ChatGPT est un outil conversationnel basé sur l’intelligence artificielle et développé par OpenAI en décembre 2022. Il est capable de simuler des conversations humaines de manière convaincante en répondant à des questions sous forme écrite. ChatGPT est doté d’une capacité d’apprentissage en continu, ce qui lui permet de répondre à de nombreux sujets de manière pertinente et cohérente en se basant sur une large base de données notamment des articles de journaux, des corpus de texte, des conversations en ligne, des romans, des scripts de film, etc. ChatGPT est également multilingue et adaptable à différents contextes. Microsoft a annoncé son intention de renforcer son partenariat avec OpenAI en investissant plusieurs milliards de dollars pour intégrer cette technologie à ses propres produits. Toutefois, ChatGPT suscite des inquiétudes quant à son potentiel d’utilisation malveillante.
Depuis plusieurs années, les cybercriminels utilisent des plateformes pour industrialiser la création de malwares et de campagnes de phishing. Cependant, avec l’arrivée de ChatGPT-3, n’importe qui peut générer des éléments tels que du code ou du texte sans accéder à des réseaux cybercriminels. Cela soulève des inquiétudes quant à l’utilisation malveillante de cette IA, bien qu’elle puisse intégrer des garde-fous sur des requêtes directes comme « Écris-moi un ransomware en JavaScript ».
Quels sont les scénarios potentiels d’utilisation abusive de ChatGPT-3 en 2023 qui devraient être pris en compte ?
– La prolifération des malwares polymorphes pourrait être accentuée à cause de ChatGPT-3, car il permet de générer des portions de code à partir de demandes précises, telles que la création d’une fonction de chiffrement de fichiers. Les cybercriminels pourraient ainsi consolider ces portions de code pour déjouer les filtres de détection des antivirus classiques.
– Les cybercriminels pourraient utiliser ChatGPT-3 pour détecter plus facilement les vulnérabilités en lui soumettant du code source. La forte capacité d’analyse de ChatGPT-3 a déjà été utilisée par un hacker éthique pour découvrir une vulnérabilité dans un bug bounty de Facebook. Les cybercriminels pourraient ainsi exploiter cette technologie pour trouver de nouvelles vulnérabilités.
– ChatGPT-3 pourrait devenir un allié précieux pour les script kiddies, des pirates informatiques débutants qui utilisent des scripts existants pour lancer des attaques. En utilisant ChatGPT-3, ils pourraient créer de nouvelles parties de code à partir d’instructions simples, ce qui leur donnerait un nouveau niveau de compétence et les inciterait à lancer davantage d’attaques.
– ChatGPT-3 pourrait également être utilisé pour rédiger des e-mails de phishing sur demande, en adaptant le texte en fonction du contexte et en y intégrant des variables à remplacer. Les cybercriminels pourraient ainsi utiliser ChatGPT-3 pour créer des e-mails de phishing de manière plus efficace et plus rapide, en évitant même de mentionner le terme « phishing ».
Dès lors, ChatGPT pourrait servir à créer des attaques de phishing sophistiquées qui utilisent un langage écrit impeccable pour tromper les utilisateurs et les inciter à révéler des informations confidentielles ou à cliquer sur des liens malveillants. ChatGPT est également capable de repérer les failles de sécurité informatique connues et non corrigées en analysant le code source d’un site web, expliquant chaque fonction et son objectif. Les cybercriminels peuvent utiliser ces informations pour mener des attaques ciblées. De plus, ChatGPT peut générer du code informatique, ce qui permet aux cybercriminels de copier des sites web d’entreprises légitimes afin de tromper les clients ou de créer des logiciels malveillants. Bien que ChatGPT puisse faciliter certaines tâches des cybercriminels, il ne peut pas remplacer l’expertise des analystes de sécurité. Les équipes spécialisées telles que SERMA Safety and Security peuvent aider à prévenir, détecter et réagir face aux menaces informatiques pour protéger les données informatiques. Par conséquent, il est important de rester vigilant lors de l’utilisation d’outils de communication en ligne et de ne pas divulguer d’informations personnelles ou confidentielles à des sources non vérifiées.
Au niveau de la protection des données des particuliers, l’autorité italienne de protection des données (GPDP) a bloqué pendant un mois l’accès au ChatGPT d’OpenAI en raison des craintes concernant les violations potentielles des lois sur la confidentialité des données et du RGPD de l’UE. Elle a également exprimé son inquiétude quant à la capacité du chatbot à divulguer des informations personnelles telles que des numéros de téléphone et des adresses, ainsi qu’à exposer les mineurs à des réponses potentiellement dangereuses. Cependant, la GPDP a déclaré qu’elle lèverait l’interdiction si OpenAI remplissait certaines exigences visant à protéger les mineurs et les données personnelles des utilisateurs.
OpenAI a été chargé d’informer les utilisateurs de ChatGPT sur la manière dont leurs données sont stockées et traitées, ainsi que de demander une confirmation de leur âge avant l’utilisation du logiciel. Un processus de vérification de l’âge sera donc requis pour l’enregistrement de nouveaux utilisateurs : les enfants de moins de 13 ans ne pourront pas accéder au logiciel et les utilisateurs âgés de 13 à 18 ans devront obtenir le consentement de leurs parents pour l’utiliser.
En outre, OpenAI devra obtenir un consentement explicite pour utiliser les données des utilisateurs dans l’entraînement de ses modèles d’IA et permettre aux utilisateurs de demander la correction ou la suppression de toute information personnelle générée par ChatGPT. Si ces exigences ne sont pas satisfaites d’ici le 30 septembre 2023, l’interdiction sera rétablie. Cette décision reflète une tendance générale de réglementation plus stricte des technologies d’IA à travers le monde, qui ont vu d’autres systèmes d’IA être confrontés à des défis similaires.
Des enquêtes ont été initiées par les autorités de régulation du Canada et de la France, en réponse à des plaintes officielles, pour déterminer si ChatGPT enfreignait les lois sur la confidentialité des données. De plus, l’Espagne a sollicité l’organe de surveillance de la vie privée de l’Union européenne pour mener une enquête plus approfondie sur ChatGPT. Cet examen international met en évidence la nécessité pour les développeurs de systèmes d’IA similaires d’être proactifs en matière de protection de la vie privée et de mettre en place des mesures de sauvegarde pour protéger les données personnelles des utilisateurs.
