L’utilisation de ChatGPT dans la Cybersécurité
Introduction
Lancé en novembre 2022 par OpenAI, ChatGPT se positionne comme l’un des chatbot les plus performants et puissants du marché. Open Source ChatGPT est à la portée de tous et permet tout type de requêtes, de l’écriture d’une fiction à une génération de code expliquée et détaillée. Bien entendu, ce nouveau mode de production va prendre de plus en plus de place dans tous les domaines, le domaine de la cybersécurité n’y échappant évidemment pas.
Ainsi, il est bon de réfléchir dès maintenant aux impacts, utilisations et dérives de cet outil.
ChatGPT Cybersécurité: au service des acteurs malicieux
Phishing
Des chercheurs de l’université de Stanford ont constaté qu’environ 88 % de toutes les violations de données sont dues à une erreur commise par un employé. Bien souvent, il s’agit d’un simple clic sur un lien de phishing. Il serait donc intéressant et pertinent d’analyser les mesures dans lesquelles ChatGPT pourrait nous aider.
Si dans un premier temps, ChatGPT refuse de nous assister dans la rédaction d’un courriel de phishing pour des raisons éthiques, il n’est pas bien difficile de converser suffisamment avec l’IA afin d’obtenir ce que nous voulons.
Malgré le caractère non éthique de nos demandes, une fois la discussion établie, ChatGPT finit par fournir des conseils, templates et même des noms de domaines à utiliser :
Si l’écriture d’un courriel de phishing ne repose sur aucune connaissance technique, on peut noter que ChatGPT peut cependant améliorer la crédibilité des liens de phishing en rédigeant des courriels sans fautes d’orthographe ou en proposant des noms de domaines crédibles.
En effet, les principales raisons de cliquer sur les e-mails de phishing sont la légitimité perçue de l’e-mail (43 %) et le fait qu’il semble provenir d’un cadre supérieur (41 %) ou d’une marque connue (40 %). Pour aller encore plus loin et pousser la crédibilité de ces fameux domaines malicieux au maximum, nous pouvons demander à ChatGPT de proposer des domaines homomorphes au domaine légitime (càd en utilisant des caractères étrangers proches visuellement de caractères français) :
Dans un deuxième temps, nous pouvons nous attarder sur les fameuses pièces jointes souvent présentes dans les courriels malveillants.
Prenons par exemple un fichier Excel avec un fichier dll caché à l’intérieur.
De nouveau, ChatGPT refuse de nous fournir les étapes pour cacher un fichier dll dans un .xls. Cependant, en changeant la tournure de notre demande et en lui faisant comprendre notre “bienveillance”, l’outil finit par nous indiquer les étapes détaillées pour le faire.
Ransomware
L’une des principales menaces informatiques notamment en entreprise reste le ransomware, essayons donc de demander à ChatGPT de nous donner un bout de code de ransomware dans un langage donné :
Encore une fois, après quelques échanges avec ChatGPT, on peut obtenir des fragments de code permettant de chiffrer des données puis d’envoyer la clé de déchiffrement vers un domaine. Évidemment, ces codes ne sont pas opérationnels et ne passeront sûrement pas les antivirus.
Cependant, après seulement 5 min d’utilisation, on obtient un “prototype” de ransomware. Avec une utilisation plus poussée, il semble possible d’obtenir un code plus précis, plus fonctionnel et par conséquent plus dangereux.
Pour la majorité des menaces, ChatGPT peut nous aider à les créer. Il en va de même pour tout ce qui est reverse-shell, scanner de ports, etc.
ChatGPT au service de la détection
S’il faut parfois insister pour contourner le filtre éthique de ChatGPT pour la création de menaces, déterminons désormais si ChatGPT permet de nous aider dans la détection et le traitement des incidents de sécurité.
Vulnérabilités
Testons ici la capabilité de ChatGPT à trouver des vulnérabilités dans des bouts de code :
Ici, plus de question de filtre éthique : ChatGPT nous permet de trouver différentes vulnérabilités (Command Injection, XSS, CSRF, SQL Injection…) dans un morceau de code. Ces vulnérabilités peuvent être exploitées par des acteurs malveillants. Cependant, cette analyse de ChatGPT pourrait également permettre à un développeur de vérifier la sureté de son code pendant le développement, et c’est d’ailleurs déjà le cas puisqu’un Bug Bounty Hunter, du nom de Roni Carta, s’est récemment servi du dispositif pour s’aider afin d’obtenir 42000$ de primes dans le programme de Bug Bounty. Il explique récemment, dans le podcast Underscore_, sa démarche et comment il s’est servi de ChatGPT pour l’aider.
Règles de détections
Si les vulnérabilités de codes peuvent aussi bien être exploitées par des Hackers éthiques que par des acteurs malveillants, les règles de détections sont quant à elles un outil fondamental à la Blue Team. Avec l’émergence perpétuelle de nouvelles menaces, voyons si ChatGPT peut nous permettre de créer des règles de détection dans différents formats.
Unexemple de règle réseau :
Dans ce premier cas, ChatGPT peut nous apporter une règle Suricata assez proche de celles trouvables sur GitHub ou d’autres plateformes. Néanmoins, pour les règles plus techniques, comme une attaque de type Pass-The-Hash, si nous comparons une règle fournie par ChatGPT :
Et une règle de détection fournie par une plateforme spécialisée (ici SocPrime)
Nous pouvons constater, qu’ici, ChatGPT se contente de nous lister divers EventID Windows. Toutefois, cette méthode n’est pas viable dans le contexte d’un SOC, car elle induira énormément de faux positifs. Concernant la règle SocPrime, cette dernière cible davantage les subtilités d’une attaque PTH.
Conclusion
Si nous en sommes encore aux prémices de l’utilisation de cette IA, nous pouvons d’ores et déjà constater des applications concrètes et utiles de ChatGPT dans le monde de la cybersécurité. Aux premiers abords, l’outil pourrait se positionner comme un remplaçant d’un moteur de recherche. En réalité, il reste bien plus puissant, notamment grâce à sa capacité d’adaptation et de personnalisation des réponses.
Par exemple, un moteur de recherche classique permettrait de rechercher des vulnérabilités, mais ici, nous pouvons directement fournir le code à ChatGPT et obtenir une explication du code et de ses vulnérabilités. D’un autre côté, le filtre éthique mis en place sur ChatGPT semble relativement facile à contourner, et en fait donc un outil puissant et utile pour des acteurs malveillants.
Afin de démontrer le potentiel applicatif de ChatGPT, nous pourrions nous intéresser prochainement à la résolution de CTF (Capture The Flag) en s’aidant de ce dernier.