101 134 comptes dispos sur le dark web, qu'en pense OpenAI ?

L'info n'est pas vraiment passée inaperçue, on se doute bien qu'une boîte autant sous le feu des projecteurs telle que l'est OpenAI via entre autres ChatGPT depuis la fin de l'année dernière, est également une cible de choix pour les hackers de tous genres, toujours dans l'optique d'un hacking éthique bien entendu. Déjà en mai dernier, la firme révélait une vulnérabilité dans la librairie open source Redis, le système de gestion de base de données qu'utilise ChatGPT, qui permettait juste d'accéder à une partie — le titre — des logs d'un utilisateur actif. Et le 20 mars dernier, la firme avait également reconnu avoir accidentellement exposé, pour les mêmes raisons, les informations de comptes premiums.

Malgré les initiatives, notamment le programme bug bounty annoncé en avril, il a été reporté d'après le groupe-IB, structure spécialisée dans la cybersécurité née en 2003 de confession moscovite puis basée à Singapour depuis 2019, que pas moins de 101 134 (c'est précis !) comptes compromis ont été rendus négociables sur le dark web entre juin 2022 et mai 2023, avec un nombre inquiétant de presque 29 000 uniquement sur mai 2023, en augmentation constante. Toujours selon la même source, ces données ont été récupérées via du bon vieux malicious software, avec en tête de pont les infostealer Raccoon, Vidar ou encore RedLine. Rendez-vous chez Sekio.io — de confession française cette fois ! — pour avoir une bonne idée de l'ampleur du réseau.

Rappelons à titre éducatif que ces saloperies, dans leur grande majorité, se contractent non pas en roulant une pelle à la voisine, mais plutôt au détour de visites vers des sites cépasbien ou des téléchargements en provenance de ces derniers, qui après être passé par quelques URL tampons pour tromper les solutions de protection aboutissent sur une archive vérolée et non détectée comme telle.

Mais aussi aux détours de recherches sur des logiciels populaires et répandus — notepad++, 7-zip, zoom, teamviewer, goat simulator par exemple — téléchargés depuis des sources non officielles.

Ou encore des recherches plus précisément sur le sujet de ce billet, ChatGPT ou Midjourney, vous amenant sur des sites douteux vous proposant un téléchargement d'un ChatGPT.exe qui, de manière plus insidieuse, utilisera un script powershell chat-va-te-peter.ps1 et via des outils comme Webview2 ira tranquillement charger une URL légitime comme chat.openai.com dans un pop-up, légitimant le trafic de l'exécutable, pendant que le malware fait son boulot dans votre système sans déclencher la moindre alerte sécuritaire. Des modus operandi très répandus sur des pseudo vidéos de tutoriels générées par IA de Youtube et autres influenceurs grassement soudoyés — ou plus grave, dont c'est le métier : les traffers — vous invitant à récupérer de précieux sésames pour pas un rond parce que vous êtes uniques, qu'ils vous aiment, en qu'en plus il le font avec un lien raccourci parce que c'est mieux pour la planète. Le tout pointant au final sur des binaires pas fréquentables du tout hébergés sur Discord, MediaFire, google drive, Telegram, voire même gitHub.

Bien sûr ça marche aussi très bien aux détours de sites sur la pétanque, sans doute même les plus efficaces pour attraper l'internaute nigaud capté par d'autres attentions. En bref, toute une histoire d'éducation sur les usages d'internet de bon aloi, ou non. Il y a du boulot sur le sujet !

L'honneur est sauf en France, on est moins débiles qu'ailleurs

Et bien figurez-vous que c'est exactement la réponse d'OpenAI, interrogé sur le sujet des fuites par TH, récusant la source non pas comme étant la conséquence d'une énième faille, mais plutôt du comportement candide (ça, c'est la version corporate) des utilisateurs :

Quel intérêt pourriez-vous rétorquer d'aller acheter sur le dark web des identifiants ? Au-delà de l'accès aux données personnelles, du fait que l'historique soit stocké sur l'application sauf à la nettoyer manuellement, il peut aussi contenir des informations plus sensibles : sur votre employeur, votre propre business, voire des documents classés comme le reportait il y a quelques jours le quotidien Telegraph... Quoi qu'il en soit, et quels que soient les faits réels derrière, la réponse d'OpenAI compte tenu du rapport pointant les malwares, n'aurait su être différente et surtout se révèle être pleine de bon sens, l'occasion parfaite de faire une pîqure de rappel sur le sujet histoire d'éviter de trop simplifier la tâche de nos amis les chimpanzés hackeurs. Pour sécuriser davantage les accès, une bonne idée aurait peut-être été d'installer un 2FA, hein OpenAI ? Comment ça, il est en pause ?