De plus en plus de cybercriminels se servent de l’IA générative pour créer des campagnes de phishing ou de malware. Pour cela, ils ont besoin d’accéder aux différents modèles du marché avec des accès piratés. Face à cette demande, le dark web fourmille d’offres dans ce domaine en particulier sur les marchés clandestins russophones. Des chercheurs de la société eSentire ont indiqué « les noms d'utilisateur et les mots de passe d'environ 400 comptes GenAI sont vendus chaque jour par les pirates ». Ils ajoutent, « bon nombre de ces informations d’identification sont volées sur les ordinateurs des utilisateurs finaux quand ils sont infectés par un info stealer. Les logs ainsi récupérés, comprenant des identifiants de GenAI se vendent actuellement 10 dollars l’unité sur les marchés underground »
LLM Paradise, parmi les marchés les plus utilisés
Les chercheurs ont indiqué que LLM Paradise était l'un des marchés clandestins les plus importants à faciliter l'échange d’identifiants GenAI. Les propriétaires qui dirigent ce marché sont particulièrement doués pour le marketing. Dans cette plateforme, ils font la promotion des clés d'API GPT-4 et Claude volées avec des bandeaux affirmant que sa place de marché était la seule à proposer « des clés d'API GPT-4 et Claude » et « à des prix imbattables », ont déclaré les chercheurs.
Les cybercriminels « ont fait de la publicité pour des clés API GPT-4 ou Claude à partir de 15 dollars chacune, alors que les prix habituels pour divers modèles OpenAI se situent entre 5 et 30 dollars par million de jetons utilisés », ont ajouté les experts. Pour des raisons inconnues, LLM Paradise a cessé son activité et la boutique a récemment fermé. Cependant, les pirates ont contourné l'obstacle et continuent de diffuser sur TikTok des publicités pour des clés API GPT-4 volées, proposées avant la fermeture de la place de marché. Outre les API GPT-4 et Claude, d'autres identifiants notamment ceux de Quillbot, Notion, Huggingface et Replit ont été mis en vente sur des places de marché similaires à LLM Paradise.
Des identifiants utilisables pour le phishing, les malwares et les intrusions
Selon les chercheurs d'eSentire, les identifiants volés ont une plus grande valeur entre les mains des cybercriminels en raison de leurs possibilités d’exploitation multiples. « Ils utilisent des plateformes d'IA populaires pour créer des campagnes de phishing convaincantes, développer des logiciels malveillants sophistiqués et produire des chatbots pour leurs forums clandestins », ont-ils expliqué. En outre, ces identifiants peuvent servir à accéder aux comptes genAI d'une entreprise, et ensuite aux informations personnelles et financières des clients, à la propriété intellectuelle exclusive et aux informations personnellement identifiables. Les identifiants piratés peuvent aussi ouvrir l’accès à des données réservées aux entreprises clientes, ce qui affecte également les fournisseurs de plateformes d'IA générative.
Avec plus de 200 identifiants mis en vente chaque jour, la plateforme OpenAI est probablement la plus touchée par le phénomène. Plusieurs mesures sont à la disposition des entreprises pour se défendre contre les attaques ciblant la GenAI, en mettant par exemple en place une surveillance régulière de l'utilisation de la GenAI par les employés, par la mise en œuvre par les fournisseurs de modèles de WebAuthn avec des options MFA, ou encore en incluant de meilleures pratiques en matière de clé d’accès ou de mot de passe pour l'authentification de l'IA générative et en utilisant des services de surveillance du dark web pour identifier les informations d'identification volées.