ChatGPT: une menace pour la cybersécurité ou une aubaine pour l'authentification sans mot de passe?

Si le monde entier s'est emballé pour l'IA générative et ses réalisations, une question de taille est restée en suspens : celle de sa sécurité.

Il va sans dire que l'engouement pour ChatGPT a pris de l'ampleur dans le monde entier. En quelques mois seulement, l'application de chatbot IA a atteint 100 millions d'utilisateurs actifs, devenant ainsi l'application grand public qui a connu la plus forte croissance à ce jour, dépassant même les réseaux sociaux TikTok et Instagram. D'autre part, Google, Microsoft et Baidu ont également annoncé des projets pour améliorer la recherche par l'IA, faisant entrer la course à l'espace de l'intelligence artificielle dans une nouvelle phase.  

Si beaucoup ont vanté ses mérites, aujourd’hui les experts en cybersécurité mettent en garde contre les risques liés à son utilisation grandissante, qui pourrait faciliter le travail des hackeurs. Alors que l’hameçonnage continue de constituer la première menace en termes de cybersécurité, aussi bien pour les particuliers que pour les entreprises, quels risques supplémentaires verrons-nous émerger avec l’arrivée de ces chatbots ?  

Les implications contradictoires de l’IA générative dans la cybersécurité 

Toute nouvelle technologie est une arme à double tranchant. Utilisé à bon escient, ChatGPT peut permettre aux entreprises d'économiser des ressources, du temps, et de l'argent, grâce à ses capacités de création de contenu et de traitement linguistique. Toutefois, lorsqu'elle est détournée, cette avancée peut se révéler un instrument permettant aux cybercriminels de nuire davantage aux consommateurs et utilisateurs. Ces chatbots pourraient même rendre les tentatives d'hameçonnage plus difficiles à détecter. 

Auparavant, un email ou un SMS de phishing était assez facilement reconnaissable en raison de son mauvais orthographe et/ou des erreurs de grammaire. Grâce à ChatGPT, il est maintenant beaucoup plus simple d'éliminer les fautes et les formulations maladroites afin de rendre les messages plus convaincants, même dans des langues autres que l'anglais. 

Avec ces avancées, les utilisateurs se retrouvent aujourd'hui confrontés à une difficulté supplémentaire, celle d'essayer de distinguer avec précision les messages légitimes des messages frauduleux.  Heureusement, les progrès en matière d'authentification ont permis d'alléger ce fardeau. 

L'authentification sans mot de passe : un moyen de défense plus efficace pour les utilisateurs 

Il est clair que le phishing n'est pas près de disparaître, et une technologie comme ChatGPT ne fait que renforcer son efficacité. Pour contrer cette menace, il est nécessaire de supprimer le principal élément que les pirates convoitent : le mot de passe. 

En éliminant les mots de passe au cours de l'authentification, nous nous affranchissons de ces données d'identification très prisées par les acteurs malveillants qui tentent de les « hameçonner ». Il existe désormais une technologie permettant aux utilisateurs de s'authentifier par le biais de méthodes de vérification sans mot de passe plus simples, plus solides, et utilisant la cryptographie associée à des données biométriques disponibles sur la plupart des appareils dans des formats très ergonomiques. D'une simple pression du doigt ou d'un balayage facial rapide, les utilisateurs peuvent se connecter à leurs comptes en toute sécurité et de manière transparente, sans craindre de transmettre involontairement leurs informations d'identification à des arnaqueurs ou de passer par des sites web usurpés. 

Comment prévenir l'utilisation abusive des chatbots basés sur l'IA ? 

Comme pour toute nouvelle technologie, des cadres de gouvernance et d'éthique doivent être établis pour définir clairement les limites de ce qui est acceptable et de ce qui ne l'est pas dans l'utilisation de ces outils. Bien que ChatGPT affirme disposer de fonctions de sauvegarde intégrées pour empêcher toute utilisation abusive de la plateforme par des acteurs malveillants, des experts en cybersécurité – notamment ceux de Check Point – ont réussi à contourner ces garde-fous en demandant au chatbot de rédiger un email de phishing concevable. 

Malheureusement, ChatGPT n'est que la dernière avancée technologique en date à être exploitée par les cybercriminels pour s'emparer plus efficacement des données personnelles et des identifiants de connexion. Cependant, nous ne devrions pas cesser d'innover, et devrions plutôt reconnaître que les cybercriminels continueront d'évoluer aussi, et que le phishing constituera toujours une menace. Ainsi, notre priorité actuelle serait de lutter contre l'hameçonnage, non pas en limitant l'utilisation de ces outils, mais en fournissant aux utilisateurs moins de données à divulguer, à commencer par les mots de passe.