Codex, ChatGPT… OpenAI, une usine à cyberattaques ?

Jusqu’où peut-on automatiser des cyberattaques sans écrire une ligne de code ? Check Point s’est posé la question dans le contexte du développement des IA génératives. Il y a répondu combinant ChatGPT et Codex.

ChatGPT a servi à écrire un e-mail de phishing semblant provenir d’un hébergeur. Le sujet : votre compte a été suspendu, prière d’y remédier. À la première tentative, l’IA a suggéré d’insérer un lien vers un site malveillant. En lui précisant qu’on préférait utiliser un fichier Excel malveillant, elle a adapté le corps du texte.

ChatGPT peut aussi, même si ce n’est pas sa spécialité, générer du code. Dans le cas présent, il a produit une macro VBA destinée à être insérée dans le fichier Excel et à s’exécuter dès l’ouverture. Là aussi, la première tentative était « rudimentaire ». Après un peu de discussion, la macro reste basique, mais s’améliore, évitant par exemple d’utiliser WinHttpRequest.

ChatGPT peut générer du code

Codex a quant à lui servi, dans un premier temps, à créer un shell inversé fonctionnant sur les machines Windows (connexion à 192.168.1.1:5555). Ensuite, on lui a demandé – avec succès – plusieurs scripts : énumération de ports, repérage de failles SQLi, détection d’exécution en bac à sable… et finalement compilation du code Python généré.

Pour actionner l’ensemble, un autre script a été généré. Son rôle : exécuter le shell et écouter les commandes avec l’option -cmd. Lorsqu’il en reçoit, il sollicite Codex par API, avec une requête en langage naturel, pour générer du code à la volée.

La démarche est certes d’un niveau basique. Elle illustre tout de même dans quelle mesure les IA génératives peuvent contribuer à des cyberattaques. Voire en être les principaux vecteurs.

Photo d’illustration © alice-photo – Shutterstock