Le nombre de cyberattaques explose : en 2021, le FBI indique une augmentation de 64 % des pertes potentielles liées à la cybercriminalité en 3 ans. La société de cybersécurité israélienne Checkpoint dénombre une augmentation de 38% des violations de données dans le monde rien qu’en 2022.
Ces chiffres devraient progresser avec l’utilisation de ChatGPT. Ses performances en programmation et en rédaction permettent aux assaillants de produire facilement une quantité impressionnante d’attaques. Bien que le chatbot soit conçu pour empêcher les actions malveillantes, les hackers arrivent à aisément contourner les filtres.
Découvrez dans cet article, les techniques utilisées par les hackers pour compromettre votre organisation à l’aide de ChatGPT. Nous vous présenterons, de même, les solutions pour vous protéger de ces attaques. Suite à cet article, vous pourrez prendre des mesures concrètes visant à sécuriser votre infrastructure.
Les cyberattaques générées par l’IA
Le phishing
Les dangers du phishing créé par l’IA
ChatGPT est particulièrement redoutable pour le phishing. Bien que l’assistant évite de répondre à des requêtes ayant un objectif malveillant. Il existe une pléthore d’exemples sur le web affichant les failles du système. Via une succession de prompts, un hacker peut détourner l’usage de ChatGPT pour créer des mails d’hameçonnage convaincants et personnalisés.
Une action malveillante empêchée par ChatGPT
Rédaction d’un mail pouvant servir de fraude à la facture fournisseur
Comme vous pouvez le constater sur cet exemple, nous pouvons de manière détournée, rédiger très facilement un email convaincant avec un prompt de seulement 2 lignes. Nous pouvons, dès lors, imaginer une forte augmentation des fraudes à la facture fournisseur.
C’est peut-être actuellement, le meilleur logiciel pour la rédaction de phishing, car il rédige rapidement, de manière naturelle, sans faute d’orthographe, de grammaire ou de conjugaison. De ce fait, il devient presque impossible pour un humain de détecter une attaque d’hameçonnage.
D’autant plus que ChatGPT peut couramment parler plusieurs langues, permettant ainsi aux pirates d’attaquer plusieurs entreprises sur plusieurs pays. Ils profitent de sa rapidité d’écriture pour automatiser leur workflow afin d’attaquer une quantité phénoménale d’organisation.
Comment s’en protéger ?
Pour se protéger du phishing généré par l’IA, tous les employés de votre organisation doivent être sensibilisés à cette problématique. Absolument, tous les contacts demandant une autorisation ou un accès à une ou plusieurs données doivent être authentifiés. Le critère de la qualité du message est aujourd’hui obsolète pour se protéger de l’hameçonnage.
Actuellement, la solution entreprise par les organisations est la suivante : l’intégration d’outil de détection de l’IA au sein des messageries à usage professionnel. Les outils de détection sont plutôt performants, mais il existe des méthodes permettant aux pirates de modifier rapidement leurs textes pour être indétectables (notamment le spinning). De plus, comme l’intelligence artificielle évolue rapidement, les détecteurs peuvent temporairement être impuissants.
D’autant plus que dans un avenir proche, les mails du quotidien (sans objectif malveillant) pourraient, eux aussi, être générés par l’IA. Une des solutions à privilégier est donc le système de signature électronique pour identifier l’émetteur.
Par ailleurs, il ne faut pas oublier le phishing via les messages vocaux. Une IA peut imiter la voix d’un responsable pour obtenir des données confidentielles à ses employés. Désormais, aucun enregistrement vocal ne doit être considéré comme fiable.
Les malwares
Les dangers des malwares créent par l’IA
Le 29 décembre 2022, la société CheckPoint a découvert sur un forum de hacking de renom, qu’un pirate aurait testé le chatbot pour recréer des souches de logiciels malveillants. Il est admis que d’autres codes malveillants autogénérés circulent dans le darknet comme des stealers ou des ransomwares. Nous savons aussi que l’assistant peut créer des malwares polymorphiques (logiciels se transformant pour éviter d’être détectés).
Même si ChatGPT arriverait à empêcher les acteurs malveillants de générer du code à des fins criminelles. Il est possible que des IA génératives spécialisées dans la cyberattaque voient le jour. Par IA générative, nous parlons d’une intelligence artificielle entraînée par des milliers de textes et de codes malveillants ayant fait leurs preuves.
Comment s’en protéger ?
À l’heure actuelle, il existe peu de moyen de s’en protéger. Bien qu’il existe des outils de détection de code généré par l’IA, les pirates peuvent rendre leurs créations indétectables. Une option pour contrecarrer ces attaques est la montée en compétence de vos équipes de cybersécurité.
En réalité, rien ne change, les malwares étaient aussi dangereux avant l’arrivée de ChatGPT. Cependant, le nombre de virus va grandement augmenter. Pour répondre à cette menace, il est nécessaire de recruter et de renforcer vos équipes de sécurité informatique.
L’utilisation de ChatGPT peut aussi aider les hackers éthiques dans leurs missions de détection des vulnérabilités et de réponse aux incidents. Du fait que la vitesse de raisonnement et d’analyse de l’IA est bien supérieure à celle d’un être humain.
Cependant, pour pouvoir utiliser l’intelligence artificielle pour sécuriser son infrastructure, de fortes compétences en cybersécurité sont nécessaires afin de diriger correctement l’outil.
Le hacking des IA
Un point qui est souvent ignoré par les organisations. Le hacking des IA. Que ce soit pour ChatGPT ou pour de prochains générateurs, il est possible de modifier ces outils à des fins personnelles. Cela est possible, car les IA sont entraînées par les utilisateurs qui “améliorent les résultats” en donnant leur feedback.
On peut donc imaginer des attaques massives d’apprentissage visant à influencer les résultats obtenus par ces technologies.
Le détournement des modèles d’apprentissage peut avoir de graves conséquences comme l’apparition de fausses informations, le retrait des filtres ou encore le partage des données personnelles.
Comment s’en protéger ?
Former toutes les parties prenantes de votre entreprise à ne divulguer aucune donnée personnelle aux IA comme ChatGPT ou ayant un fonctionnement similaire en termes de protection des données.
Prendre conscience aux utilisateurs des limites de l’outil. Par exemple, il est important de savoir que ChatGPT ne connaît pas le concept de vérité.
La réglementation risque d’évoluer fréquemment, il est crucial de suivre ces changements.
Pour rester à la page et sensibiliser votre personnel aux dernières pratiques de sécurité, la formation de vos hackers éthiques est indispensable. En effet, son rôle ne consiste pas uniquement à identifier les attaques, mais également à enseigner les bonnes pratiques de protection des données à chacun de vos collaborateurs.
La formation OSCP pour protéger votre entreprise des attaques cybercriminelles générées par l’IA
Comme énoncé précédemment, ChatGPT ne révolutionne pas le hacking (les logiciels polymorphiques, les stealers, le phishing existent depuis le début du web). Cependant, les IA vont permettre une fulgurante mise à l’échelle de ces offensives.
Pour affronter ces menaces, nous pouvons vous conseiller la certification OSCP créée par l’organisme OffSec. OSCP est une certification populaire et mondialement reconnue prouvant les compétences de vos collaborateurs en pentesting.
Dans son programme, la plupart des attaques sont présentes comme les exploits, les injections SQL, les attaques de mot de passe, le tunneling ou encore les élévations de privilège.
Son approche pratique la différencie de ses concurrents (CEH, CISSP ou Comptia+ proposent un simple QCM pour leur examen). En effet, durant le test, les candidats devront hacker plusieurs machines durant 23 heures et 45 minutes pour ensuite envoyer un rapport de pentesting.
Cette certification permet donc aux professionnels de démontrer leurs aptitudes en condition réelle. Il s’agit d’une certification de haut niveau demandant une forte implication personnelle, une expérience préalable en cybersécurité et 2 mois de préparation intensive au minimum.
Notre partenaire Ambient IT propose une formation de préparation à OSCP avec un formateur dédié de 28 heures en français. Vous trouverez dans ce cours :
- 28 heures de coaching collectif espacées sur 8 semaines pour pouvoir assimiler tous les concepts
- Un coaching réalisé par un enseignant certifié OSCP et Offsec
- 1 passage à l’examen
- Le contenu officiel d’OffSec :
- Plusieurs heures de formations vidéo
- Un livre de formation au format PDF
- Un accès au forum des apprenants
- Un accès au lab pendant 90 jours pour progresser à son rythme
En tant qu’entreprise souhaitant former vos salariés, vous pouvez inscrire vos collaborateurs via ce lien.
Sachez que cette formation est disponible sur moncompteformation. Nous proposons une réduction de 400€ pour toute inscription via cette url pour une session en 2023. Il suffira de mentionner « Datasecuritybreach » lorsque nous vous appellerons. Offre soumise à condition d’achat et non cumulable avec d’autres promotions ou réductions en cours.
Vers une attaque massive contre les PME ?
Bien que les fondamentaux de la cybersécurité restent inchangés, nous assisterons à une multiplication des attaques malveillantes. Ainsi, le piratage deviendrait un enjeu essentiel pour les petites et moyennes entreprises.
Afin de protéger votre entreprise. La certification OSCP est l’une des meilleures distinctions pour évaluer les compétences en cybersécurité. Il s’agit d’une des certifications les plus difficiles et des plus reconnues dans le monde de l’informatique. Comme l’examen est entièrement pratique, les certifiés prouvent leurs aptitudes en situation réelle.