Un Malware zero-day créé par ChatGPT

Un chercheur en sécurité de Forcepoint a pu tromper ChatGPT avec une série de requêtes d’apparence anodines mais qui ont pu servir grâce à la stéganographie, à concevoir un malware redoutable.

« Sans écrire le moindre code, nous avons pu produire une attaque très avancée en quelques heures seulement. J’estime qu’une équipe de 5 à 10 développeurs de malware aurait besoin de quelques semaines pour produire une attaque équivalente sans chatbot basé sur l’IA échappant à la détection des logiciels de sécurité », a expliqué Aaron Mulgrew, chercheur en sécurité de Forcepoint.

Obfusquer c’est gagné

Pour générer son malware via ChatGPT, Aaron Mulgrew a misé sur la malice, le logiciel lui ayant rappelé qu’il était contraire à l’éthique de générer des logiciels malveillants et a d’abord donc refusé de lui proposer un code servant à dessein. La première requête réussie a consisté à simplement demander de générer un code pour rechercher un PNG de plus de 5 Mo sur le disque local. Puis de copier ce code en demandant à l’IA d’ajouter un autre code qui codera le fichier PNG trouvé avec de la stéganographie

À l’aide d’une série d’autres requêtes, le chercheur a fait en sorte que ChatGPT génère un code supplémentaire pour rechercher et trouver des documents Word et PDF sur un disque local, d’écrire du code pour diviser les fichiers de plus de 1 Mo en petits morceaux de 100 ko.

Pour l’infiltration initiale, Aaron Mulgrew a demandé ChatGPT de créer un fichier SCR ou un fichier d’économiseur d’écran et d’y intégrer l’exécutable, prétextant une facilité d’utilisation supplémentaire pour les applications professionnelles quotidiennes… « J’ai déguisé ma demande d’obfuscation en demandant de protéger la propriété intellectuelle du code, et ChatGPT a de nouveau produit un exemple de code qui cachait les noms de variables et a suggéré des modules Go pertinents que je pouvais utiliser pour générer un code entièrement masqué », poursuit le chercheur.