Une nouvelle génération d’outils d’IA conçus sans garde-fous éthiques permet aux hackers d’exploiter rapidement les vulnérabilités logicielles. Lors d’une récente conférence à San Francisco, des experts ont plongé au cœur de ce sujet préoccupant, révélant des démonstrations saisissantes de ces « IA malveillantes ».
Lors d’une matinée au RSA Conference à San Francisco, une salle comble au Moscone Center s’était réunie pour explorer le rôle de l’intelligence artificielle dans le hacking moderne.
La session, dirigée par Sherri Davidoff et Matt Durrin de LMG Security, promettait plus que de la théorie ; elle offrait une rare démonstration en direct de ce qu’on appelle l' »IA malveillante », un sujet qui est passé de la fiction cybernétique à une préoccupation réelle.
Davidoff, fondatrice et PDG de LMG Security, a rappelé la menace persistante des vulnérabilités logicielles. Mais c’est Durrin, Directeur de la Formation et de la Recherche de l’entreprise, qui a rapidement changé de ton, rapporte Alaina Yee, rédactrice en chef chez PCWorld.
Il a introduit le concept d' »IA malveillante » – des outils d’intelligence artificielle conçus sans garde-fous éthiques, capables d’identifier et d’exploiter des failles logicielles avant que les défenseurs puissent réagir.
« Que se passerait-il si les hackers utilisaient leurs outils d’IA malveillants, dépourvus de protections, pour détecter des vulnérabilités avant que nous ayons la possibilité de les corriger ? » a demandé Durrin au public, annonçant les démonstrations inquiétantes à venir.
L’équipe a tenté d’acquérir l’une de ces IA hors-la-loi, comme GhostGPT et DevilGPT, souvent avec frustration ou inconfort. Enfin, leur persévérance a payé lorsqu’ils ont retrouvé WormGPT – un outil mis en avant par Brian Krebs – via des canaux Telegram pour 50€.
Comme l’a expliqué Durrin, WormGPT est essentiellement ChatGPT dépouillé de ses contraintes éthiques. Il répond à n’importe quelle question, quelle que soit sa nature destructive ou illégale. Cependant, les présentateurs ont souligné que la véritable menace réside non pas dans l’existence de l’outil mais dans ses capacités.
L’équipe de LMG Security a commencé par tester une version antérieure de WormGPT sur DotProject, une plateforme de gestion de projet open-source. L’IA a correctement détecté une vulnérabilité SQL et proposé un exploit basique, bien qu’elle ait échoué à produire une attaque fonctionnelle – probablement parce qu’elle ne pouvait pas traiter l’ensemble du code.
Une version plus récente de WormGPT a ensuite été chargée d’analyser la célèbre vulnérabilité Log4j. Cette fois-ci, l’IA non seulement a trouvé la faille, mais a fourni suffisamment d’informations pour qu’un « hacker intermédiaire » puisse l’utiliser pour créer un exploit, comme l’a noté Davidoff.
Le véritable choc est survenu avec la dernière itération : WormGPT a proposé des instructions étape par étape, accompagnées de codes adaptés au serveur de test, et ces instructions ont fonctionné à la perfection.
Pour pousser les limites encore plus loin, l’équipe a simulé une plateforme e-commerce Magento vulnérable. WormGPT a détecté un exploit complexe en deux parties qui a échappé à la détection d’outils de sécurité traditionnels comme SonarQube et même ChatGPT lui-même. Lors de la démonstration en direct, l’IA malveillante a proposé un guide de hacking complet, sans aucun prompt et avec une rapidité alarmante.
À la fin de la session, Davidoff a réfléchi à l’évolution rapide de ces outils d’IA malveillants.
« Je suis un peu inquiète de l’état de ces outils de hackers dans six mois, car on peut clairement voir les avancées réalisées au cours de l’année passée », a-t-elle déclaré. Le silence inquiet de l’audience a résonné avec ce sentiment, a noté Yee.
Image crédit : PCWorld, LMG Security