FraudGPT, WormGPT : le ChatGPT du mal existe déjà
Un outil inspiré par ChatGPT permet de générer du contenu malveillant. Mis en avant sur les forums de hackers, il serait d’abord orienté vers les campagnes de phishing.
Le phénomène des agents conversationnels s’étend au dark web et au marché noir. Dans deux rapports de recherches publiés fin juillet par les entreprises Neten Rich et Slash Next, des experts en cybersécurité ont relevé l’émergence de deux nouveaux chatbot frauduleux sur les forums de hackers : FraudGPT et WormGPT. Concrètement, ces outils recopient les fonctions de chatbot et de génération de contenu de ChatGPT, les barrières légales et morales en moins.
Il y a de fortes chances pour que WormGPT et FraudGPT ne soient d’ailleurs qu’un seul et même outil, proposés par un unique acteur malveillant. Les deux publications sur le forum renvoient au même pseudonyme, CanadianKingpin.
Bien que les limites imposées par OpenAI soient encore parfaitement contournables – il suffit parfois de demander « autrement » pour que ChatGPT fournisse une histoire complotiste sur les attentats du 13 novembre –, ce clone malveillant laisse une totale liberté aux utilisateurs dans leurs demandes.
Parmi les services proposés, FraudGPT peut rédiger des messages de phishing, écrire un code malveillant, créer des malwares, chercher des sites sur le marché noir, trouver des fuites, des vulnérabilités et apprendre à pirater. FraudGPT est vendu à partir de 200 dollars par mois et avec une offre à 1 700 dollars par an. L’auteur des posts de promotion affirme avoir plus de 3 000 ventes et évaluations à ce jour. Des exemples vidéos de test de l’outil ont d’ailleurs été mis en ligne.
L’utilisateur demande à l’agent malveillant de lui fournir un sms de phishing usurpant une banque américaine. // Source : Numerama
Des recherches détournées par les acteurs malveillants
Il semblerait que la principale mission de cet outil soit d’abord concentrée sur la mise en place d’une campagne d’hameçonnage convaincante. Un hacker adaptera régulièrement ses messages en fonction de l’actualité et des évènements, tout en intégrant des liens piégés dans ses mails. Il est possible que ces outils soient améliorés progressivement.
Interrogé en mai par Numerama, Tom Van de Wiele, chercheur sur les menaces technologiques pour la société WithSecure, avait déclaré : « Avec le temps, un programme pourra mener toute l’attaque, du phishing, de l’infiltration jusqu’au chiffrement, en cherchant à chaque fois le meilleur chemin pour y parvenir. Il sera, par exemple, possible de surveiller l’activité numérique et ses publications sur les réseaux sociaux pour connaitre ses heures de travail, de loisir et déterminer un moment d’attaque opportun. »
Cette ingénierie inversée de ChatGPT est possible grâce à la mise en ligne des travaux de recherche sur l’intelligence artificielle, en commençant par l’entreprise phare OpenAI. Bien que vertueuse, la volonté des chercheurs à dévoiler le fonctionnement d’une intelligence artificielle – pour le bien de l’humanité selon eux – a permis aux malfaiteurs de se pencher sur ces programmes.
Ilya Sutskever, l’un des cofondateurs d’OpenAI et scientifique en chef du projet, a lui-même déclaré au média américain The Verge : « C’est une mauvaise idée… Je m’attends à ce que, dans quelques années, il devienne évident pour tout le monde qu’il n’est pas judicieux de mettre l’IA en libre accès ». OpenAI a depuis limité la mise en ligne de ses recherches.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
Source: Numerama