En basculant en mode payant pour la version premium, les accès à ChatGPT plus sont devenus un produit recherché et échangé sur le dark web. Des chercheurs de Check Point Software rapportent dans un blog qu’« au cours du mois dernier, les discussions relatives à la fuite ou à la vente de comptes premium ChatGPT compromis ont augmenté dans les forums clandestins ». Ils ajoutent que « la plupart des comptes volés sont vendus, mais certains acteurs partagent aussi gratuitement des comptes premium ChatGPT volés, afin de faire la publicité pour leurs propres services ou outils pour voler les comptes ».

Plusieurs activités criminelles autour de ChatGPT

Au cours du mois de mars, les experts de Check Point Software ont observé divers types de discussions et d'échanges liés à l’agent conversationnel sur le dark web. Outre la fuite de comptes, les cybercriminels s’échangent aussi des outils de force brute et de vérification. L’objectif est de pirater des comptes ChatGPT en exploitant de grandes bases de données (email et mots de passe) pour deviner la bonne combinaison.

Des comptes piratés de ChatGPT plus sont disponibles sur le dark web. (Crédit Photo: Check Point Software)

Par ailleurs, ils ont découvert des offres de comptes ChatGPT en mode as a service, une offre qui propose d’ouvrir des accès à la version premium, en utilisant probablement des cartes de paiement volées.

Configuration SilverBullet en vente

« Les cybercriminels proposent aussi un fichier de configuration pour SilverBullet qui sert à vérifier un ensemble d'informations d'identification sur la plateforme OpenAI de manière automatisée », a déclaré l’éditeur. Cette suite de tests web propose aux utilisateurs d'effectuer des requêtes vers une application web cible. Elle est également utilisée par les cybercriminels pour mener des attaques par bourrage d’identifiant (credential stuffing) et par compromission d’identifiants de compte contre différents sites web, et voler ainsi des comptes pour des plateformes en ligne.

Les cybercriminels proposent une configuration de SilverBullet pour OpenAI. (Crédit Photo: Check Point Software)

Concernant ChatGPT, les chercheurs affirment qu’avec SilverBullet, les cybercriminels peuvent compromettre de grandes quantités de comptes. Le processus est entièrement automatisé et peut lancer entre 50 et 200 vérifications par minute. Il prend par ailleurs en charge la mise en œuvre de proxy qui, dans de nombreux cas, lui permet de contourner les différentes protections des sites web contre ce type d'attaques. Un autre cybercriminel qui s’est spécialisé dans les abus et les fraudes des produits ChatGPT, s'est même baptisé « gpt4 ». « Dans ses fils de discussion, il propose à la vente non seulement des comptes ChatGPT, mais aussi une configuration pour un autre outil automatisé qui vérifie la validité d'un identifiant », a déclaré Check Point.

Mise à niveau à vie de ChatGPT Plus

« Depuis le 20 mars, un pirate anglophone fait de la publicité pour un service de compte ChatGPT Plus à vie, avec une satisfaction garantie à 100 % », souligne les experts de Check Point Software. La mise à niveau à vie d'un compte ChatGPT Plus normal ouvert via l'adresse électronique fournie par l'acheteur coûte 59,99 dollars, alors que le prix normal d'OpenAI pour ce service est de 20 dollars par mois. « De plus, pour réduire les coûts, ce service clandestin propose également de partager l'accès au compte ChatGPT avec un autre cybercriminel pour 24,99 dollars, et ce, pour toute la durée de vie du compte », observe l’éditeur.

Un membre propose une version à vie de ChatGPT plus. (Crédit Photo: Check Point Software)

Contourner les restrictions de ChatGPT

Les identifiants volés de comptes ChatGPT premium sont très demandés, car ils peuvent aider les cybercriminels à contourner les restrictions de géolocalisation imposées par ChatGPT. OpenAI limite l'utilisation du service dans certaines zones géographiques comme l'Iran, la Russie et la Chine. « Cependant, en utilisant l'API de ChatGPT, les pirates peuvent contourner les restrictions et utiliser les comptes premium également », a déclaré Check Point. Autre usage possible pour les cybercriminels : l'obtention d'informations personnelles. Les comptes ChatGPT stockent les requêtes récentes du propriétaire du compte. « Ainsi, quand ils volent des comptes existants, ils ont accès aux requêtes du propriétaire initial du compte. Il peut s'agir d'informations personnelles, d’informations sur les produits et les processus de l'entreprise, et bien d'autres choses encore », explique Check Point dans son blog.

En mars, OpenAI, soutenue par Microsoft, a révélé qu'un bogue dans la bibliothèque open source du client Redis avait entraîné une panne et une fuite de données de ChatGPT, où les utilisateurs pouvaient voir les informations personnelles et les requêtes de chat d'autres utilisateurs. L'entreprise a reconnu que les requêtes de chat et les informations personnelles comme les noms des abonnés, les adresses électroniques, les adresses de paiement et une partie des informations relatives aux cartes de crédit d'environ 1,2 % des abonnés de ChatGPT Plus avaient été exposées.

Inquiétudes concernant la confidentialité de ChatGPT

Ces derniers mois, plusieurs problèmes de sécurité et de protection de la vie privée posés par ChatGPT ont émergé. L'autorité italienne de régulation de la protection des données a déjà interdit provisoirement l’agent conversationnel du fait de violations présumées de la vie privée liées à la collecte et au stockage de données personnelles par le chatbot. Le régulateur transalpin a déclaré qu'il lèverait l'interdiction temporaire de ChatGPT si OpenAI se conformait à une série d'exigences en matière de protection des données d'ici au 30 avril.

Le commissaire allemand à la protection des données a également averti que ChatGPT pourrait être bloqué en Allemagne en raison de problèmes de sécurité des données. Par ailleurs, en début de semaine dernière, OpenAI a annoncé un programme de bug bounty invitant la communauté mondiale des chercheurs en sécurité, des hackers éthiques et des passionnés de technologie à aider l'entreprise à identifier et à corriger les vulnérabilités de ses systèmes d'intelligence artificielle générative. OpenAI récompensera les chasseurs de bogues en argent comptant, à hauteur de 200 dollars pour les découvertes de faible gravité et jusqu’à 20 000 dollars pour les découvertes exceptionnelles.