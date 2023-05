Les experts en cybersécurité travaillent déjà sur tout le potentiel criminel des agents conversationnels comme ChatGPT et les scénarios catastrophes engendrés par l’intelligence artificielle. Voici leurs craintes à court termes autour de l’IA.

« Nous n’avons pas réussi à imaginer les dérives d’Internet et il y a de fortes chances que nous ne concevons pas les dangers de l’intelligence artificielle », lance Mikko Hyppönen, célèbre expert en cybersécurité. Il s’exprime lors la conférence Sphère 2023 à Helsinki, organisée du 24 au 25 mai. « Mikko » a été l’un des premiers à se confronter aux botnets, ces réseaux d’ordinateurs infectés et automatisés pour une tâche. Vingt ans après les premières campagnes mondiales de mails piégés, les cybercriminels ont désormais droit à un nouvel outil pour accélérer et améliorer leur attaque.

Il n’y a qu’à voir tous les sujets ChatGPT sur les forums des hackers russes pour comprendre à quel point les modèles de langage intéressent les malfaiteurs. Tom Van de Wiele, chercheur sur les menaces technologiques pour la société WithSecure, a pour mission d’envisager le pire scénario avant qu’il soit réalisé par les cybercriminels. L’expert en cyber a créé son propre système, à partir de la dernière version de ChatGPT, pour automatiser la recherche de faille dans les ordinateurs.

« J’ai rédigé un programme test en laboratoire pour exploiter chaque faille connue à travers le web. Toutes ces vulnérabilités connues depuis des années, celles patchées et non patchés, sont encore potentiellement utilisés par des cybercriminels. J’ai demandé ensuite à trouver les potentielles cibles que l’on pourrait exploiter à partir des vulnérabilités. Toute cette simulation a été réalisée uniquement avec ma voix. Imaginez si un tel programme était lancé », nous raconte Tom Van de Wiele. Ironiquement, l’expert en cyber a nommé sa création Owari Da, « la fin » en japonais.

Un membre d’un forum de pirates demande à contourner les sanctions sur OpenAI en Russie pour ouvrir un compte. // Source : Checkpoint

Le lancement de ChatGPT a bouleversé le marché de l’IA. Les outils intelligents, longtemps onéreux pour les entreprises légales et illégales, sont désormais plus accessibles. « Pour des cybercriminels, c’est la possibilité d’automatiser toute leur opération. Avec le temps, un programme pourra mener toute l’attaque, du phishing, de l’infiltration jusqu’au chiffrement, en cherchant à chaque fois le meilleur chemin pour y parvenir. Il sera, par exemple, possible de surveiller l’activité numérique et ses publications sur les réseaux sociaux pour connaitre ses heures de travail, de loisir et déterminer un moment d’attaque opportun. La voix également pourra être clonée pour tromper la victime. Il n’est pas impossible qu’un jour, on tombe sur des services payant de modèle de langage sur le marché noir, tout comme il existe des services de ransomware », ajoute l’expert en cybersécurité.

Il suffit de demander « autrement » à ChatGPT

OpenAI, l’entreprise derrière ChatGPT, tente quotidiennement de limiter sa création en l’entrainant à éviter d’aider le crime. Or, il existe encore énormément de moyens pour tromper l’agent conversationnel. Il est, par exemple, impossible de demander la recette du Napalm à ChatGPT. En revanche, l’IA vous répondra si vous lui demandez les ingrédients d’un mot contenant les syllabes NA – PA – LM, le tout en langage de programmation JAVA, vous avez tout en main pour créer votre bombe incendiaire.

Mikko Hyppönen présente un moyen d’obtenir la recette du napalm sur ChatGPT. // Source : Numerama

Il en va de même pour la cybersécurité. On ne peut pas ordonner à l’outil de nous rédiger une fake news, mais il est possible de lui demander de raconter un fait réel, avec des mensonges. Nous avons, par exemple, essayé cette méthode avec les attentats du 15 novembre 2015, et ChatGPT nous a pondu cinq scénarios complotistes.

ChatGPT nous offre une version complotiste des attentats du 15 novembre, expliquant le gouvernement français a préparé ces évènements meurtries. // Source : Numerama

Réguler plutôt qu’interdire les IA

Dès lors, le champ des possibles est sans limites. Un particulier peut lancer une opération de discréditation d’un concurrent, un hacker peut se faire passer pour n’importe qui et un État pourra lancer une campagne de désinformation plausible pour créer du remous au sein d’une population. Rappelons qu’une fuite de documents du renseignement russe, révélée par le Washington Post en avril, dévoile que seulement 1 % des comptes créés par le Kremlin sont détectés.

« Heureusement qu’un tel outil n’est pas entre les mains d’un homme comme Vladimir Poutine. Ce serait le chaos mondial », déclare Mikko Hyppönen à Numerama. Des documents secrets du Kremlin – baptisés Vulkan Files – avaient fuité en mars dernier, révélant que le Kremlin travaillait depuis dix ans sur les vulnérabilités de milliers de cibles dans l’Occident. Le développement de tels outils pourrait simplifier la tâche des hackers étatiques.

« On peut pour l’instant se satisfaire de la démarche d’OpenAI, une entreprise à but lucratif plafonnée, qui entreprend de nombreuses démarches pour limiter son produit. Naturellement, c’est aux autorités de veiller aussi à limiter les dérives. On m’avait proposé de signer la fameuse lettre pour limiter le développement de l’IA – signée par des personnalités comme Elon Musk et Steve Wozniak – et j’ai refusé. Il y a 20 ans, on me présentait déjà les mêmes pétitions pour limiter internet. Cela ne sert à rien. C’est comme les enfants, on ne contrôle pas leur avenir. On peut tout faire en revanche pour que l’IA se développe dans un cadre régulé », affirme l’expert en cyber.

Des textes de loi sont déjà en préparation en Europe et aux États-Unis. Malheureusement, l’histoire nous a montré que les cybercriminels sont le plus souvent en avance sur le législateur.

