Un pirate informatique peut-il vraiment vendre des données fabriquées par une intelligence artificielle comme étant réelles ? Dimanche dernier, un utilisateur d’un forum de piratage a publié une offre choquante : des données personnelles de plus de 48 millions de clients d’Europcar auraient été volées. L’utilisateur affirmait détenir de l’information sensible et était ouvert à des propositions pour vendre ces données prétendument dérobées. Comment une telle annonce a-t-elle pu atterrir sur ce forum ?
Europcar, confronté à cette prétendue fuite, a mené son enquête. Mais, les données elles-mêmes, sont-elles authentiques ? La compagnie de location de voitures, par la voix de son porte-parole Vincent Vevaud, indique que la vérification de l’échantillon de données leur permet de croire que cette annonce n’est rien de plus qu’une supercherie. Était-ce une tentative ratée de fraude ou une démonstration des possibilités offertes par l’intelligence artificielle ?
La vérification approfondie de l’annonce a permis à Europcar de faire plusieurs constats troublants : le nombre de dossiers annoncés ne correspondait pas à leur réalité, les données semblables d’être générées par ChatGPT, avec des adresses et des codes postaux fictifs, sans oublier que les adresses courriel n’appartenaient à aucune personne dans leur base de données. Quels mécanismes Europcar a-t-il utilisé pour arriver à ces conclusions ?
L’identité des données révélée fausse: une entreprise peut-elle se protéger efficacement contre de telles annonces mensongères?
L’auteur de la publication persiste et signe en clamant l’authenticité des données, mais sans jamais apporter de preuve tangible. Que cherchait-il à gagner dans cet échange énigmatique avec TechCrunch ?
La liste des données supposément compromises incluait des informations extrêmement sensibles telles que les noms d’utilisateurs, les mots de passe, les noms complets, les adresses résidentielles, les numéros de passeport et les permis de conduire. Comment une telle quantité d’informations pourrait-elle être compilée et ensuite inventée de toute pièce ?
Troy Hunt, qui dirige le service de notification de violation de données Have I Been Pwned, ainsi qu’une analyse de TechCrunch, confirment la supercherie. L’incohérence entre les adresses courriel et les noms des prétendus clients suggère-t-elle un manque de sophistication dans le canular ?
Bien que le doute persiste quant à l’utilisation de ChatGPT pour générer de fausses données, la possibilité que des pirates utilisent un jour ces outils est à considérer. Dans quelle mesure devons-nous revoir nos stratégies de sécurité et de vérification de l’information à l’ère de l’intelligence artificielle ?
Source : Techcrunch