Les grands modèles de langage (LLMs) tels que ChatGPT connaissent des avancées rapides et sont maintenant entrés dans le courant dominant. Cela marque une avancée significative pour l’apprentissage automatique, car il montre sa capacité à gérer à la fois des tâches banales et des tâches créatives complexes. Les développements avec les LLM ont des implications potentielles pour toutes les industries, y compris les criminelles. Qu’est-ce que cela signifie pour l’application des lois ? En réponse à l’attention croissante du public accordée à ChatGPT, le Europol Innovation Lab a organisé un certain nombre d’ateliers avec des experts en la matière de toute l’organisation pour explorer comment les criminels peuvent abuser des LLM, ainsi que comment cela peut aider les enquêteurs dans leur travail quotidien. Ce rapport analyse les résultats de ces sessions et comprend des informations clés pour l’application des lois alors qu’elles continuent de rechercher des technologies nouvelles et émergentes qui affectent leur travail.
ChatGPT est déjà en mesure de faciliter un nombre important d’activités criminelles, allant de l’aide aux criminels de rester anonymes à des crimes spécifiques, y compris le terrorisme et l’exploitation de la pédophilie. Malheureusement, l’humain va aussi utiliser des “LLM Dark” pour faciliter des situations nocives qui peuvent devenir un élément clé dans les modèles d’entreprises criminelles de l’avenir. Cela pose un nouveau défi à l’application de la loi, grâce à laquelle il deviendra plus facile que jamais pour les acteurs malveillants de perpétrer des activités criminelles sans connaissance préalable nécessaire. Au fur et à mesure que la technologie progresse et que de nouveaux modèles deviennent disponibles, il deviendra de plus en plus important pour les forces de l’ordre de rester à l’avant-garde de ces développements pour anticiper et prévenir les abus, ainsi que pour garantir les avantages potentiels qui pourront être mis à profit.
Le LLM sélectionné pour être examiné dans les ateliers était ChatGPT. ChatGPT a été choisi, car il s’agit du LLM le plus en vue et le plus couramment utilisé actuellement accessible au public. Le but de l’exercice était d’observer les comportements d’un LLM lorsqu’il est confronté à des cas d’utilisation criminelle et policière. Cela aidera les forces de l’ordre à comprendre les défis liés aux produits dérivés et génératifs. Une version plus longue et plus approfondie de ce rapport a été produite pour les forces de l’ordre uniquement.
Kunal Anand, CTO d’Imperva donne quelques clés pour comprendre la situation actuelle, notamment : les chatbots posent-ils un problème de protection de la vie privée plus important que les moteurs de recherche, et pourquoi ?
Le problème des chatbots par rapport aux moteurs de recherche n’est pas seulement lié aux conditions générales ou à la manière dont ils utilisent les données, mais aussi à la manière dont nous interagissons avec eux. Par rapport à une recherche Google ou Bing, les LLM comme Bard deviennent plus utiles à mesure que nous leur donnons plus d’informations (en informatique, cela s’appelle l’apprentissage par renforcement). Et surtout, avec un chatbot, il est facile de traiter les interactions comme une conversation et de laisser échapper plus d’informations que nous ne le ferions normalement en tapant simplement dans une boîte de recherche.
Même si les informations que vous partagez sont stockées en toute sécurité dans le centre de données d’une entreprise, elles sont toujours utilisées pour former les chatbots et pourraient être divulguées dans les réponses qu’ils donnent à d’autres personnes. Et comme nous l’avons vu cette semaine avec la divulgation par OpenAI d’une énorme faille de confidentialité dans ChatGPT, il est également possible que ces chatbots soient ciblés par des pirates informatiques cherchant à accéder à ces données sensibles. Comme pour tout ce qui se passe en ligne, la règle d’or est de faire attention aux informations que l’on partage. Si vous ne souhaitez pas que des informations entrent dans le domaine public ou si vous ne les partageriez pas avec un étranger au téléphone, elles ne devraient probablement pas être transmises à un chatbot”.
À mesure que ces robots s’intègrent dans l’internet et les médias sociaux, les risques d’être confronté à des chatbots convaincants et malveillants, gérés par des pirates, des fraudeurs, etc. Comment puis-je repérer les logiciels malveillants, les courriels, les robots, etc. générés par des acteurs malveillants ou par l’IA ? Quels sont les autres risques ?
Un chatbot malveillant fonctionne essentiellement selon les mêmes principes qu’un courriel d’hameçonnage ou un appel téléphonique frauduleux, c’est-à-dire qu’il tente de vous faire partager des informations sensibles ou de vous faire faire quelque chose de nuisible afin de commettre une fraude ou un vol d’identité, de voler de l’argent ou de commettre d’autres cybercrimes.
Comme dans tous ces cas, le principe est le même : si l’apparence ou la sensation n’est pas bonne, ne vous engagez pas. Par exemple, le site web du chatbot a-t-il une URL inhabituelle ? Utilise-t-il un langage étrange ? Demande-t-il des informations non pertinentes ou trop privées, comme des coordonnées bancaires ou votre emploi du temps quotidien ? Si c’est le cas, mettez fin à la conversation et quittez le site immédiatement. Si vous avez le moindre doute, il est toujours plus prudent de vous rendre sur le site de l’organisation dont le chatbot se réclame, d’y trouver un numéro de téléphone et de l’appeler directement. Tout comme pour le phishing et les escroqueries téléphoniques, il y aura une période d’apprentissage, au cours de laquelle les gens apprendront comment se comporte un chatbot “légitime”, afin de pouvoir repérer plus facilement les faux.
En ce qui concerne les autres risques, il y a aussi le danger de la désinformation. En raison du mode de fonctionnement des IA comme ChatGPT, les criminels pourraient tenter d’empoisonner le puits en partageant des données fausses ou inexactes que l’IA pourrait capter et inclure dans ses réponses. Par exemple, si vous utilisez ces services pour vous aider à programmer, des acteurs malveillants pourraient introduire des codes contenant des failles de sécurité ou d’autres problèmes, puis attendre qu’ils soient pris en compte et utilisés. Pour éviter cela, il faut toujours faire preuve d’un certain scepticisme. Ne considérez pas tout ce qui vient de ces outils comme parole d’évangile, mais exercez un contrôle de qualité et vérifiez les faits à deux reprises.