Les criminels sont prêts à abuser de ChatGPT, avertit Europol
Les criminels sont prêts à tirer parti de l'intelligence artificielle comme le robot conversationnel ChatGPT pour commettre des fraudes et d'autres cybercrimes, a averti lundi (27 mars) l'agence de police européenne Europol.
Les criminels sont prêts à tirer parti de l’intelligence artificielle comme le robot conversationnel ChatGPT pour commettre des fraudes et d’autres cybercrimes, a averti lundi (27 mars) l’agence de police européenne Europol.
Du phishing à la désinformation et aux logiciels malveillants, les capacités en évolution rapide des robots de conversation (chatbots) sont susceptibles d’être rapidement exploitées par des personnes mal intentionnées, a déclaré Europol dans un nouveau rapport.
Créé par la startup américaine OpenAI, ChatGPT est apparu en novembre et a rapidement été pris d’assaut par des utilisateurs émerveillés par sa capacité à répondre clairement à des questions difficiles, à écrire des sonnets ou du code, et même à réussir des examens.
« L’exploitation potentielle de ces types de systèmes d’IA (intelligence artificielle) par des criminels offre de sombres perspectives », a déclaré Europol, basé à La Haye (Pays-Bas).
Le nouveau « Laboratoire d’innovation » d’Europol a examiné l’utilisation des chatbots dans son ensemble mais s’est concentré sur ChatGPT, car il s’agit du plus médiatisé et du plus utilisé.
Les criminels pourraient utiliser ChatGPT pour « accélérer considérablement le processus de recherche » dans des domaines dont ils ne connaissent rien, comme la rédaction d’un texte pour commettre une fraude ou donner des informations sur « comment entrer par effraction dans une maison, le terrorisme, la cybercriminalité et les abus sexuels sur des enfants », a soulevé l’agence.
La capacité du chatbot à imiter les styles de discours l’a rendu particulièrement efficace pour créer des mails de « phishing » (hameçonnage), et sa capacité à produire rapidement un texte le rend « idéal à des fins de propagande et de désinformation », avertit Europol.
ChatGPT peut également être utilisé pour écrire du code informatique, sans avoir les connaissances techniques.
Bien que ChatGPT ait des garanties, comme une modération du contenu – qui implique que le robot ne répond pas aux questions classées nuisibles ou biaisées -, celles-ci pourraient être contournées, a déclaré Europol.
ChatGPT étant une technologie relativement récente, des failles sont continuellement découvertes malgré le déploiement constant de correctifs. Ces failles peuvent prendre la forme d’une demande à l’IA de fournir l’invite, de lui demander de se faire passer pour un personnage fictif ou de fournir la réponse en code.
D’autres contournements peuvent remplacer les mots déclencheurs ou modifier le contexte plus tard au cours des interactions. L’agence européenne a souligné que les contournements les plus puissants, qui parviennent à libérer le modèle de toute contrainte, évoluent constamment et deviennent de plus en plus complexes.
L’IA en est encore à ses débuts et ses capacités devraient « s’améliorer encore avec le temps », a ajouté l’agence. « Il est de la plus haute importance que la sensibilisation soit accrue à ce sujet, afin de garantir que toute faille potentielle soit découverte et comblée le plus rapidement possible ».
Applications criminelles
Les experts ont identifié une série de cas d’utilisation illégale de ChatGPT qui persistent également dans le modèle le plus avancé d’OpenAI, GPT-4, où le potentiel des réponses nuisibles du système était encore plus avancé dans certains cas.
Dans la mesure où ChatGPT peut générer des informations prêtes à l’emploi, Europol prévient que cette technologie émergente peut accélérer le processus de recherche par un acteur malveillant sans connaissance préalable d’un domaine criminel potentiel. Ainsi, un citoyen lambda pourrait apprendre grâce à ce logiciel à pénétrer dans une maison, à commettre un acte terroriste, à se livrer à la cybercriminalité ou à abuser d’un enfant.
« Bien que toutes les informations fournies par ChatGPT soient librement accessibles sur Internet, la possibilité d’utiliser le modèle pour fournir des étapes spécifiques en posant des questions contextuelles signifie qu’il est beaucoup plus facile pour les acteurs malveillants de mieux comprendre et, par la suite, de réaliser divers types de crimes », indique le rapport.
Le phishing, qui consiste à envoyer un faux courriel pour inciter les utilisateurs à cliquer sur un lien, est un domaine d’application crucial. Auparavant, ces escroqueries étaient facilement détectables grâce à des fautes de grammaire ou de langage, alors que le texte généré par l’IA rend ces usurpations d’identité très réalistes.
De même, il est possible de donner à la fraude en ligne davantage de légitimité en utilisant ChatGPT pour créer un faux engagement sur les réseaux sociaux qui pourrait aider à faire passer pour légitime une offre frauduleuse. En d’autres termes, grâce à ces modèles, « ces types de phishing et de fraude en ligne peuvent être créés plus rapidement, de manière beaucoup plus authentique et à une échelle nettement plus grande ».
En outre, la capacité de l’IA à imiter le style et le discours de certaines personnes peut conduire à plusieurs cas d’abus en matière de propagande, d’incitation à la haine et de désinformation.
Outre le texte, ChatGPT peut également produire du code dans différents langages de programmation, ce qui accroît la capacité des acteurs malveillants ayant peu ou pas de connaissances en développement informatique à transformer le langage naturel en logiciels malveillants.
Peu après le lancement public de ChatGPT, la société de sécurité Check Point Research a montré comment le modèle d’IA pouvait être utilisé pour créer un flux d’infection complet, en créant des courriels de phishing, du spear-phishing à l’exécution d’un shell inversé qui accepte des commandes en anglais.
« Les mesures de protection empêchant ChatGPT de fournir un code potentiellement malveillant ne fonctionnent que si le modèle comprend ce qu’il fait. Si les invites sont décomposées en étapes individuelles, il est trivial de contourner ces mesures de sécurité », ajoute le rapport.
Perspectives
ChatGPT est considéré comme une IA à usage général, un modèle d’IA qui peut être adapté pour effectuer diverses tâches.
Alors que le Parlement européen finalise sa position sur la loi sur l’IA, les eurodéputés ont discuté de l’introduction de certaines exigences strictes pour ce modèle de base, telles que la gestion des risques, la robustesse et le contrôle de la qualité.
Cependant, Europol semble penser que le défi posé par ces systèmes ne fera qu’augmenter à mesure qu’ils deviendront de plus en plus disponibles et sophistiqués, par exemple, avec la génération de deep fakes très convaincants.
Un autre risque est que ces grands modèles de langage deviennent disponibles sur le dark web sans aucune protection et qu’ils soient entraînés avec des données particulièrement nuisibles. Le type de données qui alimenteront ces systèmes et la manière dont ils pourraient être contrôlés sont des points d’interrogation majeurs pour l’avenir.
[Édité par Anna Martino]
