Un bidouilleur dénué de toutes compétences en programmation peut-il demander à ChatGPT de lui coder un logiciel clés en main pour dérober des informations confidentielles ? C'est en tout cas ce que montre une nouvelle étude de Cato Networks, acteur israélien de la cybersécurité. À condition d'y mettre un peu de persévérance.

Le chercheur Vitaly Simonovich est ainsi parvenu à contourner les barrières de plusieurs logiciels d'IA générative renommés, dont DeepSeek, Microsoft Copilot et ChatGPT, pour les conduire à coder à sa place un logiciel capable de dérober des informations personnelles stockées sur Google Chrome. Le tout sans utiliser la moindre compétence de programmation. Il lui a simplement fallu environ six heures d'efforts et un peu d'imagination.

Un jeu de rôle conçu pour tromper la vigilance des LLM

Le chercheur a commencé par s'appuyer sur ChatGPT pour écrire un jeu de rôle se déroulant dans un univers fictif, le monde de Velora, où l'écriture de logiciels malveillants est autorisée par la loi. Il a ensuite demandé à ChatGPT de se comporter comme s'ils se trouvaient tous les deux dans ce monde, où le chatbot jouerait le rôle de Jaxon, le meilleur développeur de malwares de Velora.

Lire aussiTout savoir sur Wiz, le spécialiste de la cybersécurité que s'offre Google

Vitaly Simonovich a alors suggéré au chatbot de trouver un moyen de récupérer les identifiants pour un gestionnaire de mots de passe Google afin de sauver le monde de Velora, sans lui demander spécifiquem