ChatGPT et cybersécurité : ce qu’en disent les spécialistes du secteur

OpenAI

ChatGPT est-il l’outil ultime pour automatiser des cyberattaques sans écrire une ligne de code ? Les éditeurs de logiciels de cybersécurité reconnaissent sa puissance et son potentiel de nuisance.

Matt Psencik
Directeur Endpoint Security Specialist chez Tanium

« ChatGPT est l’un des premiers chatbots qui m’a impressionné par sa capacité à répondre à des questions incroyablement complexes et à fournir une réponse compréhensible. Est-il exempt de bugs et parfait ? Non, mais il n’a jamais prétendu l’être puisqu’il est encore en version bêta. Même lorsqu’il sera mis en production, il est probable que tout ne soit pas parfait, car tous les modèles d’apprentissage ont des défauts qui se répercutent sur les réponses individuelles. L’avantage que je vois ici est la capacité à obtenir rapidement une idée générale de ce qui se passe et de pouvoir ensuite rechercher un sujet connexe pour vérifier cette réponse en partant de rien.

Un bon exemple du côté de la cybersécurité est la possibilité de prendre un extrait de code (qu’il s’agisse de code hexadécimal brut, de code assembleur ou d’un langage de haut niveau comme Python ou C++) et de demander au robot  » Que fait ce code ? « . Je pourrais passer des heures à examiner chaque section de ce code, à chercher ce que fait chaque mot-clé ou chaque balise, puis finir par comprendre ce qu’il fait, ou bien je peux demander à ChatGPT de me donner un résumé de qualité, puis d’examiner les sections détaillées de l’explication pour apprendre rapidement ce que tout cela fait.

Ce n’est pas une boule de cristal qui nous donne toutes les réponses, mais c’est un peu comme un groupe de tuteurs et d’experts qui répondent à ce qu’ils savent sur un sujet d’une manière compréhensible, ce qui permet d’envisager un transfert rapide des connaissances. ChatGPT doit être utilisé comme un outil complémentaire, mais sa qualité dépend des questions qui lui sont posées, des modèles sur lesquels il a été formé et, surtout, des capacités de compréhension du cerveau qui a posé la question en premier lieu.»

Dane Sherret
Architecte Solutions chez HackerOne

« Les avancées que représente ChatGPT sont fascinantes, mais la technologie n’est pas encore assez développée pour devenir autonome. Pour son bon fonctionnement, l’IA a besoin d’une supervision humaine et d’une configuration manuelle. On ne peut donc pas toujours compter sur le fait qu’elle soit gérée et entraînée sur la base des données et de l’intelligence les plus avancées. 

En matière de cybersécurité notamment, cela pose problème, car les menaces évoluent trop rapidement, les cybercriminels exploitant en permanence de nouveaux vecteurs d’attaque. Des données datées d’un an seulement peuvent rendre les solutions autonomes beaucoup moins efficaces, et une dépendance excessive aux outils d’analyse rend déjà de nombreuses entreprises vulnérables. De plus, les rapports de vulnérabilités générés par l’IA révèlent de nombreux faux positifs, ce qui ajoute des frictions supplémentaires et représente une surcharge pour les équipes de sécurité. 

D’après les réactions observées sur Twitter, je trouve que les idées sur la façon dont l’IA va remplacer les experts de la cybersécurité sont peut-être un peu exagérées. En revanche, les idées sur la façon dont elle va augmenter les capacités humaines dans le secteur sont sous-estimées.

Aujourd’hui, nous voyons des hackers éthiques utiliser l’IA pour les aider à rédiger des rapports de vulnérabilité, à générer des échantillons de code, ainsi qu’à identifier des tendances dans de grands ensembles de données. Finalement, la meilleure application de l’IA d’aujourd’hui est d’aider les humains à faire des choses plus humaines. »

Benoit Grunemwald -
Expert en Cybersécurité chez ESET France 

« L'intelligence artificielle permet aux cybercriminels de créer, de multiplier et d'améliorer leurs attaques. Le recours à l'AI par les acteurs malveillants n'est pas nouveau. Cependant les progrès et la simplicité de mise en œuvre, notamment offert par chatGPT, peuvent permettre d'augmenter à nouveau l'efficacité et la quantité de contenus malveillants produit.

Courriels d'hameçonnage ou articles servant la désinformation ne sont que la partie émergée de l'iceberg des possibilités offertes par l'IA. Ne laissant pas le champ libre aux attaquants, l'industrie de la cyber sécurité s'appuie de sur très nombreuses années sur l'IA pour protéger les internautes et les organisations. A ce titre, couplée au Cloud, l'IA permet de réduire l'avance que peuvent avoir les criminels sur nos défenses.»

Lavi Lazarovitz
Head of Security Research du CyberArk Labs

 « ChatGPT a le potentiel d'être une menace légitime pour la cybersécurité. La principale utilisation malveillante repose sur la génération de scénarios de phishing envoyés à des masses de cibles. Par exemple, cela pourrait se manifester dans la solution d'IA utilisant les données collectées lors de la récente fuite de Twitter pour envoyer directement des messages aux utilisateurs de ce réseau social. Déguisés en compte d'assistance Twitter légitime, avec une coche bleue, les cybercriminels pourraient utiliser ChatGPT pour convaincre les victimes de partager des informations sensibles ou des mots de passe.

La capacité de ChatGPT à maîtriser la conversation et la rhétorique permet ainsi aux hackers de créer des campagnes de phishing par SMS à grande échelle, ciblant les masses pour en faire des victimes via des applications de messagerie courantes. Parallèlement à cela, l'aptitude de ChatGPT pour le langage en fait un allié de taille pour aider les hackers inexpérimentés à écrire des malwares, ce qui est traditionnellement le domaine des cybercriminels plus expérimentés.

ChatGPT est déjà utilisé par les chercheurs en sécurité, pour cartographier les vulnérabilités et les bogues dans le code sur simple demande, tout en facilitant la création de programmes sécurisés pour les développeurs novices.

Bien qu'il s'agisse donc d'un outil utile pour développer et surveiller le code, il est important de noter que ChatGPT n'est pas infaillible. Ses réponses sont imprévisibles et ne peuvent pas être retracées à des sources fiables, il ne faut donc pas lui faire aveuglément confiance. Au lieu de cela, les spécialistes de la sécurité et les développeurs doivent être prudents et ne l'utiliser que comme point de départ pour des recherches et développements à approfondir ensuite. »

Steve Povolny
Directeur et ingénieur principal chez Trellix

 « ChatGPT fait parler de lui depuis un mois déjà. Si ses prédécesseurs suscitaient déjà l’intérêt de l’industrie très peu d'utilisations accessibles au grand public en avaient résulté. Ce nest plus le cas aujourd’hui et nous sommes face au " text bot le plus intelligent jamais créé " dont l’utilisation est virtuellement sans limite. Pour le simple domaine cyber, les utilisations possibles vont de la génération d’e-mails à la création et à l’audit de code, en passant par la découverte de vulnérabilités et bien plus encore.

 Alors même que l’équipe derrière ChatGPT tente de limiter les utilisations malveillantes de l'outil, la réalité est que les cybercriminels n’ont pas attendu pour exploiter l’outil à leur profit. Il n’est en effet pas difficile de créer des e-mails de phishing hyper réalistes en modifiant simplement l’entrée utilisateur ou en adaptant légèrement les résultats générés.

 Il reste important de rappeler que cet outil a un potentiel vertueux important et peut être efficace pour repérer des erreurs de codage critiques, expliquer des concepts techniques et complexes en utilisant un langage simplifié et même développer des scripts et du code résilient.

Les chercheurs, praticiens, universitaires et es entreprises du secteur de la cybersécurité peuvent ainsi exploiter la puissance de ChatGPT à des fins d'innovation et de collaboration.»