Comment les modèles linguistiques d'IA à la ChatGPT font le jeu des cybercriminels

L’Office fédéral de la cybersécurité (OFCS ; anciennement NCSC) met en garde contre un nouveau danger dans un rapport FOCUS : les cybercriminels utilisent de plus en plus souvent des solutions d’intelligence artificielle pour falsifier des textes, des images, des vidéos et des messages vocaux utilisés pour des tentatives de fraude.

Les personnes qui lisent leurs e-mails avec attention et qui maîtrisent la langue écrite de leur région linguistique décèlent facilement les tentatives de phishing. En effet, outre l’adresse de l’expéditeur et le lien contenu, souvent facilement reconnaissable comme suspect, les e-mails de phishing se distinguent généralement par une formulation maladroite, une orthographe incorrecte et le caractère douteux de la rédaction. Cela s’explique par le fait que les malfaiteurs, généralement étrangers, ne parlent ni allemand, ni français, ni italien, et ne savent pas écrire sans faute dans ces langues. Ils utilisent donc des aides à la traduction en ligne (généralement gratuites) ou travaillent avec des extraits de modèles. Les erreurs qui en résultent inévitablement font qu’il est jusqu’à présent plutôt facile de reconnaître les e-mails de phishing, permettant ainsi de les supprimer immédiatement.

Messages de phishing de ChatGPT et autres

Mais cela pourrait bientôt prendre fin, avertissent les spécialistes de l’Office fédéral de la cybersécurité (OFCS ; anciennement Centre national de cybersécurité - NCSC). Ils ont en effet constaté que de plus en plus de cybercriminels recouraient aux services de solutions d’IA comme le modèle linguistique populaire ChatGPT pour rédiger leurs e-mails frauduleux. Ces solutions formulent des textes presque sans erreur et dans un langage qui semble laisser penser que les lettres et les mots ont été alignés par un être humain et non par une machine.

Les développeurs de ChatGPT ont prévu ce risque et ont donc intégré des mécanismes qui doivent empêcher l’IA de créer des modèles de messages électroniques frauduleux. Mais des modèles linguistiques d’intelligence artificielle spécialisés sont déjà accessibles sur le Darknet. Ils permettent de créer facilement des textes formulés de manière irréprochable sur le plan linguistique et formel pour des e-mails et des pages de phishing, et ce, dans presque toutes les langues imaginables.

C’est pourquoi il sera encore plus important à l’avenir qu’aujourd’hui d’ouvrir l’œil lors du traitement des e-mails ! En effet, l’invitation à cliquer sur un lien ainsi qu’une adresse d’expéditeur généralement douteuse continueront de trahir les e-mails de phishing.

Images falsifiées, vidéos deepfake et voix copiées

Outre les textes falsifiés, l’IA permet également de générer des images et des vidéos qui n’ont rien à voir avec la réalité. De tels fichiers sont également utilisés par les cybercriminels pour tromper, et arnaquer, des victimes naïves. Selon l’OFCS, les premiers cas d’utilisation de fausses images ou vidéos ont déjà été signalés. Par exemple, celui des publicités en ligne pour des placements financiers qui utilisent le visage et la voix d’une personnalité connue, comme un membre du Conseil fédéral, pour inciter à investir de l’argent sur une plateforme en ligne, argent qui se retrouve ensuite dans les poches des escrocs. Un autre exemple est celui des vidéos « deepfake » dans lesquelles une personne célèbre semble dire que les paiements en bitcoins vers un certain portefeuille sont remboursés deux fois dans le cadre d’une action caritative. Et dans le domaine de la « sextorsion », les victimes sont soumises à un chantage avec des images de nudité ou de pornographie générées par l’IA dans lesquelles leur propre photo a été intégrée.

Les faux messages vocaux sont relativement nouveaux, mais ils sont déjà en plein essor. Les escrocs font composer par un modèle d’IA des messages ou des déclarations orales à partir d’échantillons de voix d’une personne obtenus au préalable par des enregistrements sonores, des copies de vidéos ou l’enregistrement de conversations téléphoniques. Ces messages sont ensuite utilisés pour de la publicité mensongère ou pour des appels téléphoniques de choc dans lesquels la personne supposée se trouver dans une situation difficile « parle personnellement » à la victime.

Ces exemples sont clairs : les spécialistes de l’OFCS ne manqueront pas de travail à l’avenir. Nous sommes tous appelés à garder les yeux et les oreilles ouverts et à faire preuve d’une certaine retenue à l’avenir dans la publication de matériel photo et vidéo sur des portails en ligne accessibles à tous.