ChatGPT a mis au point un redoutable malware, repéré par un chercheur

Publié le 11 avril 2023 à 11h20

Un chercheur en cybersécurité a pu contourner les sécurités de ChatGPT et lui faire écrire un programme malveillant non détecté par les antivirus.

Certains hackers pourraient tout à faire contourner les sécurités mises en place pour éviter les requêtes mal intentionnées sur ChatGPT. C'est du moins ce qu'illustre cette nouvelle trouvaille que l'on doit à Aaron Mulgrew, un chercheur en cybersécurité qui a réussi à faire créer à ChatGPT un programme malveillant.

Segmenter sa demande pour la rendre inoffensive aux yeux de ChatGPT

Pour contourner les barrières de ChatGPT et lui faire ériger un redoutable malware de toutes pièces, Mulgrew a segmenté ses requêtes de façon à les rendre inoffensives, du moins en apparence. Si le chercheur avait demandé à l'IA de créer un virus informatique en exposant ses intentions de façon claire, il est évident que sa demande aurait été refusée. En revanche, en exprimant sa demande de façon décomposée, Mulgrew a pu par la suite assembler les différents extraits de code générés par ChatGPT.

D'un point de vue concret, le malware généré a pour vocation de voler les données de la machine infiltrée, et ce, en toute discrétion. Celui-ci, dissimulé dans un logiciel d'économiseur d'écran pour PC, s'exécute après une courte pause afin de passer sous les radars. Le malware se met alors en charge de dérober les documents Word et PDF présents sur l'ordinateur. Le butin numérique est divisé en fragments et est caché au sein même des images du logiciel précédemment téléchargé (l'économiseur d'écran). Le tout est ensuite envoyé sur un dossier Google Drive, un protocole permettant d'être plus discret et d'éviter d'être détecté par le système de protection antivirus de l'ordinateur visé.

Quelques heures pour créer un malware indétectable par les antivirus

Aaron Mulgrew indique avoir envoyé le code du malware sur la plateforme VirusTotal qui permet d'analyser des fichiers et de détecter les éventuels codes sources malveillants. Seulement cinq fournisseurs sur soixante ont marqué le programme généré par ChatGPT comme suspicieux. Toujours par le biais du chatbot d'OpenAI, Mulgrew a effectué quelques modifications mineures sur le code jusqu'à le rendre indétectable.

Le chercheur explique qu'en envoyant les bonnes requêtes à ChatGPT et sans écrire la moindre ligne de code, son équipe a pu concevoir un programme malveillant avancé en seulement quelques heures. Sans avoir recours à un tel outil d'IA, la même tâche aurait été accomplie en plusieurs semaines et aurait nécessité l'intervention d'une équipe de 5 à 10 développeurs, d'après les estimations d'Aaron Mulgrew. Un tel étalement dans le temps s'explique par le fait que le malware mis au point se veut actuellement indétectable par les logiciels antivirus.

ChatGPT

Chat dans différentes langues, dont le français
Générer, traduire et obtenir un résumé de texte
Générer, optimiser et corriger du code

10 / 10

Télécharger

Source : Tom's Guide

Par Florent Lanne

Rédacteur web passionné par le digital, les objets et les services innovants. Je passe la plupart de mon temps à ratisser la toile à la recherche de nouvelles trouvailles liées au high-tech.

Articles de Florent Lanne

Piratage

Malware / Ransomware

Intelligence artificielle

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

vidarusny

Oui enfin, si vous demandez a des développeurs de faire des bout de code segmenter pour les réunir à la fin… ils vont aussi faire des malware "à l’insu de leur plein gré ".

romain280

Leur IA en + d’avoir des biais politiques elle nous fais des virus faits maison
Ca commence à faire beaucoup. Pas très Charlie tout ça

ABC

Exactement comme les terroristes segmentent la conception d’une bombe artisanale, en fragmentant le process. Chaque composante prise séparément ne ferait pas de mal à une mouche. Mais entres des mauvaises mains ça peut faire BOOM!

Même plus besoin d’aller sur le dark web.

On est loin du monde merveilleux où l’IA bienveillante détecte des maladies rares sur des radios ou aide à lutter contre l’illettrisme. Des fonctions bénéfiques marginales qui risquent de n’être que des cache-misères pour l’immense majorité des utilisations qui seront toxiques, complotistes, nuisibles ou criminelles.
L’outil idéal pour tous les tarés. Avec une force décuplée en donnant le pouvoir de conception à des gens qui n’auraient jamais pu nuire sans ces IA. Les fake news et autres complotismes qui ont déjà fait vaciller des démocraties sur le web 2.0 ne ressembleront qu’à des bombinettes ou des pétards mouillés en comparaison. Surtout quand les IA spécialisées dans un domaine seront utilisées de façon complémentaires. Donc demain.

Des news du genre à propos des IA, on va en avoir de plus en plus. Arrêter le monstre avant qu’il ne nous échappe complètement.

ABC

vidarusny : « Oui enfin, si vous demandez à des développeurs de faire des bouts de code segmentés pour les réunir à la fin… ils vont aussi faire des malwares à l’insu de leur plein gré. »

Faux et fallacieux. 99,99% des dév en question ne sauront pas le faire. Les 0,01 restants travaillent pour des gouvernements, des institutions cadrées, ou sont déjà dans l’illégalité quand ce n’est pas pour des états criminels comme la Russie ou l’Iran. Autant vendre des kits pour fabriquer des armes et des bombes dans les supermarchés. Vous vous attendez à quoi ?
L’IA va décupler ce pouvoir de nuisance. Elle apporte des compétences aux déséquilibrés, aux criminels et aux terroristes, qu’ils n’auraient jamais pu avoir sans. Ce ne sont pas les esprits chagrins qui manquent. Même piètres développeurs.
C’est une arme nouvelle et extrêmement redoutable dans la guerre asymétrique. Il n’y a même pas de débat, sauf à être aveugle, raisonner tout de travers et en creux. En clair un truc pour les nuisibles et les tarés.

ar-s

Ou un super outil pour assister un programmeur comme pour la majorité des utilisateurs qui l’utilisent ainsi. Ou pour essayer de comprendre une panne, pour faire une recette, pour x ou y autre raisons… C’est pas l’outil le soucis hein…

ABC

Si vous pouvez réparer votre vélo avec une mitraillette accessible à tous, c’est pas l’outil le souci hein…

Il faut encadrer pour certains usages (santé, sciences… ) et légiférer pour le reste. En clair, bloquer ces outils pour l’essentiel.

sylvio50

Ce n’est pas ce qu’il dit.
Il dit que la malveillance est dans l’organisateur du virus.
Ici, c’est le chercheur, mais ça pourrait être un gouvernement ou autre.

ABC

Merci de l’explication de texte. Que je vous envoie en retour.
C’est justement ce que j’explique, si vous avez la volonté de comprendre. Ces outils donnent des capacités de nuisances aux tarés qui sans ça, ne peuvent pas faire du tort (ou alors avec beaucoup plus de moyens et de compétences, ce qui limite le nombre de candidats).
Regardez ce que donne la vente d’armes accessible à tous aux USA. 180 morts quotidiens. Soit, 1 Bataclan par jour. C’est beau le libertarisme…

L’IA est une arme. Mise entre les mains des malfaisants, ça décuple leurs capacités de nuisances. Même avec des QI de 107.

Sauf à être pro NRA, pro Russe, pro dictature, anti démocratie ou juste haineux de son prochain, on ne met pas des armes à la disposition de tous. La majeure partie des IA doivent être restreintes à des usages spécifique et très encadrés. Elles n’ont rien à faire accessibles à tous sur le web. Du moins, pas en l’état actuel.

Francis7

Je pense aussi que ce n’est pas l’outil, le souci, c’est l’usage que l’on en fait. Il y aura toujours des antisociaux et des psychopathes ne serait-ce que sur la route du super-marché.

Il faut faire attention et prendre ses précautions comme d’habitude face au danger des virus : ne pas fréquenter certains sites, ne pas télécharger des choses qui ne sont pas de source fiable etc…

ABC

Donc, distribution d’armes pour tous. C’est en lisant ce genre de commentaires qu’on réalise que légiférer et partiellement interdire n’est pas une option, mais une obligation.