Selon une étude de Cyberhaven, un éditeur de sécurité, les employés emploieraient avec beaucoup trop de légèreté ChatGPT et n’hésiteraient pas à lancer des requêtes en lui soumettant des données sensibles pour, par exemple, faire plus facilement un PowerPoint. Certaines entreprises en ont déjà limité l’usage.
Les formidables avancées en productivité que permettent ChatGPT et autres modèles d’IA similaire ne doivent pas faire oublier les règles basiques de partage d’informations prévient l’éditeur de sécurité Cyberhaven. Les employés auraient en effet rapidement pris le réflexe d’intégrer des données sensibles de leur société dans leurs requêtes. Selon leur rapport, 4,2% du code source émanant d’1,6 million des salariés des près de 67.000 entreprises clientes a été bloqué parce qu’il contenait des informations confidentielles ou réglementées. 2,3 % des travailleurs auraient ainsi copié-collé des données confidentielles de l’entreprise sur ChatGPT. En outre, sur un échantillon de 100.000 personnes, 43 fuites de dossiers sensibles, 130 fuites de données clients,150 fuites de données confidentielles et 119 fuites de codes sources ont été repérées.
Parmi les exemples cités par Cyberhaven, on retrouve ainsi un cadre qui a copié un document stratégique pour que ChatGPT puisse lui créer une présentation PowerPoint. Mais aussi un médecin qui a introduit nom et son dossier médical d’un patient dans ChatGPT pour que celui-ci rédige une lettre pour la mutuelle. Or ChatGPT retient tout. Et tout cela peut ressortir dans d’autres réponses à l’avenir.
Pour éviter ces fuites, certaines grosses entreprises comme JPMorgan ou Amazon et Walmart ont décidé de restreindre l’accès à ChatGPT et autre chatbot à base d’IA. Néanmoins devant l’ampleur et la popularité de ces chatbot, des campagnes pour sensibiliser les employés, à la manière de celle pour le phishing, devront rapidement être mises en place pour tenter de contre cette nouvelle problématique.
ChatGPT est déjà l’outil des escrocs (scammers) et des pirates
Selon une autre étude de Check Point, une multinationale proposant des solutions de cybersécurité, ChatGPT serait déjà allègrement utilisé par les pirates informatiques pour créer des logiciels malveillants. Il serait aussi utilisé pour rédiger des contenus beaucoup plus crédibles et dans plusieurs langues pour du phishing ou de faux sites derrière lesquels se cache une arnaque. Le style impeccable et parfaitement ciblé fait qu’un plus grand nombre de personnes tombent dans le panneau.
Par ailleurs ces chatbots facilitent également ce qu’on appelle l’ingénierie sociale. Soit l’automatisation des interactions dans la foulée du premier contact. Que ce soit pour réagir à un mail de phishing, entretenir un « chat romantique » ou rebondir sur une approche sur un réseau social. Ces conversations pourront paraître réalistes avec moins de 1% d’intervention humaine. De quoi permettre un déploiement de l’arnaque à une très grande échelle.
En cas de doute, une astuce consiste à consulter l’adresse du mail que vous avez reçu afin de vérifier s’il s’agit bien de celle de votre fournisseur et aussi, de prendre contact avec lui », met en garde Olivier Bogaert sur le site de la police fédérale. En effet même si le texte de l’e-mail est ultra réaliste, il est facile de vérifier si l’e-mail provient d’un compte officiel.
La bonne nouvelle, c’est qu’à terme, les mécanismes anti-phishing apprendront à détecter les e-mails produits par ChatGPT. Et rappelons aussi que ChatGPT n’est pas une technologie qui sert à enfumer les gens, mais bien à générer du texte. Du coup, pour vérifier si l’on a bien un humain de l’autre côté, une des techniques est de taper des requêtes qui n’ont aucun sens. Un humain vous dira, normalement, que c’est du grand n’importe quoi, ChatGPT cherchera à y répondre.
