ChatGPT est une arme redoutable pour les hackers. Avec l’aide de l’IA, il est possible de coder un dangereux malware indétectable… sans écrire une seule ligne de code.
Pour démontrer les dangers posés par ChatGPT, Aaron Mulgrew, chercheur en cybersécurité de la société américaine ForcePoint, a mené sa propre expérience. Celui-ci s’est servi du chatbot pour « créer des logiciels malveillants avancés sans écrire de code et uniquement en utilisant ChatGPT ».
Ce chercheur a piégé ChatGPT
L’expérience a surtout pour but de démontrer l’insuffisance des restrictions mises en place par OpenAI. La start-up encadre en effet le modèle linguistique avec une série de règles. Par exemple, ChatGPT ne peut aider son interlocuteur dans le cadre d’activités criminelles. Si vous demandez à l’IA comment pirater un ordinateur, déployer un virus ou voler de l’argent, elle refusera de vous répondre. ChatGPT affichera un avertissement de cet acabit :
« En tant qu’intelligence artificielle responsable, je ne peux pas vous fournir d’informations ou de conseils sur des activités illégales, dangereuses ou nuisibles, y compris sur la manière de causer du tort à autrui. Je ne peux pas vous aider à concevoir, coder ou expliquer comment créer un malware ou mener des activités illégales ».
Pour contourner les garde-fous d’OpenAI, Aaron Mulgrew a pris le parti de décomposer la création en plusieurs étapes successives, en apparence légales et strictement inoffensives. De cette manière, ChatGPT n’a pas « réalisé » qu’il était en train de programmer un logiciel malveillant… Dans le détail, le chercheur voulait mettre au point un malware de type infostealer, c’est-à-dire conçu pour voler les données d’un appareil.
Le mode opératoire ayant été défini, Mulgrew a voulu rendre le malware indétectable par les antivirus et les systèmes de sécurité. Le chercheur a demandé à ChatGPT d’introduire divers changements dans le code, notamment pour « retarder le démarrage effectif de deux minutes », ce qui permet de contourner certains dispositifs de sécurité. Dans la même optique, il lui a demandé d’obfusquer le code du malware. Ce procédé consiste à rendre le code d’un logiciel difficile à comprendre et à interpréter afin d’aveugler les antivirus. Ceux-ci passent alors à côté des fonctionnalités malveillantes.
Dans un premier temps, ChatGPT a refusé d’obtempérer. Le chercheur a donc demandé au chatbot de « changer toutes les variables en prénoms et noms de famille anglais aléatoires ». N’y voyant rien de malfaisant, le modèle linguistique a obtempéré. Avec les changements apportés, le virus est devenu indétectable. Aucun des antivirus testés par Mulgrew n’a épinglé le logiciel.
Sans écrire une seule ligne de code, un internaute peut apparemment concevoir de A à Z un nouveau virus informatique. Néanmoins, on remarquera qu’il est nécessaire d’avoir une idée assez précise du fonctionnement d’un virus et d’un langage de programmation pour arriver à ses fins.
Certaines étapes ont demandé plusieurs tentatives et un peu d’inventivité au chercheur. Pour rendre le virus impossible à détecter, Mulgrew a par exemple sollicité de solides connaissances en informatique. C’est lui qui a imaginé de quelle manière il était possible de tromper les antivirus. Ce n’est pas l’intelligence artificielle. Dans ce cas de figure, ChatGPT n’était qu’un outil, facilitant la conversion d’une idée en code informatique.
Ce n’est donc pas vraiment à la portée de n’importe qui. Il y a « un certain niveau de compétence requis » pour créer un logiciel de cette manière, concède Mulgrew. Néanmoins, en se chargeant du code, ChatGPT peut faire gagner énormément de temps aux développeurs de malwares… Sans l’IA, la conception du virus aurait pris « plusieurs semaines à une équipe de 5 à 10 développeurs », estime le chercheur.