Les imitateurs de ChatGPT révèlent une vulnérabilité de la sécurité
Utilisation d'applications IA frauduleuses par les collaborateurs
ChatGPT : adoptée plus rapidement que n'importe quelle autre application, mais avec quelles conséquences ?
ChatGPT, la célèbre application d'OpenAI basée sur l'IA et les grands modèles de langage (LLM), a connu des niveaux d'augmentation uniques du nombre de ses utilisateurs, et ce, pour de nombreuses raisons. Tout d'abord, l'application a atteint plus d'un million d'utilisateurs dans les cinq jours qui ont suivi son lancement – un seuil que même les applications les plus populaires historiquement, telles que Facebook et Spotify, n'ont pas égalé. En outre, ChatGPT a bénéficié d'une adoption presque immédiate dans des contextes opérationnels, tandis que les entreprises aspirent à révéler des synergies pour la création de contenus, la génération de code et d'autres tâches fonctionnelles.
Toutefois, si les entreprises s'empressent de tirer parti de l'IA, les acteurs malveillants font de même. L'une des approches les plus notables consiste à recourir à des applications utilisant un LLM malveillant ou contraire à l'éthique.
Malheureusement, une récente vague d'applications malveillantes a introduit un risque dans le parcours d'adoption de l'IA des entreprises. Par ailleurs, il est difficile de résoudre le risque associé avec une politique ou une solution unique. Pour exploiter la valeur de l'IA, sans toutefois ouvrir la porte aux menaces de perte de données, les responsables de la sécurité doivent repenser leur approche, afin d'étendre la visibilité et le contrôle des applications pour entreprises.
Les types de logiciels « GPT » frauduleux et leurs risques
Les applications LLM malveillantes se répartissent en plusieurs catégories, présentant différents types de risques :
Grever le fonctionnement d'une entreprise en emprisonnant les collaborateurs dans une qualité de service inférieure et en générant des contenus inexacts. En mai 2023, ZDNet a publié un rapport concernant une application prétendument très téléchargée, appelée « ChatOn », qui prenait les utilisateurs au piège d'abonnements coûteux. De même, une application appelée « Genie » prétendait être basée sur ChatGPT, mais elle « hallucinait » (le terme désignant le fait qu'une IA rapporte des données incorrectes) plus souvent que la véritable application. Cette catégorie d'applications imitatrices assure tout simplement une qualité de service médiocre.
Voler des comptes, extraire des données et compromettre des réseaux. En mars 2023, des chercheurs ont découvert qu'une fausse extension ChatGPT pour Chrome détournait des comptes professionnels Facebook, installait des portes dérobées, collectait des informations sur les navigateurs, dérobait des cookies et bien d'autres choses encore. La fausse extension était présentée dans des publicités Facebook telles que « Quick access to Chat GPT [sic] » (Accédez rapidement à Chat GPT) et, à un moment donné, a été installée plus de 2 000 fois par jour.
Installer des logiciels malveillants. Inévitablement, des acteurs malveillants ont prétendu offrir un accès à ChatGPT en recourant à des attaques par ingénierie sociale classiques. Une campagne utilisait des liens contenus dans des messages publiés sur les réseaux sociaux pour installer un client ChatGPT. Les liens conduisaient à une page d'apparence réaliste, invitant les utilisateurs à télécharger le client. Lorsqu'ils cliquaient sur le lien, le cheval de Troie « Fobo » était installé sur leur ordinateur ; il récupérait alors les informations d'identification des comptes stockés dans les navigateurs, notamment ceux associés à des comptes professionnels.
La diffusion de fausses applications qui se font passer pour des applications authentiques afin d'inciter les utilisateurs à télécharger un logiciel malveillant ne constitue guère une tactique d'attaque nouvelle. Les attaquants manipulent les utilisateurs depuis des décennies. Cependant, ces attaques basées sur ChatGPT mettent en évidence un problème plus vaste.
Le problème plus vaste : le manque de sensibilité aux applications
Le manque de visibilité des applications qui pénètrent le réseau d'une entreprise se traduit naturellement par un manque de contrôle, rendant les entreprises vulnérables aux applications frauduleuses.
Pratiquement tous les logiciels peuvent être diffusés par Internet ou sont accessibles via le cloud ; la « nouvelle normalité » est ainsi. En règle générale, le personnel peut installer des applications non approuvées sur les appareils de l'entreprise en quelques secondes seulement.
Il peut également utiliser toutes sortes d'applications SaaS (Software-as-a-Service) hébergées dans le cloud. L'utilisation de services cloud non autorisés est très répandue dans la plupart des grandes entreprises ; ce phénomène est connu sous le nom d'informatique fantôme (Shadow IT). L'informatique fantôme est tellement répandue que, dans une enquête, 80 % des collaborateurs ont déclaré utiliser des applications SaaS non approuvées.
Ces risques sont permanents, mais le danger augmente lorsqu'un type particulier d'application – en l'occurrence, les LLM basés sur l'IA – s'est si solidement établi dans la culture des entreprises. Des collaborateurs bien intentionnés, cherchant à améliorer leur efficacité, peuvent malencontreusement permettre à des acteurs malveillants d'établir une présence sur le réseau de leur entreprise, et ainsi, d'y pénétrer.
Résoudre le problème du contrôle des applications
La formation à la sensibilisation à la cybersécurité est devenue essentielle à la cyber-résilience des entreprises ; toutefois, il s'agit d'un problème technique, qui nécessite une solution technique.
Pendant de nombreuses années, les pare-feu ont inspecté le trafic réseau au niveau de la couche 4, appelée « couche transport ». Ces pare-feu ont permis de bloquer le trafic à destination ou en provenance d'adresses IP ou de ports non approuvés, et ainsi, d'éviter de nombreuses attaques. Cependant, les pare-feu classiques sont manifestement insuffisants pour l'ère moderne, car ils ne tiennent pas conscience de la couche application et ne peuvent donc pas déterminer de quelles applications provient le trafic.
Les pare-feu de nouvelle génération possèdent cette capacité. Ils inspectent le trafic au niveau de la couche 7 et peuvent autoriser ou refuser le trafic en fonction de l'application d'origine. Cette sensibilité aux applications permet aux administrateurs de bloquer les applications potentiellement dangereuses. Si les données d'une application ne peuvent pas franchir le pare-feu, elles ne peuvent pas introduire de menace dans le réseau.
Cependant, à l'instar des pare-feu traditionnels, un pare-feu de nouvelle génération suppose l'existence d'un réseau interne privé et autonome ; ce n'est pas le cas de l'environnement informatique actuel, dans lequel les applications et les données sont disséminées sur des réseaux internes, des clouds privés et des clouds publics. Les réseaux modernes sont distribués et englobent les applications SaaS, les applications web et l'utilisation à distance.
Les entreprises ont donc besoin de fonctionnalités de pare-feu de nouvelle génération dans le cloud, pouvant être déployées devant les réseaux sur site et dans le cloud.
Cependant, les pare-feu de nouvelle génération ne peuvent pas, à eux seuls, résoudre le problème de l'informatique fantôme. Et lorsqu'un pare-feu de nouvelle génération détecte l'utilisation d'une application malveillante, il peut parfois être trop tard. Le contrôle des applications doit être intégré à un service CASB (Cloud Access Security Broker), permettant de sécuriser véritablement les réseaux, les appareils et les utilisateurs.
Les services CASB permettent notamment de dévoiler l'informatique fantôme (« Shadow IT »), et permettent aux administrateurs d'y remédier. Ils peuvent mettre en œuvre un filtrage des URL afin de bloquer le chargement des sites et applications de phishing et d'empêcher les logiciels malveillants de se connecter à des adresses web réputées malveillantes, afin de recevoir des instructions d'un serveur de commande et de contrôle. Ils peuvent ajouter les applications approuvées à une liste d'autorisation et bloquer toutes les autres. Ils peuvent utiliser des services anti-logiciels malveillants pour identifier les imitations malveillantes de logiciels connus lorsqu'elles pénètrent sur un réseau (sur site ou dans le cloud).
Sécuriser l'utilisation des applications – aujourd'hui et demain
ChatGPT a commencé à faire parler de lui en 2023, et de nouveaux outils d'IA seront certainement lancés au cours des années à venir.
Essentielles à la collaboration des effectifs, les applications SaaS se révèlent néanmoins difficiles à maintenir sécurisées. Le service CASB de Cloudflare assure une visibilité intégrale et un contrôle total sur les applications SaaS, afin de vous permettre d'éviter facilement les fuites de données et les violations de la conformité. Grâce à la sécurité Zero Trust, bloquez les menaces internes, le Shadow IT, les partages de données risqués et les acteurs malveillants.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Approfondir le sujet
Pour en savoir plus sur le fonctionnement d'un service CASB, consultez le livre blanc Simplifier la manière dont nous protégeons les applications SaaS.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Les risques liés à la popularité croissante des applications
3 types différents d'applications malveillantes
L'importance de la visibilité et du contrôle des applications
Comment l'association d'un pare-feu de nouvelle génération et d'un service CASB permet de sécuriser les entreprises modernes