Alors qu'Europol vient de publier un rapport sur les dangers de ChatGPT et s'inquiète de son utilisation par des criminels, Kunal Anand, CTO d’Imperva, spécialiste de la sécurité, réagit face à la situation actuelle
Les chatbots posent-ils un problème de protection de la vie privée plus important que les moteurs de recherche, et pourquoi ?
"Le problème des chatbots par rapport aux moteurs de recherche n'est pas seulement lié aux conditions générales ou à la manière dont ils utilisent les données, mais aussi à la manière dont nous interagissons avec eux. Par rapport à une recherche Google ou Bing, les LLM comme Bard deviennent plus utiles à mesure que nous leur donnons plus d'informations (en informatique, cela s'appelle l'apprentissage par renforcement). Et surtout avec un chatbot, il est facile de traiter les interactions comme une conversation et de laisser échapper plus d'informations que nous ne le ferions normalement en tapant simplement dans une boîte de recherche.
"Même si les informations que vous partagez sont stockées en toute sécurité dans le centre de données d'une entreprise, elles sont toujours utilisées pour former les chatbots et pourraient être divulguées dans les réponses qu'ils donnent à d'autres personnes. Et comme nous l'avons vu cette semaine avec la divulgation par OpenAI d'une énorme faille de confidentialité dans ChatGPT, il est également possible que ces chatbots soient ciblés par des pirates informatiques cherchant à accéder à ces données sensibles.
"Comme pour tout ce qui se passe en ligne, la règle d'or est de faire attention aux informations que l'on partage. Si vous ne souhaitez pas que des informations entrent dans le domaine public ou si vous ne les partageriez pas avec un étranger au téléphone, elles ne devraient probablement pas être transmises à un chatbot".
À mesure que ces robots s'intègrent dans l'internet et les médias sociaux, les risques d'être confronté à des chatbots convaincants et malveillants, gérés par des pirates, des fraudeurs, etc. Comment puis-je repérer les logiciels malveillants, les courriels, les robots, etc. générés par des acteurs malveillants ou par l'IA ? Quels sont les autres risques ?
"Un chatbot malveillant fonctionne essentiellement selon les mêmes principes qu'un courriel d'hameçonnage ou un appel téléphonique frauduleux, c'est-à-dire qu'il tente de vous faire partager des informations sensibles ou de vous faire faire quelque chose de nuisible afin de commettre une fraude ou un vol d'identité, de voler de l'argent ou de commettre d'autres cybercrimes.
"Comme dans tous ces cas, le principe est le même : si l'apparence ou la sensation n'est pas bonne, ne vous engagez pas. Par exemple, le site web du chatbot a-t-il une URL inhabituelle ? Utilise-t-il un langage étrange ? Demande-t-il des informations non pertinentes ou trop privées, comme des coordonnées bancaires ou votre emploi du temps quotidien ? Si c'est le cas, mettez fin à la conversation et quittez le site immédiatement. Si vous avez le moindre doute, il est toujours plus prudent de vous rendre sur le site de l'organisation dont le chatbot se réclame, d'y trouver un numéro de téléphone et de l'appeler directement. Tout comme pour le phishing et les escroqueries téléphoniques, il y aura une période d'apprentissage, au cours de laquelle les gens apprendront comment se comporte un chatbot "légitime", afin de pouvoir repérer plus facilement les faux.
"En ce qui concerne les autres risques, il y a aussi le danger de la désinformation. En raison du mode de fonctionnement des IA comme ChatGPT, les criminels pourraient tenter d'empoisonner le puits en partageant des données fausses ou inexactes que l'IA pourrait capter et inclure dans ses réponses. Par exemple, si vous utilisez ces services pour vous aider à programmer, des acteurs malveillants pourraient introduire des codes contenant des failles de sécurité ou d'autres problèmes, puis attendre qu'ils soient pris en compte et utilisés. Pour éviter cela, il faut toujours faire preuve d'un certain scepticisme. Ne considérez pas tout ce qui vient de ces outils comme parole d'évangile, mais exercez un contrôle de qualité et vérifiez les faits à deux reprises."