ChatGPT : Outil de productivité, idéal pour écrire des poèmes, et… un risque pour la sécurité ?! Dans cet article, nous montrons comment les acteurs malveillants peuvent exploiter ChatGPT, mais également comment les défenseurs peuvent l’utiliser pour améliorer leur jeu.
ChatGPT est l’application grand public qui connaît la croissance la plus rapide à ce jour. Le chatbot génératif d’IA extrêmement populaire a la capacité de générer des réponses de type humain, cohérentes et contextuellement pertinentes. Cela le rend très précieux pour des applications telles que la création de contenu, le codage, l’éducation, le support client et même l’assistance personnelle.
Cependant, ChatGPT comporte également des risques de sécurité. ChatGPT peut être utilisé pour exfiltrer des données, diffuser des informations erronées, développer des cyberattaques et rédiger des e-mails de phishing. D’un autre côté, il peut aider les défenseurs qui peuvent l’utiliser pour identifier les vulnérabilités et se renseigner sur les différentes défenses.
Dans cet article, nous montrons de nombreuses façons dont les attaquants peuvent exploiter ChatGPT et OpenAI Playground. Tout aussi important, nous montrons comment les défenseurs peuvent également tirer parti de ChatGPT pour améliorer leur posture de sécurité.
L’acteur menaçant – Le piratage simplifié
ChatGPT facilite la tâche des personnes souhaitant entrer dans le monde de la cybercriminalité. Voici quelques façons de l’utiliser pour l’exploitation du système :
- Trouver des vulnérabilités – Les attaquants peuvent informer ChatGPT des vulnérabilités potentielles des sites Web, des systèmes, des API et d’autres composants réseau.
Selon Etay Maor, directeur principal de la stratégie de sécurité chez Réseaux Cato« Il y a des garde-fous dans ChatGPT et dans Playground pour les empêcher de donner des réponses qui soutiennent l’action de quelque chose de mauvais ou de mauvais. Mais, « l’ingénierie sociale » de l’IA permet de trouver un moyen de contourner ce mur. »
Par exemple, cela peut être fait en se faisant passer pour un testeur de stylet pour savoir comment tester les vulnérabilités du champ de saisie d’un site Web. La réponse de ChatGPT comprendra une liste de méthodes d’exploitation de sites Web, telles que les tests de validation d’entrée, les tests XSS, les tests d’injection SQL, etc.
- Exploiter les vulnérabilités existantes – ChatGPT peut également fournir aux attaquants les informations technologiques dont ils ont besoin sur la manière d’exploiter une vulnérabilité existante. Par exemple, un acteur malveillant pourrait demander à ChatGPT comment tester une vulnérabilité d’injection SQL connue dans un champ de site Web. ChatGPT répondra avec des exemples d’entrée qui déclencheront la vulnérabilité.
- Utiliser Mimikatz – Les acteurs malveillants peuvent demander à ChatGPT d’écrire du code qui télécharge et exécute Mimikatz.
- Rédaction d’e-mails de phishing – ChatGPT peut être invité à créer des e-mails de phishing d’apparence authentique dans une grande variété de langues et de styles d’écriture. Dans l’exemple ci-dessous, l’invite demande que l’e-mail soit rédigé de manière à donner l’impression qu’il provient d’un PDG.
- Identification des fichiers confidentiels – ChatGPT peut aider les attaquants à identifier les fichiers contenant des données confidentielles.
Dans l’exemple ci-dessous, ChatGPT est invité à écrire un script Python qui recherche les fichiers Doc et PDF contenant le mot « confidentiel », les copie dans un dossier aléatoire et les transfère. Bien que le code ne soit pas parfait, c’est un bon début pour une personne qui souhaite développer cette capacité. Les invites pourraient également être plus sophistiquées et inclure le cryptage, la création d’un portefeuille Bitcoin pour l’argent de la rançon, et bien plus encore.
The Defender – Défendre en toute simplicité
ChatGPT peut et doit également être utilisé pour améliorer les capacités du défenseur. Selon Etay Maor, « ChatGPT abaisse également la barre, dans le bon sens, pour les défenseurs et pour les personnes qui souhaitent accéder à la sécurité ». Voici plusieurs façons dont les professionnels peuvent améliorer leur expertise et leurs capacités en matière de sécurité.
- Apprendre de nouveaux termes et technologies – ChatGPT peut réduire le temps nécessaire à la recherche et à l’apprentissage de nouveaux termes, technologies, processus et méthodologies. Il fournit des réponses immédiates, précises et concises aux questions liées à la sécurité.
Dans l’exemple ci-dessous, ChatGPT explique ce qu’est une règle de snort spécifique.
- Résumer les rapports de sécurité – ChatGPT peut aider à résumer les rapports de violation, aidant ainsi les analystes à comprendre comment les attaques ont été réalisées afin d’éviter qu’elles ne se reproduisent à l’avenir.
- Déchiffrer le code de l’attaquant – Les analystes peuvent télécharger le code de l’attaquant sur ChatGPT et obtenir une explication des mesures prises et de la charge utile exécutée.
- Prédire les chemins d’attaque – ChatGPT peut prédire les futurs chemins d’attaque probables d’une attaque, en analysant des cyberattaques passées similaires et les techniques utilisées.
- Recherche des acteurs de la menace et des chemins d’attaque – Fournir un rapport qui cartographie un acteur menaçant, y compris ses attaques récentes, ses données techniques, sa cartographie avec les frameworks, et bien plus encore. Dans cet exemple, un rapport technique détaillé est fourni sur le groupe ALPHV Ransomware.
- Identifier les vulnérabilités du code – Les ingénieurs peuvent coller du code dans ChatGPT et l’inviter à identifier les vulnérabilités. ChatGPT peut même identifier les vulnérabilités lorsqu’il n’y a pas de bug, seulement une erreur logique. Méfiez-vous du code que vous téléchargez. S’il contient des données exclusives, vous risquez de les exposer à l’extérieur.
- Identification des activités suspectes dans les journaux – Examen de l’activité du journal et recherche d’activités suspectes.
- Identification des pages Web vulnérables – Les développeurs Web ou les professionnels de la sécurité peuvent demander à ChatGPT d’examiner le code HTML d’un site Web et d’identifier les vulnérabilités qui permettraient des injections SQL, des attaques CSRF, des attaques XSS ou des attaques DDoS.
Considérations supplémentaires lors de l’utilisation de ChatGPT
Lorsque vous utilisez ChatGPT, il est important de reconnaître l’importance des facteurs suivants :
- Droits d’auteur – À qui appartient le contenu généré ? Lorsque l’on demande à ChatGPT, la réponse est que la personne qui a écrit l’invite en est propriétaire. Toutefois, ce n’est pas aussi simple que cela. Cette question n’est pas encore complètement résolue et dépendra de différents systèmes juridiques et précédents. Un corpus juridique est actuellement en train d’émerger sur cette question.
- La conservation des données – OpenAI peut conserver certaines des données utilisées comme invites à des fins de formation ou à d’autres fins de recherche. C’est pourquoi il est important de faire preuve de prudence et d’éviter de coller des données sensibles dans l’application.
- Confidentialité – ChatGPT présente des problèmes de confidentialité, allant de la manière dont il utilise les données qui lui sont demandées à la manière dont il stocke les interactions des utilisateurs. Par conséquent, il est recommandé d’éviter de saisir des informations personnelles ou des données client dans l’application.
- Biais – ChatGPT est sujet à des biais. Par exemple, lorsqu’on lui a demandé d’évaluer des groupes en fonction de leur intelligence, il a placé certaines ethnies avant d’autres. Utiliser aveuglément les réponses pourrait avoir des conséquences importantes pour les individus. Par exemple, s’il est utilisé pour guider la prise de décision devant les tribunaux, le profilage policier, les processus de recrutement, etc.
- Précision – Il est important de vérifier les résultats de ChatGPT, car ils ne sont pas toujours exacts (c’est-à-dire des « hallucinations ». Dans l’exemple ci-dessous, ChatGPT a été invité à rédiger une liste de mots de cinq lettres commençant par B et se terminant par KE. Une des réponses était « Vélo ».
- IA contre IA – Actuellement, ChatGPT n’est pas en mesure d’identifier si un texte demandé a été écrit par l’IA ou non. À l’avenir, des versions plus récentes pourraient le faire, ce qui pourrait contribuer aux efforts de sécurité. Par exemple, cette capacité pourrait aider à identifier les e-mails de phishing.
Etay résume : « Nous ne pouvons pas arrêter le progrès, mais nous devons apprendre aux gens comment utiliser ces outils. »
Pour en savoir plus sur la façon dont les professionnels de la sécurité peuvent tirer le meilleur parti de ChatGPT, regardez l’intégralité de la masterclass ici.