ChatGPT & IA : entre intérêt, attrait et opposition

Dr. Victor Levy Dit Vehek, Expert IA/DATA chez Exakis Nelite (Groupe Magellan Partners) a accepté de répondre à ces questions.

Quels sont les usages de ChatGPT et des autres IA de ce type aujourd’hui ?

Pour comprendre à quoi sert ChatGPT, il faut d’abord comprendre ce qu’il fait « sous le capot », au-delà de l’habillage du chat-bot. Le service ChatGPT s’appuie sur un modèle d’IA (intelligence artificielle) de la catégorie des GPT, ce qui signifie Generative Pre-trained Transformers. Ce qui nous intéresse ici, c’est le premier mot : Generative. Les modèles de type GPT génèrent un mot à partir d’une suite de mots, pour la compléter d’une manière qui lui semble raisonnable au vue des exemples qu’il aura observés pendant son entrainement. En itérant ce processus, on peut donc générer des phrases, des textes entiers à partir de quelques mots initiaux.

Malgré cette navigation à vue, les textes produits sont étonnement cohérents et bien construits, grâce à la taille colossale des modèles (centaines de Giga octets) et des quantités de textes ingérés. Malgré l’absence de raisonnement au sens classique du terme, ces IA sont donc capables de suivre des instructions : écris moi telle histoire, rédige moi telle documentation, … Ces capacités sont également multilingues et vont jusqu’aux langages informatiques. On peut donc écrire la documentation d’une fonction et le laisser compléter avec le code associé, par exemple.

Comment ces IA peuvent-elles être détournées par les cybercriminels ?

Ayant de très faibles capacités créatives, ces IA ne seront, par exemple, pas capables de proposer de nouveaux vecteurs d’attaque. En revanche, cette capacité à générer du texte convaincant ou du code fonctionnel peut accélérer le développement de ces attaques, à différents niveaux. Le plus évident est la rédaction de mail de phishing plus réalistes ou des campagnes élaborées d’ingénierie sociale, en créant des personnalités fictives pour petit à petit gagner la confiance de ses cibles et ainsi leur extorquer de l’argent ou des informations.

Il a également été récemment démontré dans le journal CyberARK (« Chatting Our Way Into Creating a Polymorphic Malware ») qu’il était possible de guider le modèle à créer, pas à pas, un malware polymorphe – un type de virus changeant sa représentation pour rentre sa détection plus difficile. Dès lors qu’un cybercriminel à un plan d’attaque défini, il peut s’aider de ces outils pour générer le code ou le texte associé bien plus rapidement, voire même directement demander à ChatGPT quels sont les vecteurs d’attaque à la mode.

Ces IA peuvent-elles vraiment transformer un citoyen en criminel cyber ?

Malgré les éléments précédents, cette question invite à la nuance. Si ces IA peuvent accélérer le « go to market » d’un cybercriminel, nous n’en sommes pas encore à transformer n’importe qui en cybercriminel. Déjà, ce n’est pas la capacité qui fait l’envie : la plupart des gens n’ont pas vocation à commettre des actes répréhensibles en ligne. Il faut aussi un socle de compétences minimum. Par exemple, dans le cas du virus polymorphe cité plus haut, il faut au moins connaitre ce concept, savoir comment l’exécuter, avoir un plan d’attaque détaillé, être capable de compléter le code parfois incomplet ou non fonctionnel renvoyé par l’IA, brancher tous les éléments ensemble, …

Même en suivant l’article comme une recette de cuisine, on ne se retrouve pas avec un malware prêt à l’emploi à la fin : beaucoup d’éléments sont passés sous silence, sans oublier que l’article n’est accessible qu’à des personnes déjà très familières de l’informatique et de la programmation. Il est donc peu probable que ces nouvelles technologies fassent exploser le nombre de cybercriminels, mais rendent simplement un peu plus performants ceux qui existent déjà.

Et côté détournement des IA, est-ce un nouvel enjeu de cybersécurité ?

Il ne fait aucun doute que ces IA seront et sont déjà utilisées à des fins néfastes. Heureusement, un certain nombre de contre-mesures existantes auxquelles les utilisateurs sont déjà sensibilisés restent pertinentes : ne pas communiquer son mot de passe, activer l’authentification à double facteur, ne pas ouvrir des pièces jointes inattendues, … Il faudra néanmoins renforcer sa vigilance et aller plus loin que les « astuces » de détection usuelles, telles que prêter attention aux fautes de grammaire ou tournures de phrase étranges, d’habitude révélatrices des tentatives d’usurpation mais qui seront de moins en moins efficaces.

On peut également imaginer tirer profit de ces IA dans un but de cyberdéfense : analyser des mails pour les classer comme plus ou moins suspects, faire des comptes-rendus de logs pour mieux identifier les attaques en cours, ou encore comme outil d’audit de code pour trouver et détecter les vulnérabilités existantes avant les attaquants éventuels.

Ce dernier exemple illustre bien la manière dont il faut considérer ces IA : si les acteurs malveillants y feront évidemment appel comme arme, alors il faut également faire preuve d’inventivité et s’en servir comme bouclier.

Smart DSI N°29

IA sur iTPro.fr, pour aller plus loin sur le thème de l’Intelligence Artificielle :

Maintenance prédictive et IA : la boule de cristal 4.0

IA, Géopolitique, Gouvernance & Compétences : les 4 enjeux de 2024

Prévisions 2024 sur l’IA, l’automatisation, la robotique et la Data