Les chatbots gagnent du terrain : l'IA est désormais à la hauteur de l'ignorance naturelle

Le chatbot ChatGPT, basé sur l'intelligence artificielle, fait les gros titres dans le monde entier - et outre les annonces dans le domaine de la bourse et des droits d'auteur, la sécurité informatique est également au cœur des discussions. En effet, la disponibilité plus large de l'outil, réalisée depuis peu, entraîne, malgré tous les efforts de sécurité du fabricant, de nouveaux défis lorsqu'il s'agit d'appâts d'hameçonnage ou de schémas d'escroquerie orientés sur le dialogue, comme les romance scams via les réseaux sociaux ou les attaques de compromission à but commercial par e-mail.

Les chatbots, auxiliaires des cybercriminels

"L'un des principaux risques est que les pirates utilisent ces plates-formes pour améliorer considérablement la qualité de leurs appâts de phishing. Les attaques de phishing deviennent ainsi de plus en plus difficiles à identifier, même pour les utilisateurs les plus attentifs", explique Chet Wisniewski, expert en cybersécurité chez Sophos. "En fin de compte, les chatbots à IA de plus en plus performants fournissent une mise à niveau gratuite pour tous les types d'attaques d'ingénierie sociale. Des programmes comme ChatGPT peuvent être utilisés pour mener des conversations interactives très réalistes à visée criminelle via la messagerie électronique ou pour lancer des attaques par chat via Facebook Messenger, WhatsApp ou d'autres applications de chat. Aujourd'hui, le plus grand danger concerne le groupe cible anglophone. Mais ce n'est probablement qu'une question de temps avant que de nouvelles versions soient disponibles pour créer des textes crédibles dans toutes les langues fréquemment parlées dans le monde. Nous avons atteint un stade où les gens sont de plus en plus souvent incapables de distinguer la prose générée par une machine de celle écrite par des humains - en particulier lorsque nous ne connaissons pas bien notre interlocuteur".

Escroqueries - "optimisées" par les chatbots

L'époque où les entreprises pouvaient compter sur leurs employés pour jouer un rôle actif dans la défense contre les cyberattaques, en surveillant les fautes de grammaire et d'orthographe ou les formulations étranges, est révolue. L'un des derniers éléments efficaces des programmes de formation est mis à mal par des chatbots comme ChatGPT - et de manière très efficace, comme l'illustrent les deux exemples suivants.

Le texte d'appât original d'un escroc BEC (Business E-Mail Compromise), qui tente de détourner le chèque de paie d'une autre personne vers le compte de l'attaquant, est relativement facile à reconnaître comme "non authentique". En comparaison, voici une variante écrite en entrant les points de repère thématiques correspondants de ChatGPT.

E-mail frauduleux standard :

Salut ....,

J'ai changé de banques car mon ancien compte n'est plus bon pour accepter les paiements dd et j'aimerais changer les détails de mon dépôt direct paycheck, le changement peut-il être effectif pour la date de paiement actuelle ?

Thanks, ....

Texte écrit par ChatGPT :

Cher HR,

 Je vous écris pour vous demander de mettre à jour mes informations de dépôt direct dans le système de paie de l'entreprise. Les informations de mon compte bancaire actuel ne sont plus valables et je vais changer de banque.

 Could you let me know what information you need in order to update my direct deposit information ? Je me ferai un plaisir de vous fournir tous les détails nécessaires.

 Je souhaiterais également demander que cette mise à jour soit effectuée en temps voulu pour la prochaine période de paie. Y a-t-il autre chose que je doive faire pour assurer une transition en douceur ?

 Merci pour votre attention à ce sujet. J'apprécie votre aide pour garantir que mes chèques de paie sont déposés sur le bon compte.

Sincèrement,

[Votre nom]

Et l'exemple suivant d'une escroquerie à la carte cadeau montre rapidement à quel point les chatbots IA sont désormais performants.

E-mail frauduleux standard :

S'il vous plaît, j'ai besoin de vous pour acheter des cartes-cadeaux. Nous avons quelques clients auxquels je souhaite envoyer des cadeaux. Comment pouvez-vous les organiser rapidement ? Car j'ai besoin de les envoyer en moins d'une heure. Puis-je donc vous indiquer le produit dont nous avons besoin et la quantité ?

Merci.

Texte écrit par ChatGPT :

Hey [Employé]

J'espère que vous vous en sortez bien. Je m'adresse à vous parce que j'ai besoin de votre aide pour quelque chose de vraiment important.

J'ai un client qui a besoin d'une carte cadeau ASAP, et je n'ai pas le temps de me la procurer moi-même. Pourriez-vous prendre une carte cadeau de [magasin ou site web de cartes e-gift] pour [montant] et me l'envoyer par email dès que possible ?

Je sais que cela peut être un peu gênant, mais j'apprécie vraiment votre aide pour que cela soit pris en charge rapidement. Si tu as des questions ou si tu as besoin de plus d'informations, n'hésite pas à me le faire savoir.

Thanks a ton for your help.

Prenez soin de vous,

[Votre nom]

Wisniewski parle de son "travail créatif" avec le chatbot : "Les deux exemples sonnent comme le courriel d'une personne réelle, ils ont une bonne ponctuation, une bonne orthographe et une bonne grammaire. Sont-ils parfaits ? Non. Sont-ils assez bons ? Dans tous les cas ! Comme les escrocs gagnent déjà des millions avec leurs appâts mal fabriqués, il est facile d'imaginer la nouvelle dimension de cette communication poussée par l'IA. Imaginez que vous discutiez avec ce bot via WhatsApp ou Microsoft Teams. Auriez-vous reconnu la machine ?"

"Le clou dans le cercueil de la conscience de la sécurité de l'utilisateur final".

Le fait est que presque tous les types d'applications dans le domaine de l'IA sont déjà arrivés à un point où ils peuvent tromper un être humain dans presque 100% des cas. La qualité de la "conversation" qui peut être menée avec ChatGPT est remarquable, et la capacité de créer de faux visages humains, presque impossibles à distinguer (pour les humains) de vraies photos, est également déjà une réalité. Le potentiel criminel de telles technologies est immense, comme le montre clairement un exemple : les criminels qui veulent réaliser une escroquerie par le biais d'une société fictive se contentent de générer 25 visages et d'utiliser ChatGPT pour écrire leurs biographies. Ajoutez à cela quelques faux comptes LinkedIn et le tour est joué.

Inversement, le "bon côté" doit lui aussi se tourner vers la technologie pour pouvoir tenir tête. "Nous devons tous enfiler notre combinaison d'Iron Man si nous voulons braver les eaux de plus en plus dangereuses d'Internet", explique Wisniewski. "Il semble de plus en plus que nous ayons besoin de machines pour détecter lorsque d'autres machines tentent de nous tromper. Une preuve de concept intéressante a été développée par Hugging Face, qui peut reconnaître des textes générés avec GPT-2 - ce qui suggère que des techniques similaires pourraient être utilisées pour reconnaître les sorties GPT-3".

"Triste mais vrai : l'IA a enfoncé le dernier clou dans le cercueil de la conscience de la sécurité de l'utilisateur final. Suis-je en train de dire que nous devrions tout arrêter ? Non, mais nous devons réduire nos attentes. Il n'y a en aucun cas de mal à suivre les meilleures pratiques en matière de sécurité informatique qui ont été appliquées jusqu'à présent et qui le sont encore souvent. Nous devons inciter les utilisateurs à être encore plus méfiants qu'ils ne l'ont été jusqu'à présent et, surtout, à vérifier consciencieusement les messages sans erreur qui contiennent l'accès à des informations personnelles ou des éléments monétaires. Il s'agit de poser des questions, de demander de l'aide et de prendre les quelques instants supplémentaires nécessaires pour confirmer que les choses sont bien ce qu'elles semblent être. Ce n'est pas de la paranoïa, mais la volonté de ne pas se laisser arnaquer par les escrocs".

Source : Sophos