À moins que vous n'ayez été en retraite dans un endroit éloigné sans accès à Internet au cours des derniers mois, il y a de fortes chances que vous sachiez à quel point il y a eu du battage médiatique et de la peur. ChatGPT, le chatbot d'intelligence artificielle (IA) développé par OpenAI. Peut-être avez-vous vu des articles sur universitaires et enseignants craignant que cela rende la tricherie plus facile que jamais. De l'autre côté de la médaille, vous avez peut-être vu les articles évangélisant tous les ChatGPT applications potentielles.
Alternativement, vous avez peut-être été chatouillé par certains des exemples les plus ésotériques de personnes utilisant l'outil. Un utilisateur, par exemple, l'a fait écrire un guide d'instructions pour retirer les sandwichs au beurre de cacahuète d'un magnétoscope dans le style de la Bible King James. Un autre lui a demandé d'écrire une chanson dans le style de Nick Cave ; le chanteur était moins enthousiaste sur les résultats.
Mais au milieu de tout ce battage médiatique et de ces discussions, il n'y a pas eu assez d'attention portée aux risques et aux avantages que les outils d'IA comme ChatGPT présentent dans le domaine de la cybersécurité.
Comprendre ChatGPT
Afin d'avoir une idée plus claire de ce à quoi ressemblent ces risques et récompenses, il est important de mieux comprendre ce qu'est ChatGPT et ce dont il est capable.
ChatGPT (maintenant dans sa dernière version, ChatGPT-4, sortie le 14 mars 2023) fait partie d'une plus grande famille d'outils d'IA développés par la société américaine OpenAI. Bien qu'il s'appelle officiellement un chatbot, cela ne couvre pas tout à fait sa polyvalence. Formé à l'aide des deux supervisé et renforcement techniques d'apprentissage, il peut faire bien plus que la plupart des chatbots. Dans le cadre de ses réponses, il peut générer du contenu basé sur toutes les informations sur lesquelles il a été formé. Ces informations comprennent les connaissances générales ainsi que les langages de programmation et le code. En conséquence, il peut, par exemple, simulez une salle de chat entière ; jouer à des jeux comme le tic-tac-toe ; et simuler un guichet automatique.
Plus important encore, pour les entreprises et autres grandes organisations, cela peut aider à améliorer le service client des entreprises grâce à une messagerie plus personnalisée et plus précise. Il peut même écrire et déboguer des programmes informatiques. Certaines de ces fonctionnalités, et d'autres, signifient qu'il pourrait être à la fois un allié en matière de cybersécurité et une menace.
Education, filtrage et renforcement des défenses
Sur le plan positif, il y a beaucoup à dire sur ChatGPT. L'un des rôles les plus précieux qu'il pourrait jouer est aussi l'un des plus simples : repérer le phishing. Les organisations pourraient enraciner chez leurs employés une habitude selon laquelle ils utilisent ChatGPT pour déterminer si un contenu dont ils ne sont pas sûrs est du phishing ou s'il a été généré avec une intention malveillante.
C'est important car, malgré toutes les avancées technologiques réalisées ces dernières années, les attaques d'ingénierie sociale comme le phishing restent l'une des formes les plus efficaces de cybercriminalité. En fait, la recherche montre que, parmi les cyberattaques identifiées avec succès au Royaume-Uni en 2022, 83% impliqués une forme d'hameçonnage.
Bien sûr, il y a de nombreuses autres manières que ChatGPT peut être utilisé pour renforcer les efforts de cybersécurité. Cela pourrait, par exemple, fournir une certaine assistance aux agents de sécurité plus juniors, que ce soit pour communiquer les problèmes qu'ils pourraient avoir ou pour les aider à mieux comprendre le contexte de ce sur quoi ils sont censés travailler à un moment donné. Cela pourrait également aider les équipes sous-financées à gérer les dernières menaces et à identifier les vulnérabilités internes.
Les méchants l'utilisent aussi
Mais même si les professionnels de la cybersécurité explorent les moyens d'utiliser ChatGPT à leur avantage, les cybercriminels le sont aussi. Ils pourraient, par exemple, utiliser sa capacité à générer du code malveillant. Alternativement, ils pourraient l'utiliser pour générer du contenu qui semble être généré par l'homme, potentiellement utilisé pour inciter les utilisateurs à cliquer sur des liens malveillants, entraînant sans le savoir des conséquences dangereuses.
Certains utilisent même ChatGPT pour imiter de manière convaincante assistants d'IA légitimes sur les sites Web d'entreprise, ouvrant une nouvelle voie sur le front de l'ingénierie sociale. N'oubliez pas que le succès des cybercriminels dépend en grande partie de leur capacité à cibler autant de vulnérabilités possibles, aussi fréquemment et rapidement que possible. Les outils d'IA comme ChatGPT leur permettent de le faire en agissant essentiellement comme un assistant suralimenté qui peut aider à créer tous les actifs nécessaires aux campagnes malveillantes.
Utilisez les outils disponibles
Il devrait donc être clair que, si les cybercriminels utilisent ChatGPT et d'autres outils d'IA pour renforcer leurs attaques, votre équipe de sécurité devrait également les utiliser pour renforcer vos efforts de cybersécurité. Heureusement, vous n'avez pas à le faire seul.
Le bon fournisseur de sécurité ne se contentera pas de mener des recherches constantes sur la manière dont les cybercriminels utilisent les dernières technologies pour renforcer leurs attaques, mais également sur la manière dont ces technologies peuvent être utilisées pour améliorer la détection, la prévention et la défense des menaces. Et avec les dommages qu'une attaque de cybersécurité peut causer à votre infrastructure critique, c'est aussi quelque chose dont ils devraient vous informer de manière proactive.
ChatGPT-4
Avec la dernière version de ChatGPT (ChatGPT-4), OpenAI a mis à disposition le modèle conversationnel le plus récent et le plus puissant, introduisant également plus de contrôles pour empêcher son utilisation abusive. Nous avons demandé à ChatGPT "Qu'est-ce qui pourrait empêcher les acteurs malveillants d'utiliser ChatGPT avec une intention malveillante ?” et voici la réponse :
"Il existe plusieurs mesures qui pourraient empêcher les acteurs malveillants d'utiliser ChatGPT avec une intention malveillante :
1. Contrôles d'accès : OpenAl, l'organisation derrière ChatGPT, a mis en place des contrôles d'accès pour limiter qui peut accéder à son API et utiliser sa technologie. En restreignant l'accès, ils peuvent empêcher les acteurs malveillants d'utiliser leur technologie à des fins malveillantes.
2. Surveillance et détection : OpenAl surveille l'utilisation de sa technologie pour détecter et prévenir les activités malveillantes. Ils utilisent des modèles d'apprentissage automatique pour identifier les modèles et les anomalies d'utilisation qui pourraient indiquer une mauvaise utilisation potentielle.
3. Directives éthiques : OpenAl a publié des directives pour une utilisation responsable de sa technologie, qui décrivent les meilleures pratiques et les considérations éthiques. En suivant ces directives, les utilisateurs peuvent s'assurer qu'ils utilisent la technologie de manière responsable et éthique.
4. Éducation des utilisateurs : L'éducation et la sensibilisation peuvent aider à prévenir l'utilisation abusive de la technologie.
OpenAl fournit des ressources et du matériel pédagogique pour aider les utilisateurs à comprendre les capacités et les limites de leur technologie, ainsi que les risques potentiels d'utilisation abusive.
5. Conséquences juridiques : Il existe des conséquences juridiques liées à l'utilisation de technologies telles que chatGPT à des fins malveillantes. Les gouvernements et les organismes d'application de la loi ont mis en place des lois et des règlements pour punir les individus et les organisations qui utilisent la technologie pour des activités illégales.
Dans l'ensemble, empêcher les acteurs malveillants d'utiliser ChatGPT avec une intention malveillante nécessite une combinaison de contrôles techniques, de directives éthiques, d'éducation des utilisateurs et de conséquences juridiques. Il est important d'utiliser les modèles de langage Al comme ChatGPT de manière responsable et éthique pour éviter que la technologie ne soit utilisée à des fins nuisibles.
ChatGPT est donc allé de l'avant et a énuméré toutes les mesures prises par OpenAI pour empêcher son utilisation abusive.
OpenAI, dans le blog de sortie de ChatGPT-4a expliqué comment ce modèle est censé être plus sûr que ses prédécesseurs : «Nous avons passé 6 mois à rendre GPT-4 plus sûr et plus aligné. GPT-4 est 82 % moins susceptible de répondre aux demandes de contenu non autorisé et 40 % plus susceptible de produire des réponses factuelles que GPT-3.5 sur nos évaluations internes”.
Tout cela indique que les bonnes mesures continuent d'être améliorées pour éviter son utilisation abusive, mais comme nous le savons tous, les méchants continueront de trouver des moyens de surmonter ces limitations à mesure que le modèle sera plus largement utilisé et compris.
Vous voulez en savoir plus sur l'IA et le Big Data auprès des leaders de l'industrie ? Vérifier Salon de l'IA et du Big Data se déroulant à Amsterdam, en Californie et à Londres. L'événement est co-localisé avec Salon de la cybersécurité et du cloud.
Découvrez d'autres événements et webinaires technologiques d'entreprise à venir propulsés par TechForge ici.
Source