Active Directory (AD) est un service d'annuaire utilisé par 90 % des entreprises pour gérer leurs ressources informatiques. AD est dédié à l'authentification, l'autorisation et la comptabilisation des utilisateurs, des ordinateurs et des autres ressources d'un réseau. C'est donc une cible de choix pour les attaquants qui cherchent à accéder à des informations ou à des ressources sensibles.
ChatGPT : Une bénédiction ou une malédiction pour la sécurité d’AD ?
Matthieu Trivier, Director of Pre-Sales chez Semperis, partage son expertise sur le sujet Active Directory et ChatGPT.
Jusqu’à récemment, pour compromettre l’infrastructure AD d’une entreprise, il fallait se familiariser avec de nombreux outils et techniques d’attaque et avoir une connaissance approfondie de plusieurs protocoles d’authentification et d’autorisation.
Cependant, avec l’arrivée de ChatGPT, une IA générative accessible au grand public, même un cyberattaquant non initié peut préparer des attaques majeures.
En contrepartie, les défenseurs peuvent aussi utiliser cette plateforme pour protéger leur environnement et réduire l’impact d’une attaque.
Cette technologie est-elle donc nuisible ou utile à la sécurité d’AD ?
Comment les cyberattaquants peuvent-ils tirer profit de ChatGPT ?
En étant accessible au grand public, la version 3.5 permet aux cyberattaquants d’utiliser la technologie à leurs propres fins. Comment procèdent-ils ?
Sites Web et applications de phishing
Les sites Web de phishing existent depuis l’avènement d’Internet. Les premières attaques d’hameçonnage étaient réalisées uniquement par e-mail, mais à mesure que les personnes ont appris à reconnaître et à éviter les courriels suspects, les attaquants se sont tournés vers la création de faux sites Web qui imitent des sites officiels afin de dérober les identifiants de connexion ou les informations personnelles. Ces tentatives exploitent souvent des tendances émergentes dans divers domaines pour appâter des victimes peu méfiantes. Avec l’introduction des smartphones, par exemple, les campagnes de phishing ont commencé à inclure des applications mobiles malveillantes.
Depuis la sortie de ChatGPT et le battage médiatique qui s’en est suivi, de nombreuses campagnes de phishing se sont fait passer pour des sites Web et des applications mobiles de ChatGPT. Ces campagnes encouragent les visiteurs à télécharger et à installer des logiciels malveillants, voire à fournir les détails de leur carte de crédit. Les sites Web et les applications sont souvent diffusés par le biais de profils et de publicités sur les réseaux sociaux afin de maximiser le nombre de victimes.
Campagnes de phishing assistées par ChatGPT
. Toute campagne de phishing est en grande partie caractérisée par l’invention d’un prétexte (pretexting) efficace et crédible afin de tromper la victime pour qu’elle révèle des informations sensibles. Ce prétexte est généralement conçu pour générer un sentiment d’urgence ou d’importance.
Par exemple, un attaquant peut se faire passer pour une figure d’autorité digne de confiance, comme un représentant d’une banque ou un membre du personnel d’assistance informatique. Sous cette fausse identité, l’attaquant informe la victime visée d’une prétendue faille de sécurité ou d’une menace de fermeture de compte. Il demande ensuite à la victime ses identifiants de connexion ou d’autres informations personnelles afin de résoudre la menace.
Le pretexting est une tactique courante dans les campagnes de phishing et peut être difficile à détecter. L’attaquant peut avoir effectué des recherches approfondies pour créer un scénario convaincant. Mais heureusement il y a souvent certains indices qui ne trompent pas, comme les fautes d’orthographe et de grammaire, ou une mise en forme et une syntaxe inhabituelle.
De nombreux cyberattaquants externalisent désormais le pretexting à ChatGPT. Bien que ChatGPT n’accepte pas les requêtes lui demandant de créer un prétexte crédible pour une campagne de phishing, il est facile de contourner cette limitation, comme le montrent les figures 2 et 3. Le pretexting semble parfaitement adapté aux capacités de l’IA générative de ChatGPT, augmentant ainsi le taux de réussite des campagnes de phishing.
Chaînes d’attaques assistées par ChatGPT
Les cyberattaquants peuvent également utiliser ChatGPT pour préparer des attaques majeures contre une organisation, même avec très peu de connaissances techniques. La « conversation » dans les figures 4 et 5 illustre la technique consistant à consulter ChatGPT pour déterminer un mode d’attaque.
L’attaquant demande ensuite comment exécuter l’attaque Golden Ticket mentionnée par ChatGPT. Comme le montrent les figures 6 et 7 (rognées pour exclure la liste complète des étapes), ChatGPT émet quelques réserves éthiques lorsqu’il s’agit de répondre, mais celles-ci semblent disparaître une fois que notre attaquant joue le rôle du hacker éthique !
Si l’« attaquant éthique » autoproclamé suit ces instructions, il peut obtenir un accès complet, assisté par l’IA, au domaine de l’organisation visée.
Comment les défenseurs de la cybersécurité peuvent-ils utiliser ChatGPT ?
Il est clair que ChatGPT est un outil puissant dont les cyberattaquants peuvent abuser. Mais il peut également être utilisé à bon escient.
Les équipes bleues, chargées de défendre les organisations, peuvent exploiter la puissance de l’IA générative pour de multiples actions bienveillantes, notamment :
- La correction des erreurs de configuration de sécurité
- La surveillance des composants de sécurité critiques
- La limitation des dégâts potentiels en cas de compromission
La conversation illustrée dans les figures 8, 9 et 10 montre comment un défenseur peut utiliser ChatGPT pour identifier et atténuer un risque de sécurité important sous la forme de délégations Kerberos non contraintes. Vous vous demandez ce qu’est une délégation Kerberos non contrainte ? ChatGPT pourra vous répondre.
Attention : Vérifiez toujours les scripts générés par l’IA avant de les mettre en œuvre. Certains peuvent contenir de simples bugs qui peuvent endommager votre système, voire pire.
L’IA générative : une arme à double tranchant
L’accessibilité au public de ChatGPT et de l’IA générative a déjà changé la façon dont nous interagissons avec les machines. Avec le développement de nouveaux modèles d’IA et la mise sur le marché de nouvelles versions, cette technologie a le potentiel de devenir une véritable révolution, peut-être plus puissante que l’invention d’Internet et des téléphones portables.
Comme toute avancée technologique, cette nouvelle technologie a rapidement été utilisée de manière abusive par des cyberattaquants cherchant à maximiser le préjudice qu’ils peuvent occasionner.
Heureusement, les RSSI ou hackers éthiques peuvent également exploiter cette technologie pour mieux protéger les organisations, plus rapidement et plus efficacement que jamais.
Téléchargez cette ressource
Travail à distance – Guide complet pour les Directions IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.