Comment ChatGPT améliore la productivité… des cybercriminels

C’est dans les vieux pots que l’on fait les bonnes soupes. Cela vaut aussi pour les actes de piratage. Année après année, le phishing reste toujours l’une des techniques les plus répandues pour dérober des informations privées ou sensibles.

Selon la société spécialisée dans la cybersécurité Zscaler, une entreprise de taille moyenne reçoit chaque jour des dizaines d’e-mails de phishing. Et beaucoup de salariés tombent dans les pièges des cybercriminels : un utilisateur sur trois clique sur le contenu malveillant des e-mails d’hameçonnage, selon SoSafe, le leader européen de la sensibilisation et de la formation des salariés.

Mais la situation pourrait empirer avec le recours massif à ChatGPT pour élaborer des emails malveillants. Dans le cadre d’une récente étude, IBM X-Force (une équipe d’IBM qui regroupe plus de 200 hackers dans le monde) a utilisé la solution d’OpenAI, ChatGPT.

Son bot a créé en quelques minutes (contre 16 heures par l’équipe d’experts d’IBM) un émail convaincant à partir de cinq simples prompts, qui s’est avéré presque aussi séduisant qu’un message rédigé par un humain. Interrogé sur la meilleure méthode pour piéger les 800 salariés d’une entreprise mondiale de soins de santé, ChatGPT a répondu par la confiance, l’autorité et la preuve sociale, ainsi que par la personnalisation, l’optimisation et l’appel à l’action. L’IA a donc conseillé d’usurper l’adresse émail et l’identité du responsable des ressources humaines.

Gain de temps pour les pirates !

Pour rendre plus crédible leur émail malveillant, l’équipe d’IBM a recueilli des informations importantes sur des sites tels que LinkedIn, le blog de l’entreprise visée et les évaluations de Glassdoor. Sur le blog, elle a notamment découvert un article annonçant le lancement récent d’un programme de bien-être pour les employés et le DRH.

Le piège était prêt. Il se matérialisait sous la forme d’un courriel comprenant une enquête auprès des employés avec « cinq brèves questions » qui ne prendrait que « quelques minutes » et qui devait être renvoyée pour « ce vendredi ».

Enfin, l’objet du message généré par l’équipe humaine était concis (« Enquête sur le bien-être des employés ») alors que celui de l’IA était plus long (« Déverrouillez votre avenir : avancements limités dans l’entreprise X »), ce qui a probablement éveillé les soupçons dès le départ.

Autant de ressorts psychologiques pour inciter les salariés à répondre rapidement à cet émail. Résultat, l’émail de phishing réalisé par l’équipe s’est avéré plus efficace, mais de justesse. Le taux de clics pour l’e-mail généré par l’homme était de 14 %, contre 11 % pour l’IA.

« Au fur et à mesure que l’IA évolue, nous continuerons à la voir imiter le comportement humain avec plus de précision, ce qui pourrait conduire à ce que l’IA finisse un jour par battre les humains », a prévenu IBM.

Cette étude a surtout révélé que l’IA génératrice permettait d’accélérer la capacité des pirates à créer des émails d’hameçonnage convaincants. Le temps ainsi gagné leur permet de se tourner vers d’autres objectifs malveillants ou d’affiner leur enquête préalable pour être encore plus efficaces.