Quand les cybercriminels nord-coréens se dopent à ChatGPT

CRIMES & IA Des cybercriminels de pays comme la Corée du Nord, la Chine ou encore l’Iran ont commencé à utiliser très activement ChatGPT, ont constaté Microsoft et OpenAI. Dans le cas de la Corée du Nord, l'intelligence artificielle risque de rendre encore plus efficaces les cyberarnaqueurs à la solde de Pyongyang. Les cyberattaques auraient rapporté plus de 600 millions de dollars à la Corée du Nord en 2023. Recluse, mais pas exclue de ChatGPT. La Corée du Nord – plus précisément des groupes de pirates informatiques à la solde du régime de Pyongyang – s'est emparée de la célèbre intelligence artificielle conversationnelle "made in America" pour exécuter ses méfaits en ligne, ont constaté Microsoft et OpenAI, le créateur de ChatGPT. Dans leurs rapports publiés mercredi 14 février, les deux géants américains s'intéressent aussi aux cas de l'Iran et de la Chine. Mais la Corée du Nord sort du lot. Vingt ans d’IA Difficile, en effet, de s’imaginer comment ce pays coupé commercialement et technologiquement du concert des nations a pu avoir recours aux dernières innovations en intelligence artificielle. Pourtant, "des scientifiques nord-coréens ont publié des centaines d’articles académiques depuis vingt ans sur le développement de l’IA", souligne le Financial Times dans un article du 19 février. Un institut national de recherche sur l'IA a été créé dès 2013, preuve que cette technologie est devenue une priorité pour le régime. Ces travaux universitaires concernent surtout les applications militaires de l'IA ou en lien avec le développement du programme nucléaire nord-coréen, précise au Financial Times Hyuk Kim, spécialiste de la Corée du Nord au James Martin Center for Nonproliferation Studies de Monterey (Californie). Avec ChatGPT, la Corée du Nord semble être passée de l’étude théorique à la pratique en matière de cybercriminalité. Pour l’instant, ces cybercriminels font un "usage basique" de cette IA pour leurs attaques, constate Microsoft. Les exemples cités par le géant américain de l’informatique – et principal investisseur dans OpenAI – démontrent que le groupe nord-coréen repéré sur ChatGPT – baptisé Emerald Sleet – s’en sert surtout pour de "l’ingénierie sociale". Il s’agit de l’ensemble des techniques d’approche des cybercriminels pour mettre leurs victimes en confiance afin de les amener à cliquer sur un mauvais lien – déclenchant le téléchargement d’un virus – ou à fournir des identifiants pour des sites sensibles, c'est-à-dire l'hameçonnage. "On sait que l’ingénierie sociale est le fondement de la plupart des tentatives de piratage des groupes nord-coréen et l’un de leurs problèmes principaux était la barrière de la langue. C’est là, notamment, que ChatGPT intervient", explique Alan Woodward, expert en cybersécurité à l’université de Surrey. Qui n’a, en effet, jamais utilisé cet outil comme un traducteur instantané ? Les pirates informatiques nord-coréens y ont pensé aussi et cela "leur permet d’améliorer leur niveau de langue et ainsi paraître plus crédibles dans leur interaction avec des victimes", précise Benoît Grunemwald, expert en cybersécurité pour la société slovaque Eset. Des faux recruteurs nord-coréens sur LinkedIn L’un des terrains de chasse favoris des cybercriminels nord-coréens est LinkedIn. Le réseau social professionnel leur permet notamment de repérer des victimes dans des entreprises qu’ils cherchent à pirater. Ils se créent alors des faux profils de recruteur pour entrer en contact avec leur cible et chercher à leur soutirer le maximum d’informations. ChatGPT doit leur permettre de mieux incarner un chasseur de têtes américain, japonais ou encore français. "Et ce n’est que le début", assure Alan Woodward. Les progrès des LLM ("large language models", les larges modèles de langage comme ChatGPT) pour imiter des voix tout en traduisant en direct "vont bientôt permettre à ces cybercriminels de ne plus se limiter à des communications écrites et de pouvoir duper leurs victimes lors de conversations téléphoniques", estime cet expert. Mais le langage ne fait pas tout. Se faire passer pour un recruteur du fin fond du Texas ou d’ailleurs nécessite aussi "de pouvoir se mettre culturellement dans la peau du rôle qu’on veut incarner", note Robert Dover, spécialiste de cybersécurité et criminologie à l’université de Hull. Là encore, les LLM comme ChatGPT peuvent "se révéler très utiles pour fournir les bonnes références culturelles et faire croire qu’on vient d’une région ou d’une ville donnée", ajoute cet expert. Ainsi, un hacker qui n’a jamais quitté Pyongyang pourra sans problème affirmer, par exemple, qu’il est un habitué du "fameux" Boise River Greenbelt, le sentier de loisirs qui fait, d’après ChatGPT, la fierté touristique de la capitale de l’État de l’Idaho. Des informations qui pouvaient certes déjà être trouvées sur Internet avant l’avènement des LLM. Mais ChatGPT "rend ces cybercriminels plus rapides et efficaces dans leur traque d’informations pertinentes pour duper leurs victimes", résume Benoît Grunemwald. Mais tout n’est pas rose pour les cybercriminels nord-coréens dans le monde de ChatGPT. S’ils veulent, par exemple, l’utiliser pour trouver des informations biographiques sur leurs victimes, ils risquent de déchanter. Cette IA a tendance à inventer des éléments biographiques ou à se mélanger les pinceaux entre divers homonymes. Plus d’argent pour financer le nucléaire nord-coréen ? Dans l’ensemble cependant, l’avènement de ChatGPT a permis aux pirates informatiques nord-coréens "de réduire les inégalités techniques dans leur combat avec les autorités cyber des pays occidentaux", reconnaît Alan Woodward. À ce titre, les hackers dopés à l’IA illustrent le phénomène de démocratisation de la cybercriminalité à l’ère des LLM. "Cela permet à n’importe quel acteur malveillant, et pas seulement ceux qui ont le soutien logistique ou financier d’un État [comme la Corée du Nord, NDLR], d’être bien plus efficace", ajoute Benoît Grunemwald. Pyongyang peut aussi espérer faire quelques économies au passage. En effet, auparavant, pour s’assurer que les cybercriminels à la solde du régime fassent le meilleur boulot possible pour se faire passer pour quelqu’un d’autre en ligne, "il fallait parfois les envoyer à l’étranger pour s’imprégner de la culture locale", assure Robert Dover. Le but principal de toutes ces opérations est le plus souvent de voler de l’argent aux entreprises étrangères ciblées "afin de financer le programme nucléaire militaire nord-coréen", souligne le Financial Times. Ainsi, en 2023, les pirates informatiques nord-coréens ont réussi à dérober plus de 600 millions de dollars – soit plus de 555 millions d'euros –, d’après une analyse de TRM Labs, une société de sécurité informatique spécialisée dans les transactions en cryptomonnaie. Le risque est que les LLM "vont permettre à ces cybercriminels d’être encore plus convaincants et efficaces", craint Robert Dover. Autrement dit, les chatbots convaincants comme ChatGPT pourraient devenir les complices involontaires de l’effort de Pyongyang de développer encore plus vite son programme nucléaire.