WormGPT, l'IA sans filtre

Introduction

Il fallait s’y attendre : l’essor fulgurant des IA génératives n’allait sûrement pas être cantonné au seul bon côté de la force…

Et WormGPT, lui, penche carrément du côté obscur en tant qu’outil sciemment modifié pour contourner les limites autant éthiques que légales, afin, notamment, de faciliter des actes malveillants grâce à la prodigieuse puissance des LLM (Large Linguage Model).

Les origines

Dès 2023, soit dès l’émergence publique des premiers LLM, des forums spécialisés dans le piratage informatique ont flairé l’aubaine, et ont commencé à partager leurs expériences avec des modèles de langage open source.

En modifiant ces derniers, ils ont réussi à supprimer les filtres préventifs qui, dans les applications grand public comme ChatGPT ou Gemini, limitent la génération de contenu immoral, potentiellement dangereux, ou simplement jugé comme tel.

Ainsi est né WormGPT, un outil qui répond à toutes les questions, et qui est tout aussi capable de fournir des instructions et du contenu propices à des usages criminels.

WormGPT : évolution et variantes

Comme tout bon outil, au fil du temps, WormGPT a évolué et s’est diversifié : des variantes sophistiquées ont été vues sur des marchés clandestins, souvent diffusées via des canaux cryptés, tels que Telegram ou sur le Darknet, via TOR.

Chaque nouvelle version est optimisée pour contourner les dernières mises à jour des systèmes de détection informatiques, rendant la tâche des professionnels de la cybersécurité toujours plus ardue.

Quel paradigme ?

Comme nous l’avons vu, WormGPT repose sur des modèles de langage similaires à ceux utilisés dans les applications grand public, mais avec une différence cruciale : l’absence quasi totale de filtres éthiques et de modérateurs de contenu !

Ce manque de réglementation permet à ses utilisateurs d’obtenir des réponses, ou des scripts détaillés qui, normalement, seraient automatiquement refusés par des systèmes dédiés préventifs.

Ainsi, WormGPT peut être sollicité pour générer des courriels de phishing élaborés, des scripts malveillants, ou même des conseils techniques pour contourner des dispositifs de sécurité, voire pire encore, selon la façon et les corpus avec lesquels il a été partiellement réentraîné.

Et techniquement ?

Sur le plan technique, WormGPT n’est pas forcément plus performant en termes de génération de texte que ses homologues « éthiques », mais il est plus « sincère ».

Dès lors, cette absence de garde-fous en fait un outil puissant pour ceux qui souhaitent exploiter la technologie à des fins illégales.

Par exemple, un pirate pourrait lui demander de générer un script en PowerShell capable d’extraire des données sensibles ou de contourner des dispositifs de sécurité, alors que cette même requête serait immédiatement bloquée par un modèle spécialisé dans la prévention de comportements malveillants.

Il en irait de même pour la confection d’un engin explosif, incendiaire, ou pour tout autre dispositif particulièrement dangereux.

Exemples d'utilisation

• Aide au phishing

L’un des usages les plus classiques de WormGPT concerne la création d’emails de phishing personnalisés.

Un pirate peut demander au modèle de rédiger un message imitant à la perfection la communication d’une institution bancaire ou d’une grande entreprise, en intégrant des éléments de langage subtils qui rendent le courriel difficile à distinguer d’un message légitime.

Cette capacité à reproduire fidèlement le style et le ton d’un émetteur de confiance en fait une arme redoutable dans la cybercriminalité internationale.

• Création de scripts malveillants

En exploitant ses facultés de traitement du langage, WormGPT est capable de générer du code informatique à la demande, et souvent d’une qualité surprenante.

Des scripts personnalisés destinés à automatiser des attaques, contourner des protections logicielles ou exploiter des vulnérabilités, en sont quelques exemples notoires.

Par exemple, en fournissant les bases d’un script en PowerShell bien structuré, le modèle peut aider un hacker à automatiser la collecte d’informations sensibles sur un système Windows, et ce, à la barbe des antivirus classiques.

• Conseils techniques pour des attaques ciblées

Au-delà de la simple génération de contenu, WormGPT offre également des conseils techniques très avancés, surtout si les questions sont ciblées.

Des hackers l’utilisent pour obtenir des recommandations sur les moyens de contourner certains protocoles de sécurité ou pour lancer des attaques de type Business Email Compromise (BEC), plus connues sous le nom de « fraude du Président ».

Cette dernière, particulièrement dangereuse, consiste à imiter un courriel d’un cadre existant d’une grande entreprise, ton et signature compris, afin d’obtenir des informations confidentielles, voire un versement direct d’argent…

Même si ces informations ne constituent pas directement un tutoriel, elles fournissent une précieuse base pour les cybercriminels qui peuvent affiner leurs méthodes sur de solides bases techniques.

En quelque sorte et, comme pour tout utilisateur intensif de l’IA, les pirates informatiques ne sont pas remplacés, mais « augmentés » par ces nouvelles capacités.

Quels enjeux ?

L’existence même de WormGPT soulève de nombreuses questions sur la responsabilité des développeurs, et de la communauté technologique.

Tandis que les grands acteurs de l’IA mettent en place des mécanismes de sécurité rigoureux (parfois trop) pour éviter l’utilisation abusive de leurs outils, WormGPT montre que toute technologie peut être détournée lorsque ces dispositifs sont supprimés ou contournés.

Et du côté du bouclier ?

Comme d’habitude avec un temps de retard, les chercheurs en cybersécurité travaillent activement pour détecter et contrer l’utilisation d’outils comme WormGPT…

L’objectif est, notamment, de renforcer les systèmes de filtrage et d’identifier, en amont, les comportements suspects sur le dark web, ainsi que sur les forums clandestins, mais pour cela, il faut des équipes hautement spécialisées, hors de portée budgétaire des PME…

Parallèlement, la réflexion sur une régulation accrue de l’IA se heurte aux légitimes exigences de liberté de recherche, et aux limites, tout aussi légitimes, de la surveillance dans une société libre, illustrant la complexité d’un sujet aux implications aussi globales.

Conclusion

WormGPT incarne la face cachée d’une révolution technologique : elle illustre comment des outils, aussi puissants qu’innovants, peuvent être pervertis pour servir des ambitions malveillantes, mais pas que…

En effet, certains milieux alternatifs diront que, pour dangereux qu’ils soient, WormGPT et ses cousins « libres » n’en sont pas moins débarrassés de toute censure ou autre idéologie bien-pensante, voire politiquement orientée... Qu’ils sont, en quelque sorte, l’état actuel du savoir humain « brut », et qu’à ce titre, ils doivent être considérés comme un outil de liberté ultime à l’heure des IA « mainstream » corsetées et moralistes.

Certes.

Et ce d’autant que l’histoire des techniques, comme l’histoire tout court, nous enseigne qu’un progrès n’est jamais intrinsèquement mauvais : pourtant, tous, du silex à l’atome, du feu à l’électricité, de l’écriture à la programmation, tous peuvent être utilisés pour tuer, pour asservir, pour tromper…

Pourtant, que seraient nos civilisations sans ces progrès ?

Alors, l’humain fera avec les IA, mêmes déviantes, ce qu’il a toujours fait, il s’adaptera, il légiférera, et tentera de contenir, tant bien que mal, les bouleversements introduits par les nouvelles technologies et leurs inévitables débordements…

Et jusqu’ici, petite note optimiste du rédacteur, cela ne lui a pas trop mal réussi…