ChatGPT a aidé des hackers éthiques à dénicher une faille et gagner 20’000 dollars
Des participants à une campagne de Bug Bounty ont remporté une prime avec le soutien de ChatGPT. Ils ont ainsi montré que l’IA générative peut être utile aux hackers éthiques.
ChatGPT est sur toutes les lèvres. L’IA générative d’OpenAI peut aussi bouleverser le domaine du hacking éthique. Les chercheurs en cybersécurité Noam Moshe et Uri Katz, de l'entreprise Claroty, ont su tirer parti du chatbot pour identifier une vulnérabilité. Le média spécialisé The Register rapporte qu’ils ont récemment remporté une récompense de 20’000 dollars lors du campagne de Bug Bounty Pwn2own. Ils ont découvert comment opérer une cyberattaque contre un client OPC (logiciel de commande pour le secteur industriel) du groupe Siemens.
Les chasseurs de bugs ont trouvé la faille exploitée pour l'attaque ainsi que la méthode d'attaque sans ChatGPT, précise The Register. Ils ont toutefois demandé l'aide de l'intelligence artificielle pour développer un module de base pour le serveur OPC afin de tester l'attaque. «Pour que notre technique d'exploitation fonctionne, nous avons dû apporter de nombreuses modifications aux projets OPC-UA open source existants», expliquent les hackers white-hat au média en ligne. «Comme nous n'étions pas familiers avec l'implémentation spécifique du SDK du serveur, nous avons utilisé ChatGPT. L'IA a accéléré le processus en nous aidant à utiliser et à modifier le serveur existant», ajoutent-ils. Cette aide leur a permis de gagner du temps pour implémenter l'attaque proprement dite.
ChatGPT seul ne suffit pas
L'idée que des hackers éthiques se fassent aider par ChatGPT pourrait faire école. «En effet, ChatGPT permet d'analyser le code et donc de découvrir des points faibles dans les environnements informatiques. A condition que les bonnes questions soient posées et que le bon contexte soit donné», explique Phil Leatham, Senior Account Executive chez Yeswehack Allemagne, dans une prise de position.
En soi, l'IA n'est toutefois pas un expert en cybersécurité et ne peut donc pas examiner les systèmes et l'infrastructure informatique d'une entreprise. En outre, les réponses de ChatGPT ne sont pas toujours correctes, rappelle Phil Leatham. Et pas seulement parce que le système ne dispose pas d'informations actuelles: «Il ne connaît ni le contexte d'exécution d'une faille, ni l'application vulnérable, et encore moins l'impact réel sur les systèmes et l'activité d'une entreprise. Dès que le contexte fait défaut ou que la question est ambiguë, les réponses de ChatGPT sont généralement fausses - même si elles sont très lisibles et sonnent juste.»
