En travaillant sur les données, une intelligence artificielle peut cerner nos habitudes, et même proposer des combinaisons de mots de passe que nous aurions potentiellement choisis. À quel point peut-on prendre ce risque au sérieux ?

Les experts de l’intelligence artificielle laissent entendre que de nombreuses tâches quotidiennes seront simplifiées. Doit-on en comprendre que le hacking sera, lui aussi, automatisé ? De nombreux spécialistes en cybersécurité se penchent sur la question. S’il est indéniable aujourd’hui que des outils gratuits comme ChatGPT peuvent aider à fabriquer un malware, l’IA a encore un large potentiel malveillant à découvrir.

Sergey Shykevich, responsable de la recherche sur la menace chez Checkpoint nous indique par exemple que « ChatGPT peut certainement faciliter la vie des cybercriminels, en leur permettant de deviner les mots de passe possibles. Nous avons fait une expérience et fourni à ChatGPT la biographie Wikipédia d’une personne connue, et lui avons demandé de montrer des exemples de mots de passe possibles de cette personne. »

« Pour compliquer les choses, nous avons également ajouté les critères requis pour le mot de passe, par exemple l’obligation d’avoir des caractères, des chiffres et des symboles spéciaux. Tout cela a fonctionné et nous a fourni des mots de passe potentiels. L’être humain peut bien sûr faire tout cela, mais ChatGPT rend les choses si faciles », ajoute l’expert en cybersécurité.

Nous avons retenté l’expérience avec ChatGPT, mais en vain, puisque l’outil nous a donné des réponses assez vagues. Il est possible qu’OpenAI, la société à l’origine du projet, mette à jour son agent conversationnel, à chaque fois que des recherches similaires sont publiées. Rappelons néanmoins que ces outils ont été déployés depuis à peine six mois, et qu’une IA apprend à travailler avec des données. Plus on la nourrit et meilleur sera le résultat derrière.

Source : Numerama
ChatGPT peut déjà fournir des lignes de codes basiques pour détecter un numéro de carte de crédit. Source : Numerama

Travailler sur les données pour mieux vous cerner

Benoit Grunenwald, expert en cybersécurité chez ESET, s’est penché sur la question et nous a aidé à imaginer les menaces d’une IA programmée pour nous pirater. « On peut commencer par citer un premier outil, Wgen.io. La page génère des mots de passe potentiels en fonction des informations que vous lui fournissez. Cela reste une forme de force brute – une technique très commune chez les pirates – mais qui serait encore plus intéressante si une IA venait à récupérer plus de données sur le web pour créer une liste encore plus fine de codes secrets que la cible utiliserait », nous explique le spécialiste.

« Passgan est un autre outil – en ligne depuis 2019 – qui utilise le deep learning pour trouver des mots de passe depuis une base de données de 800 millions comptes et a eu des résultats assez stupéfiants ». Le logiciel est par exemple parvenu à comprendre que la combinaison classique « password12345 » devenait « p4s5w0rd », à force que les internautes deviennent plus sensibilisés.

« Choisir une combinaison en fonction de chaque site, par exemple LaurentAmazon14% puis LaurentNetflix%, est aussi remis en cause. Une fois que les hackers auront en possession le premier, ils pourront tenter tous les autres variants », nous indique Benoit Grunenwald.

La 2FA est un rempart

Tous ces scénarios paraissent inquiétants, mais se heurtent tous à une simple barrière de sécurité : la double authentification. Si votre compte est protégé par l’une des nombreuses méthodes qui exigent un second code, le malfaiteur est limité dans sa manœuvre. Vous êtes donc en sécurité… à moins que l’attaquant usurpe votre service de double authentification. Uber, Rockstar, ont fait face à de graves piratages en 2022 après qu’un de leurs employés a fourni le second code à un hacker qui envoyait des prétendus pages d’authentification. Et là encore, les IA peuvent aider le malfaiteur à rédiger le message pour le rendre le plus légitime.

Ces opérations sont généralement très ciblées et demandent des ressources, il y a donc peu de chance que les hackers accordent autant de temps à vous piéger, sauf si vous êtes potentiel maillon faible d’une grande entreprise.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !