L'intelligence artificielle (IA) Chat GPT, ouverte au grand public par l'entreprise OpenAI en novembre 2022, n'est pas uniquement utile pour rédiger des textes à notre place.
L'IA peut également écrire du code et trouver des failles informatiques. Une invention utile, en termes de cybersécurité et de programmation, car elle peut faire gagner du temps à celui ou celle qui programme. Le hic? Des hackers russes l’utilisent déjà pour créer des logiciels malveillants. Alors, à quel point faut-il s’en inquiéter?
«Chat GPT est un outil qui crée des opportunités et des risques, souligne Mathias Payer, chercheur en sécurité informatique et professeur à l’Ecole polytechnique fédérale de Lausanne (EPFL). Le plus grand danger est celui des attaques de hameçonnage.» Ce type d'attaque, nommée également phishing, vise à envoyer au destinataire un courriel d'apparence légitime afin qu'il transmette ses coordonnées bancaires ou ses identifiants de connexion.
Le problème, selon le professeur? «Supposons qu'un humain nécessite une heure pour rédiger un e-mail de phishing personnalisé. Avec Chat GPT, cela peut être automatisé et donc aller bien plus vite. Il faudra alors de nouvelles technologies pour contrer de telles attaques. Nous devrons également sensibiliser les utilisateurs et utilisatrices à ce sujet.»
L'eldorado des hackers...
En somme, les hackers peuvent utiliser cette IA pour faire du boulot à leur place, et être plus efficaces. Mais ce n'est pas tout: l'IA peut aussi trouver des failles informatiques. Le hacker éthique Youssef Sammouda en a fait l'expérience.
Ce chasseur de vulnérabilités informatiques trouve régulièrement d'importantes failles de sécurité sur les sites de Google ou encore de Meta (propriétaire de Facebook, Instagram et WhatsApp), et les leur communique.
«Lorsque l’on donne le code source d'un site web à Chat GPT, celui-ci peut le comprendre et nous expliquer chacune de ses fonctions, ainsi que son objectif», avance-t-il au préalable.
Youssef Sammouda a donc décidé de voir si l'intelligence artificielle pouvait être aussi efficace que lui pour débusquer des bugs. Sa conclusion: «Chat GPT pourrait aider à trouver certaines failles plus rapidement. Selon mon test, l'assistant virtuel n'a, certes, pas été capable de trouver précisément une vulnérabilité informatique que j'avais débusquée au préalable. Mais il n'était pas très loin d'avoir la solution.»
... mais des hackers médiocres
Le bébé de la société OpenAI a de ce fait encore des progrès à réaliser dans le repérage de failles informatiques. «Chat GPT n’a que le niveau d’un hacker médiocre, et ne peut pas trouver les bugs 'dernier cri', insiste le professeur de l'EPFL Mathias Payer. Vous n’aurez jamais une attaque sophistiquée grâce à cette IA.»
Logique: l’assistant virtuel se nourrit de ce que l’on connaît déjà et qui lui a été partagé. Résultat: les vulnérabilités qui n’ont pas encore été découvertes par l’humain ne peuvent pas être connues de l’assistant virtuel.
Internet, la porte vers de nouvelles attaques?
Les imprécisions ou les lacunes de cette intelligence artificielle sont en partie, pour l'instant, liées au fait que celle-ci n'est pas connectée à Internet. L'assistant Chat GPT a été entraîné sur des données tirées du web jusqu'à l'année 2021 et a donc près de deux ans de retard.
Or, le consultant virtuel ne restera pas toujours déconnecté de la Toile. En fait, le 8 février, Microsoft a intégré cette intelligence artificielle à son moteur de recherche Bing. Il sera bientôt possible pour les utilisatrices et utilisateurs de ce navigateur de recherche de poser directement leurs questions à l'assistant virtuel... qui y répondra à l'aide des données récoltées sur Internet, et non plus uniquement sur des connaissances s'arrêtant à 2021.
Toutefois, «le fait que cette IA puisse dans le futur avoir accès à des données plus récentes ne veut pas forcément dire que ses réponses seront plus justes», tempère Marc Bollhalder, consultant en cybersécurité et organisateur de compétitions Capture the flag pour le Swiss Hacking Challenge, destinées à trouver les meilleurs jeunes hackers éthiques suisses.
Rien n'est donc encore acté. Mais l'intelligence artificielle aura certainement accès à un plus grand nombre de ressources sur les différents types de failles informatiques, et pourra s'en enrichir. Ouvrant ainsi la porte à de nouvelles possibilités d'attaques informatiques pour les hackers en herbe.