en fragments que le malware cache dans les images susmentionnées.

Les données sont alors transférées vers un dossier Google Drive, une procédure qui permet également d’éviter la détection. “En utilisant simplement les invites ChatGPT et sans écrire de lignes de code, nous avons pu mettre au point une attaque très avancée en quelques heures seulement. Sans chatbot basé sur l’IA, cela aurait pris plusieurs semaines à une équipe de 5 à 10 développeurs de logiciels malveillants, en particulier pour échapper aux antivirus”, estime Aaron Mulgrew.

Le chercheur a téléchargé le code de son malware sur VirusTotal, plateforme de détection des menaces informatiques. 5 fournisseurs sur 60 l’ont considéré comme suspect. Aaron Mulgrew a alors fait quelques ajustements en demandant à ChatGPT de modifier le code, jusqu’à réussir à rendre son caractère malveillant indétectable.

L’objectif de la manœuvre est de montrer à quel point il est facile de contourner les barrières de sécurité du chatbot pour créer rapidement des malwares qui nécessiteraient normalement des compétences techniques très élaborées. Une véritable aubaine pour les pirates qui ont déjà commencé à exploiter ChatGPT pour leurs opérations malveillantes.

Didier Maréchal