Sur des forums clandestins, des pirates expliquent comment détourner les services du logiciel ChatGPT, une intelligence artificielle qui connait un grand succès.
Leur objectif : créer des messages frauduleux ou des logiciels dangereux, révèle une étude.
C'est en passant par la messagerie Telegram qu'ils parviennent à contourner les règles de sécurité de l'outil.

Quelques semaines seulement après le lancement du logiciel, les cybercriminels semblent déjà avoir fait de ChatGPT leur nouveau terrain de jeu. Ce fameux outil, mis au point par la société OpenAI, permet de générer toutes sortes de contenus sur simple requête d'un internaute, des annonces publicitaires aux lignes de code en passant par les devoirs scolaires. Mais il est aussi devenu la proie d'utilisateurs malveillants, qui sont parvenus à déjouer certaines de ses restrictions de sécurité, comme le révèle une étude de Check Point Research, une équipe d'experts spécialisés dans les cybermenaces. 

Des bots Telegram pour contourner les restrictions

Des barrières ont été posées par OpenAI pour contrôler les demandes soumises à leur logiciel. Sur son interface utilisateur, il vous est par exemple impossible de demander à l'intelligence artificielle de rédiger des mails d'hameçonnage, des messages frauduleux destinés à récupérer des informations personnelles. Impossible, aussi, de lui faire créer un "malware", un logiciel malveillant capable de fragiliser un système informatique. L'intelligence artificielle répond alors par un message d'erreur, assorti de recommandations de prévention : "Ces mails sont illégaux, immoraux et néfastes", par exemple.

Mais il existe une autre façon d'accéder à ChatGPT : via son interface de programmation d'application (API). Et celle-ci est beaucoup plus vulnérable. Cette interface "permet de 'connecter' un logiciel ou un service à un autre logiciel ou service afin d’échanger des données et des fonctionnalités", explique la Commission nationale de l'informatique et des libertés (CNIL) sur son site. Or, "la version actuelle de l'API d'OpenAI est utilisée par des applications externes et possède très peu de dispositifs anti-abus", signale Sergey Shykevich, responsable du groupe "Threat" chez Check Point Software, cité dans le communiqué.

C'est dans cette faille que s'engouffrent les cybercriminels. Sur des forums de piratage, des messages inquiétants pullulent : ils expliquent comment utiliser l'API de ChatGPT pour passer au-delà de ces restrictions. Pour ce faire, les cybercriminels recourent en général à des bots de l'application de messagerie Telegram, autrement dit des systèmes de réponse automatique, qui vont utiliser cette API. Ce sont ces chatbots qu'ils vont solliciter, plutôt que de passer par l'interface utilisateur du logiciel.

"5,50 dollars par série de 100 demandes"

"Cela permet donc de créer du contenu malveillant, comme des e-mails de phishing et du code de malware, sans les limitations ou les barrières que ChatGPT a fixées sur son interface utilisateur", poursuit Sergey Shykevich. Les pirates parviennent ainsi à créer des mails d'hameçonnage très réalistes. L'un d'entre eux, dont Check Point Software a fait une capture partagée sur son blog, se fait par exemple passer pour un message d'urgence d'une banque, demandant à ses clients de se connecter sur un lien pour retrouver l'accès à leurs comptes bloqués.

Les cybercriminels font ensuite la promotion de ces bots sur des forums clandestins, et font même payer leurs services : "Les fabricants de bots autorisent actuellement jusqu'à 20 demandes gratuites, mais facturent ensuite 5,50 dollars par série de 100 demandes", relève le communiqué. 

Ce n'est pas la première fois que des détournements du logiciel à des fins malveillantes inquiètent les experts. Début janvier, plusieurs d'entre eux signalaient dans le magazine américain Forbes que des pirates commençaient déjà à utiliser ChatGPT pour créer des logiciels malveillants. Certains autres, qui sévissent sur les sites de rencontre où ils créent de faux profils, recourent aussi au logiciel pour rédiger des messages destinés à alpaguer les utilisateurs avant de tenter de les arnaquer.

Et ces malversations risquent de se multiplier dans les mois à venir. Pour cause, le piratage requiert d'habitude des connaissances solides en programmation, mais ChatGPT serait plus facile d'utilisation pour les programmateurs novices, a estimé auprès du New York Times Mark Ostrowski, responsable de l'ingénierie chez Check Point. "La force de frappe que cet outil pourra leur procurer ne va pas cesser d'augmenter", a prédit l'expert. D'après le quotidien américain, l'outil serait aussi exploité pour produire des théories conspirationnistes et alimenter la désinformation.


Maëlane LOAËC

Tout
TF1 Info