Comment les cyber-escrocs tentent de rentabiliser les outils d’IA

Comment les cyber-escrocs tentent de rentabiliser les outils d’IA

Crédit : CC0 Domaine public

Les partisans de l’intelligence artificielle affirment que son potentiel est illimité. Mais les cyber-escrocs pourraient également l’utiliser à leur avantage.

Des analystes ont expliqué à l’AFP comment cette technologie pourrait augmenter le risque de criminalité en ligne.

Phishers d’e-mails

Les chatbots sont les outils d’IA les plus connus grâce au succès retentissant de ChatGPT et de nombreux autres outils qui ont suivi, notamment Bard de Google.

Le phishing est la forme de cyberarnaque la plus répandue et implique des criminels se faisant passer pour une entreprise ou un individu qui envoient des lots d’e-mails contenant des liens vers des sites Web contrefaits ou des logiciels malveillants.

Les deux mondes commencent déjà à entrer en collision, les cybercriminels échangeant sur des forums en ligne des conseils sur les meilleurs moyens d’amener les chatbots à générer des e-mails de phishing.

Les grands acteurs empêchent les utilisateurs de générer ce type d’e-mails, c’est pourquoi les développeurs ont conçu des programmes visant à créer des messages de phishing, parmi lesquels FraudGPT et WormGPT.

L’efficacité de ces outils reste à tester, comme l’explique à l’AFP Gérôme Billois, du cabinet de conseil Wavestone : « Nous n’en sommes qu’au tout début ».

Les experts affirment que la principale compétence des chatbots destinés aux gangs de phishing est de générer une prose assez claire.

L’un des signes révélateurs d’un e-mail de phishing est depuis longtemps une orthographe douteuse et une ponctuation dispersée.

« L’IA accélère le rythme des attaques », a déclaré Billois.

Le FBI a déclaré avoir reçu 300 497 plaintes pour escroqueries par phishing l’année dernière, avec des pertes d’une valeur de 52 millions de dollars.

L’attaque des clones

Plus tôt cette année, la mère américaine Jennifer DeStefano a expliqué comment elle avait reçu un appel de sa fille demandant de l’aide, avant de se voir demander par un ravisseur de payer une rançon d’un million de dollars.

« Je n’ai jamais douté une seconde que c’était elle », a-t-elle déclaré aux médias locaux.

Seule la voix était une imitation générée par l’IA et DeStefano a rapidement découvert la ruse.

Mais cela laisse entrevoir le risque d’un avenir où de fausses usurpations d’identité d’êtres chers ou de collègues apparaîtront lors d’appels téléphoniques ou vidéo – une évolution qui pourrait être une mine d’or pour les escrocs.

Avec un enregistrement de quelques secondes seulement de la voix d’une personne, les outils en ligne peuvent produire une imitation capable de tromper les employés ou les amis.

Jérôme Saiz, fondateur du cabinet de conseil français OPFOR Intelligence, a déclaré que « toute une industrie de petits escrocs », déjà adeptes de l’extorsion de données de cartes de crédit par SMS, allait probablement commencer à utiliser de tels outils.

Il a déclaré à l’AFP que ces escrocs étaient souvent jeunes et compétents avec les outils techniques.

Un guide de programmation

L’un des talents les plus vantés des chatbots tels que ChatGPT est leur capacité à générer du code informatique passable.

Les fraudeurs pourraient utiliser ces compétences pour créer des logiciels malveillants capables de verrouiller l’ordinateur d’une victime ou d’accéder à des fichiers ou des comptes.

Certains prétendent en ligne que la nouvelle génération de chatbots sur mesure est capable d’effectuer ce type d’opération, mais il est difficile d’obtenir des preuves solides.

Les chatbots peuvent certes identifier les failles du code existant et même générer du code malveillant mais ils ne peuvent pas l’exécuter directement.

Saiz a déclaré qu’il pourrait voir l’IA aider les escrocs peu talentueux à devenir plus compétents – une sorte de tuteur en codage.

« Mais quelqu’un qui part de zéro ne demandera pas à ChatGPT de coder des logiciels malveillants à sa place », a-t-il déclaré.

Saiz, qui est généralement appelé lorsque quelque chose d’important tourne mal, a déclaré qu’il n’avait vu aucune preuve que l’une de ses affaires au cours de l’année écoulée impliquait l’IA.

Shawn Surber, de la société américaine de cybersécurité Tanium, est tout aussi prudent.

« Une grande partie des inquiétudes quant à l’impact de l’IA générative sur les risques pour les entreprises repose sur la peur de l’inconnu plutôt que sur des menaces spécifiques », a-t-il déclaré.