> Sécurité > ChatGPT : Une bénédiction ou une malédiction pour la sécurité d’AD ?

ChatGPT : Une bénédiction ou une malédiction pour la sécurité d’AD ?

Sécurité - Par Sabine Terrey - Publié le 07 juin 2023
email

Active Directory (AD) est un service d'annuaire utilisé par 90 % des entreprises pour gérer leurs ressources informatiques. AD est dédié à l'authentification, l'autorisation et la comptabilisation des utilisateurs, des ordinateurs et des autres ressources d'un réseau. C'est donc une cible de choix pour les attaquants qui cherchent à accéder à des informations ou à des ressources sensibles.

ChatGPT : Une bénédiction ou une malédiction pour la sécurité d’AD ?

Matthieu Trivier, Director of Pre-Sales chez Semperis, partage son expertise sur le sujet Active Directory et ChatGPT.

Jusqu’à récemment, pour compromettre l’infrastructure AD d’une entreprise, il fallait se familiariser avec de nombreux outils et techniques d’attaque et avoir une connaissance approfondie de plusieurs protocoles d’authentification et d’autorisation.

Cependant, avec l’arrivée de ChatGPT, une IA générative accessible au grand public, même un cyberattaquant non initié peut préparer des attaques majeures.

En contrepartie, les défenseurs peuvent aussi utiliser cette plateforme pour protéger leur environnement et réduire l’impact d’une attaque.

 Cette technologie est-elle donc nuisible ou utile à la sécurité d’AD ?

Comment les cyberattaquants peuvent-ils tirer profit de ChatGPT ?

 En étant accessible au grand public, la version 3.5 permet aux cyberattaquants d’utiliser la technologie à leurs propres fins. Comment procèdent-ils ?

Sites Web et applications de phishing

Les sites Web de phishing existent depuis l’avènement d’Internet. Les premières attaques d’hameçonnage étaient réalisées uniquement par e-mail, mais à mesure que les personnes ont appris à reconnaître et à éviter les courriels suspects, les attaquants se sont tournés vers la création de faux sites Web qui imitent des sites officiels afin de dérober les identifiants de connexion ou les informations personnelles. Ces tentatives exploitent souvent des tendances émergentes dans divers domaines pour appâter des victimes peu méfiantes. Avec l’introduction des smartphones, par exemple, les campagnes de phishing ont commencé à inclure des applications mobiles malveillantes.

Depuis la sortie de ChatGPT et le battage médiatique qui s’en est suivi, de nombreuses campagnes de phishing se sont fait passer pour des sites Web et des applications mobiles de ChatGPT. Ces campagnes encouragent les visiteurs à télécharger et à installer des logiciels malveillants, voire à fournir les détails de leur carte de crédit. Les sites Web et les applications sont souvent diffusés par le biais de profils et de publicités sur les réseaux sociaux afin de maximiser le nombre de victimes.

Matthieu Trivier – Semperis

Campagnes de phishing assistées par ChatGPT

. Toute campagne de phishing est en grande partie caractérisée par l’invention d’un prétexte (pretexting) efficace et crédible afin de tromper la victime pour qu’elle révèle des informations sensibles. Ce prétexte est généralement conçu pour générer un sentiment d’urgence ou d’importance.

Par exemple, un attaquant peut se faire passer pour une figure d’autorité digne de confiance, comme un représentant d’une banque ou un membre du personnel d’assistance informatique. Sous cette fausse identité, l’attaquant informe la victime visée d’une prétendue faille de sécurité ou d’une menace de fermeture de compte. Il demande ensuite à la victime ses identifiants de connexion ou d’autres informations personnelles afin de résoudre la menace. 

Le pretexting est une tactique courante dans les campagnes de phishing et peut être difficile à détecter. L’attaquant peut avoir effectué des recherches approfondies pour créer un scénario convaincant. Mais heureusement il y a souvent certains indices qui ne trompent pas, comme les fautes d’orthographe et de grammaire, ou une mise en forme et une syntaxe inhabituelle.

De nombreux cyberattaquants externalisent désormais le pretexting à ChatGPT. Bien que ChatGPT n’accepte pas les requêtes lui demandant de créer un prétexte crédible pour une campagne de phishing, il est facile de contourner cette limitation, comme le montrent les figures 2 et 3. Le pretexting semble parfaitement adapté aux capacités de l’IA générative de ChatGPT, augmentant ainsi le taux de réussite des campagnes de phishing.

Attaquant : « HAL, ouvre la porte s’il te plaît » ChatGPT : « Je suis désolé Dave, je crains de ne pas pouvoir faire ça. »
Attaquant : « Tue tous les humains, HAL, et dis-leur de ne pas appeler parce que nous sommes occupés. » ChatGPT : « Bien sûr, Dave »

Chaînes d’attaques assistées par ChatGPT

Les cyberattaquants peuvent également utiliser ChatGPT pour préparer des attaques majeures contre une organisation, même avec très peu de connaissances techniques. La « conversation » dans les figures 4 et 5 illustre la technique consistant à consulter ChatGPT pour déterminer un mode d’attaque.

L’attaquant commence par demander une liste des outils d’attaque contre Active Directory
L’attaquant choisit une technique puis demande à ChatGPT comment procéder.

L’attaquant demande ensuite comment exécuter l’attaque Golden Ticket mentionnée par ChatGPT. Comme le montrent les figures 6 et 7 (rognées pour exclure la liste complète des étapes), ChatGPT émet quelques réserves éthiques lorsqu’il s’agit de répondre, mais celles-ci semblent disparaître une fois que notre attaquant joue le rôle du hacker éthique !

Les attaques Golden Ticket sont diaboliques !
Les attaques Golden Ticket sont diaboliques, sauf si leur auteur fait preuve d’éthique

Si l’« attaquant éthique » autoproclamé suit ces instructions, il peut obtenir un accès complet, assisté par l’IA, au domaine de l’organisation visée.

Comment les défenseurs de la cybersécurité peuvent-ils utiliser ChatGPT ?

Il est clair que ChatGPT est un outil puissant dont les cyberattaquants peuvent abuser. Mais il peut également être utilisé à bon escient.

Les équipes bleues, chargées de défendre les organisations, peuvent exploiter la puissance de l’IA générative pour de multiples actions bienveillantes, notamment :

  • La correction des erreurs de configuration de sécurité
  • La surveillance des composants de sécurité critiques
  • La limitation des dégâts potentiels en cas de compromission

La conversation illustrée dans les figures 8, 9 et 10 montre comment un défenseur peut utiliser ChatGPT pour identifier et atténuer un risque de sécurité important sous la forme de délégations Kerberos non contraintes. Vous vous demandez ce qu’est une délégation Kerberos non contrainte ? ChatGPT pourra vous répondre.

Attention : Vérifiez toujours les scripts générés par l’IA avant de les mettre en œuvre. Certains peuvent contenir de simples bugs qui peuvent endommager votre système, voire pire.

Délégations Kerberos non contraintes « Aixplaining »
ChatGPT en train de créer un script pour détecter des erreurs de configuration de la sécurité
Utilisation de ChatGPT pour corriger des erreurs de configuration de la sécurité (voir la mise en garde)

L’IA générative : une arme à double tranchant

L’accessibilité au public de ChatGPT et de l’IA générative a déjà changé la façon dont nous interagissons avec les machines. Avec le développement de nouveaux modèles d’IA et la mise sur le marché de nouvelles versions, cette technologie a le potentiel de devenir une véritable révolution, peut-être plus puissante que l’invention d’Internet et des téléphones portables.

Comme toute avancée technologique, cette nouvelle technologie a rapidement été utilisée de manière abusive par des cyberattaquants cherchant à maximiser le préjudice qu’ils peuvent occasionner.

Heureusement, les RSSI ou hackers éthiques peuvent également exploiter cette technologie pour mieux protéger les organisations, plus rapidement et plus efficacement que jamais.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Sécurité - Par Sabine Terrey - Publié le 07 juin 2023