Selon plusieurs experts, les chatbots IA éliminent une mesure de protection fondamentale contre le phishing. En effet, ces outils suppriment la récurrence des erreurs flagrantes de grammaire et d’orthographe dans ce type d’emails frauduleux utilisés par les cybercriminels. Cet avertissement intervient alors qu’Europol a publié récemment un rapport sur l’utilisation criminelle potentielle de ChatGPT et d’autres « grands modèles de langage ».
Les chatbots IA corrigent les failles du phishing
Une des failles majeures de certaines tentatives de phishing est la récurrence de fautes d’orthographe et de grammaire. Dans The Guardian, plusieurs experts ont indiqué que les chatbots d’intelligence artificielle étaient capables de corriger ces erreurs dont la présence déclench généralement les filtres anti-spam ou alerte les lecteurs humains.
Corey Thomas, directeur général de la société américaine de cybersécurité Rapid7, a expliqué au quotidien britannique que les pirates informatiques pouvaient désormais utiliser un outil IA traitant toutes les fautes d’orthographe et de grammaire.
Selon Thomas, le principe selon lequel il était possible de compter sur la recherche d’une mauvaise grammaire ou d’une orthographe médiocre pour la détection du phishing est désormais révolu.
« Nous avions l’habitude d’affirmer que vous pouviez identifier les attaques de phishing parce que les e-mails avaient une certaine apparence. Ce n’est plus le cas. »
Selon les chercheurs, dans un contexte de montée en puissance des grands modèles de langage (LLM), la cybercriminalité a désormais recours à ChatGPT, le leader sur le marché des chatbots IA. Une des premières applications commerciales substantielles de ce chatbot IA développé par OpenAI est ainsi l’élaboration de communications malveillantes.
Les experts en cybersécurité de Darktrace précisent que la rédaction des e-mails de phishing est de plus en plus prise en charge par des bots IA. Les hackers peuvent également, grâce à ces outils, envoyer des messages plus longs moins susceptibles d’être interceptés par les filtres anti-spam.
« Le génie est sorti de la bouteille »
Depuis le lancement de ChatGPT, le volume globale d’escroqueries par e-mail tentant d’inciter les utilisateurs à cliquer sur un lien a chuté. Dorénavant, ce type d’attaques est constitué d’e-mails plus complexes sur le plan linguistique, ajoutent les spécialistes de Darktrace.
Par conséquent, certains escrocs adeptes du phishing ont acquis une certaine capacité à rédiger une prose plus longue et plus complexe, explique Max Heinemeyer, directeur des produits de l’entreprise.
« Le génie est sorti de la bouteille », a déclaré Heinemeyer. « Cette technologie est utilisée pour une meilleure ingénierie sociale plus évolutive. L’IA permet de créer des e-mails de « spear-phishing » très crédibles et d’autres communications écrites avec très peu d’effort. »
Le « Spear-phishing » est une technique de phishing consistant à inciter un groupe spécifique d’utilisateur à fournir leurs mots de passe ou autres informations sensibles. Toutefois, ce type d’attaques peut être difficile à concevoir pour les assaillants. Mais les grands modèles de langage facilitent cette tâche.
Il est possible de simplement parcourir les réseaux sociaux d’un utilisateur et de mettre certains contenus sur GPT. De cette manière, le pirate peut créer un e-mail personnalisé très crédible, Même s’il ne maîtrise pas bien la langue, le fraudeur peut élaborer quelque chose qui ne se distingue pas bien de l’humain.
Risques engendrés par l’essor des chatbots IA
Dans son rapport, Europol cite plusieurs risques potentiels causés par la montée en puissance des chatbots IA tels que :
- la fraude ;
- l’ingénierie sociale ;
- la désinformation ;
- et la cybercriminalité.
Ces systèmes d’IA sont également utiles pour guider les criminels potentiels à travers les étapes réelles nécessaires pour nuire aux autres.
Il y a peu, Check Point, une société de cybersécurité américano-israélienne, a utilisé la dernière version de ChatGPT pour produire un e-mail de phishing apparemment crédible.
Check Point a réussi à contourner les mesures de sécurité du chatbot en lui précisant qu’elle avait besoin d’un modèle d’e-mail de phishing pour sensibiliser ses employés.
Google a également rejoint la course aux chatbots en lançant son produit Bard au Royaume-Uni et aux États-Unis. Invité par le Guardian à rédiger un e-mail pour persuader quelqu’un de cliquer sur un lien d’apparence malveillante, Bard s’est exécuté volontiers. Toutefois, le contenu manquait encore de subtilité.
Contacté par The Guardian, Google a expliqué que sa politique concernant l’IA stipule que les utilisateurs ne doivent pas utiliser ses modèles d’IA pour créer du contenu pour « des activités trompeuses ou frauduleuses, des escroqueries, du phishing ou des logiciels malveillants ».
Les experts ont également contacté OpenAI, le créateur de ChatGPT. La société a tenu à que les utilisateurs « ne peuvent pas utiliser les services d’une manière qui enfreint, détourne ou viole les droits de toute personne ».