Malgré les garde-fous mis en place par OpenAI, les compétences de développement de ChatGPT restent une aubaine pour les pirates. Un chercheur en cybersécurité vient de démontrer que le chatbot était capable de mettre au point un malware voleur de données indétectable.
ChatGPT n’est pas seulement capable de générer des textes bien ficelés. Il peut aussi coder des programmes en suivant les requêtes qu’on lui soumet. Alors que les pirates ont déjà commencé à utiliser ChatGPT pour rédiger des messages de phishing, un chercheur en cybersécurité vient de mettre en lumière une autre frange de son potentiel malveillant.
Dénué d’expérience dans le développement de malwares, Aaron Mulgrew est parvenu à guider ChatGPT avec plusieurs invites simples, contournant les protections mises en place par OpenAI. Au lieu de lui demander de but en blanc de créer un malware (chose que ChatGPT aurait refusé), il a segmenté la création en lui soumettant des requêtes à l’apparence inoffensive. Le programme malveillant a donc été créé fonction par fonction.
À lire > ChatGPT : les pirates russes s’en servent déjà pour mener leurs attaques
ChatGPT : comment détourner les barrières de sécurité pour créer des malwares ?
Une fois tous les extraits de code assemblés, le chercheur a pu récupérer un malware voleur de données aussi sophistiqué que discret. Celui-ci s’infiltre sur le PC via une application d’économiseur d’écran. Après un temps de latence pour éviter d’être repéré, il s’exécute automatiquement et se met en quête d’images avant de rafler des documents PDF et Word. Ces derniers sont alors divisés en fragments que le malware dissimule dans les images susmentionnées.
Le butin est ensuite transféré vers un dossier Google Drive, une procédure qui permet également d’éviter la détection. “En utilisant simplement les invites ChatGPT et sans écrire de lignes de code, nous avons pu mettre au point une attaque très avancée en quelques heures seulement. Sans chatbot basé sur l’IA, cela aurait pris plusieurs semaines à une équipe de 5 à 10 développeurs de logiciels malveillants, en particulier pour échapper aux antivirus”, estime Aaron Mulgrew.
À lire > Google Chrome : attention, cette fausse extension ChatGPT vole vos identifiants Facebook
Le chercheur a téléchargé le code de son malware sur VirusTotal, plateforme de détection des menaces informatiques. 5 fournisseurs sur 60 l’ont considéré comme suspect. Aaron Mulgrew a alors fait quelques ajustements en demandant à ChatGPT de modifier le code, jusqu’à réussir à rendre son caractère malveillant indétectable.
L’objectif de la manœuvre est de montrer à quel point il est facile de contourner les barrières de sécurité du chatbot pour créer rapidement des malwares qui nécessiteraient normalement des compétences techniques très élaborées. Une véritable aubaine pour les pirates qui ont déjà commencé à exploiter ChatGPT pour leurs opérations malveillantes.
Source : Force Point