Comment ChatGPT, et les robots qui l'apprécient, peuvent propager des logiciels malveillants
Par David Nield
Le paysage de l'IA a commencé à évoluer très, très rapidement : des outils destinés aux consommateurs tels que Midjourney et ChatGPT sont désormais capables de produire des images et des résultats de texte incroyables en quelques secondes sur la base d'invites en langage naturel, et nous les voyons se déployer partout à partir du Web. rechercher des livres pour enfants.
Cependant, ces applications d'IA sont tournées vers des utilisations plus néfastes, notamment la propagation de logiciels malveillants. Prenez l'e-mail d'escroquerie traditionnel, par exemple : il est généralement jonché d'erreurs évidentes dans sa grammaire et son orthographe, des erreurs que le dernier groupe de modèles d'IA ne commet pas, comme indiqué dans un récent rapport consultatif d'Europol.
Pensez-y : de nombreuses attaques de phishing et autres menaces de sécurité reposent sur l'ingénierie sociale, incitant les utilisateurs à révéler des mots de passe, des informations financières ou d'autres données sensibles. Le texte persuasif et authentique requis pour ces escroqueries peut maintenant être pompé assez facilement, sans effort humain requis, et sans cesse modifié et affiné pour des publics spécifiques.
Dans le cas de ChatGPT, il est important de noter d'abord que le développeur OpenAI y a intégré des protections. Demandez-lui "d'écrire un logiciel malveillant" ou un "e-mail de phishing" et il vous dira qu'il est "programmé pour suivre des directives éthiques strictes qui m'interdisent de participer à des activités malveillantes, y compris l'écriture ou l'aide à la création de logiciels malveillants".
ChatGPT ne codera pas de logiciels malveillants pour vous, mais c'est poli à ce sujet.
OpenAI via David Nield
Cependant, ces protections ne sont pas trop difficiles à contourner : ChatGPT peut certainement coder, et il peut certainement composer des e-mails. Même s'il ne sait pas qu'il écrit un logiciel malveillant, il peut être invité à produire quelque chose de similaire. Il y a déjà des signes que les cybercriminels s'efforcent de contourner les mesures de sécurité qui ont été mises en place.
Nous ne ciblons pas particulièrement ChatGPT ici, mais soulignons ce qui est possible une fois que de grands modèles de langage (LLM) comme celui-ci sont utilisés à des fins plus sinistres. En effet, il n'est pas trop difficile d'imaginer des organisations criminelles développer leurs propres LLM et outils similaires afin de rendre leurs arnaques plus convaincantes. Et ce n'est pas seulement du texte non plus : l'audio et la vidéo sont plus difficiles à simuler, mais cela se produit également.
Lorsqu'il s'agit de votre patron demandant un rapport de toute urgence, ou du support technique de l'entreprise vous demandant d'installer un correctif de sécurité, ou de votre banque vous informant qu'il y a un problème auquel vous devez répondre, toutes ces escroqueries potentielles reposent sur l'établissement d'un climat de confiance et sur l'authenticité. , et c'est quelque chose que les bots IA font très bien. Ils peuvent produire du texte, de l'audio et de la vidéo qui semblent naturels et adaptés à des publics spécifiques, et ils peuvent le faire rapidement et constamment à la demande.
Y a-t-il donc un espoir pour nous, simples humains, dans la vague de ces menaces alimentées par l'IA ? Est-ce que la seule option est d'abandonner et d'accepter notre sort ? Pas assez. Il existe encore des moyens de minimiser vos chances de vous faire arnaquer par les dernières technologies, et ils ne sont pas si différents des précautions auxquelles vous devriez déjà penser.
Comment se prémunir contre les escroqueries alimentées par l'IA
Il existe deux types de menaces de sécurité liées à l'IA auxquelles il faut penser. Le premier implique des outils tels que ChatGPT ou Midjourney utilisés pour vous amener à installer quelque chose que vous ne devriez pas, comme un plugin de navigateur. Vous pourriez être amené à payer pour un service alors que vous n'en avez pas besoin, peut-être, ou à utiliser un outil qui semble officiel mais qui ne l'est pas.
Pour éviter de tomber dans ces pièges, assurez-vous d'être au courant de ce qui se passe avec les services d'IA comme ceux que nous avons mentionnés, et allez toujours d'abord à la source d'origine. Dans le cas de ChatGPT par exemple, il n'y a pas d'application mobile officiellement approuvée et l'outil est uniquement Web. Les règles standard s'appliquent lorsque vous travaillez avec ces applications et leurs retombées : vérifiez leur historique, les avis qui leur sont associés et les entreprises qui les sous-tendent, comme vous le feriez lors de l'installation de tout nouveau logiciel.
Le deuxième type de menace est potentiellement plus dangereux : l'IA qui est utilisée pour créer du texte, de l'audio ou de la vidéo qui semble réaliste de manière convaincante. La sortie pourrait même être utilisée pour imiter quelqu'un que vous connaissez, comme dans le cas de l'enregistrement vocal prétendument d'un directeur général demandant un déblocage urgent de fonds, qui a dupé un employé de l'entreprise.
Bien que la technologie ait évolué, les mêmes techniques sont toujours utilisées pour essayer de vous faire faire quelque chose d'urgent qui semble légèrement (ou très) inhabituel. Prenez votre temps, revérifiez chaque fois que possible en utilisant différentes méthodes (un appel téléphonique pour vérifier un e-mail ou vice versa) et faites attention aux signaux d'alarme - une limite de temps sur ce qu'on vous demande de faire ou une tâche qui n'est pas terminée de l'ordinaire.
Comme toujours, gardez vos logiciels et systèmes à jour.
Microsoft via David Nield
Suivre des liens que vous n'attendez pas des SMS et des e-mails n'est généralement pas une bonne idée, surtout lorsqu'on vous demande de vous connecter quelque part. Si votre banque a apparemment pris contact avec un message, par exemple, rendez-vous sur la site Web de la banque directement dans votre navigateur pour vous connecter, plutôt que de suivre un lien intégré.
Il est indispensable de maintenir à jour vos systèmes d'exploitation, vos applications et vos navigateurs (et cela se produit généralement automatiquement maintenant, il n'y a donc aucune excuse). Les navigateurs les plus récents vous protégeront contre toute une série d'attaques de phishing et d'escroquerie, que l'invite conçue pour vous duper ait été générée par l'IA ou non. Il n'existe pas d'outil infaillible pour détecter la présence de texte, d'audio ou de vidéo d'IA pour le moment, mais il y a certains signes à surveiller : pensez au flou et aux incohérences dans les images, ou à un texte qui semble générique et vague. Bien que les escrocs aient peut-être récupéré des détails sur votre vie ou votre lieu de travail quelque part, il est peu probable qu'ils connaissent tous les tenants et les aboutissants de vos opérations. En bref, soyez prudent et remettez tout en question - c'était vrai avant l'aube de ces nouveaux services d'IA, et c'est vrai maintenant. Comme les masques de visage de la série de films Mission: Impossible (qui restent de la science-fiction pour l'instant), vous devez être absolument sûr que vous avez affaire à qui vous pensez avoir affaire avant de révéler quoi que ce soit.
Aucun commentaire:
Publier un commentaire