ChatGPT Plus : comment les pirates parviennent à voler des comptes payants, et à quoi leur servent-ils ?

Alexandre Boero
Chargé de l'actualité de Clubic
17 avril 2023 à 16h30
8
Le vol de comptes ChatGPT Plus, une nouvelle tendance chez les hackers © Shutterstock
Le vol de comptes ChatGPT Plus, une nouvelle tendance chez les hackers © Shutterstock

Les experts cyber s'inquiètent de la hausse du trafic de comptes ChatGPT premium, utilisés pour contourner certaines restrictions d'OpenAI, mais aussi pour développer un nouveau business parallèle.

Les dérives autour de ChatGPT ne manquent pas, notamment sur le plan de la cybersécurité, où certains ont exploité les capacités de l'intelligence artificielle générative pour créer de redoutables malwares. Mais aujourd'hui, les chercheurs de Check Point Research (CPR) nous alertent sur la tendance du vol de comptes ChatGPT Premium, la version payante du robot conversationnel, que l'on retrouve de plus en plus sur les forums clandestins, le marché de la récupération de comptes étant l'un des plus lucratifs sur le dark web.

ChatGPT séduit de plus en plus les hackers

Si, historiquement, la récupération de comptes touchait les réseaux sociaux, les sites de rencontres, les banques et autres systèmes de paiement en ligne ou plateformes de contenus, voilà qu'on peut désormais ajouter à cette liste les comptes ChatGPT Plus qui, en échange de 20 dollars par mois, permettent de profiter de certains avantages, comme un accès garanti à l'IA générative même durant les heures de pointe, un temps de réponse plus rapide ou un accès prioritaire aux nouvelles fonctionnalités.

Les avantages liés aux comptes ChatGPT Plus séduisent les pirates, qui peuvent utiliser ces derniers de plusieurs manières, et en premier lieu pour contourner les restrictions de géofencing (ces fameuses barrières géographiques virtuelles) imposées par OpenAI pour barrer son robot dans des pays comme la Chine, la Russie et l'Iran.

Les chercheurs de CPR constatent, depuis le mois de mars, une augmentation des discussions et des activités commerciales sur les comptes ChatGPT premium volés. La question des données personnelles est une nouvelle fois posée, puisque lorsque les hackers volent des comptes existants, « ils ont accès aux requêtes du propriétaire original du compte », rappellent les spécialistes, avec une vue royale sur les prompts (les requêtes) restées en mémoire, qui peuvent fournir de précieuses informations sur vos goûts, votre entreprise, votre vie privée ou vos activités de façon générale, tout dépend de vos « discussions » avec le robot. Mais comment se passe la vente de comptes ChatGPT volés ?

Les comptes ChatGPT volés ont la cote sur les forums de cybercriminels

Les cybercriminels savent que les utilisateurs sont nombreux à avoir le même défaut : ils utilisent le même mot de passe sur plusieurs sites, services et plateformes. Les hackers chargent ainsi des ensembles de combinaisons (e-mails et mots de passe) dans un logiciel vérificateur de compte et lancent une attaque contre une plateforme en ligne, « pour identifier les ensembles des identifiants qui correspondent à l'ouverture de session sur la plateforme », expliquent les chercheurs de CPR. Le compte est alors définitivement hacké dès lors qu'un pirate en prend le contrôle sans son autorisation.

Discussions sur les forums clandestins sur les comptes ChatGPT et ChatGPT Plus volés © Check Point Research
Discussions sur les forums clandestins sur les comptes ChatGPT et ChatGPT Plus volés © Check Point Research

Sur les forums pirates, les sujets qui évoquent la fuite ou la vente de comptes ChatGPT Plus sont plus fréquentés que jamais. Mais que font les hackers des comptes volés ? La plupart du temps, ils les vendent. D'autres individus malveillants partagent gratuitement des identifiants de comptes ChatGPT volés, pour soigner leur « carte de visite », autrement dit pour faire la promotion de leurs propres services ou outils de vol de comptes.

Ici, un hacker partage gratuitement 4 comptes ChatGPT premium © Check Point Research
Ici, un hacker partage gratuitement 4 comptes ChatGPT premium © Check Point Research

Les pirates utilisent régulièrement la technique de l'attaque par force brute (bruteforcing), qui permet de lancer des requêtes auprès d'une application web cible et de procéder à de la vérification de compte, pour en dérober l'accès. Les chercheurs de CPC ont débusqué des cybercriminels qui proposaient un ficher de configuration pour SilverBullet (une suite configurable de tests web), qui permet de voler le compte d'un site web de façon automatisée.

Les pirates ont réussi à voler des comptes à grande échelle

« Dans ce cas précis, CPR a identifié des cybercriminels qui proposaient un fichier de configuration pour SilverBullet lequel permettait de vérifier un ensemble d'identifiants pour la plateforme OpenAI de manière automatisée », expliquent les chercheurs cyber. Les hackers ont ainsi pu voler des comptes à grande échelle, avec un nombre de vérifications par minute qui oscille entre 50 et 200. « Il prend également en charge la configuration d'un proxy, ce qui lui permet dans de nombreux cas de contourner les différentes mesures de sécurité mises en place sur les sites web pour lutter contre ce type d'attaques », ajoutent-ils.

Ici, un pirate propose un fichier de configuration OpenAI pour SilverBullet © Check Point Research
Ici, un pirate propose un fichier de configuration OpenAI pour SilverBullet © Check Point Research

Sur certains forums, on retrouve même des offres de ChatGPT Plus « à vie » à tarif réduit (24,99 dollars seulement !), avec des avis positifs laissés par des utilisateurs sur ce service tout à fait illégal.

ChatGPT
Télécharger
ChatGPT
  • Chat dans différentes langues, dont le français
  • Générer, traduire et obtenir un résumé de texte
  • Générer, optimiser et corriger du code

Créé par OpenAI, ChatGPT est un chatbot avancé propulsé par le modèle linguistique de dernière génération GPT-4. En exploitant des technologies d'apprentissage en profondeur et d'intelligence artificielle, ce chatbot a la capacité de déchiffrer et de comprendre les demandes des utilisateurs. Grâce à son habileté à générer du texte de manière ingénieuse, ChatGPT offre des réponses adaptées et pertinentes, garantissant une interaction de chat fluide et une expérience utilisateur optimisée.

Créé par OpenAI, ChatGPT est un chatbot avancé propulsé par le modèle linguistique de dernière génération GPT-4. En exploitant des technologies d'apprentissage en profondeur et d'intelligence artificielle, ce chatbot a la capacité de déchiffrer et de comprendre les demandes des utilisateurs. Grâce à son habileté à générer du texte de manière ingénieuse, ChatGPT offre des réponses adaptées et pertinentes, garantissant une interaction de chat fluide et une expérience utilisateur optimisée.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (8)

jvachez
La raison c’est comme tout le reste, ça fait encore un abonnement de plus donc ça intéresse du monde de faire des économies.
ABC
Et voilà ! Ça n’a pas trainé…
nicgrover
Je présume que ceux qui se sont fait hacker leur compte l’ont signalé à OpenAI et que celui-ci a permis de récupérer le compte ou l’a tout simplement fermé, empêchant toute utilisation frauduleuse…<br /> Je présume…
toto1234
Et oui, pas de 2FA sur OpenAI ce qui est assez invraisemblable sur le 21ème site le plus visité au monde et vu la quantité délirante de données persos stockées dessus.<br /> https://www.similarweb.com/top-websites/<br /> 2fa.directory<br /> 2FA Directory<br /> List of sites with two factor auth support which includes SMS, email, phone calls, hardware, and software.<br /> Bon à leur décharge, le système de compte n’est ouvert à tous que depuis septembre sans liste d’attente. Ils sont peut-être un peu dépassés par le phénomène (quoique pour ouvrir le service payant, ça a été plus vite).
Joeee
A défaut d’une authentification via le mobile, un bon vieux certificat client permettrait déjà de bien sécuriser la chose. En effet je pense que ce type d’outil, ce n’est pas quelques choses d’anodin.
Proutie66
Si cela intéresse certains. Il m’est arrivé plus ou moins cela ce weekend.<br /> Sur un site paumé avec une ultra faible audience, j’avais activé un plugin WP pour du chat (démo / test). Sur une seule page, même pas sur l’intégralité du site.<br /> C’était uniquement un chat, avec des prompts souhaités.<br /> Un robot est passé, et a spammé (enfin c’est relatif, 1 par période de X secondes ) des questions ,uniquement en russe.<br /> Ce n’est pas du hack au sens littéral, car en soit rien n’est piraté, mais un Robot qui balance des messages à un « chat » sur une page.<br /> Résulat : soft alerte de 5 euros reçu, j’ai désactivé le plugin. (et tant qu’à faire supprimer la clé api, on ne sait jamais).<br /> Preuve que tout ceci est bien organisé, j’en vois pas l’utilité (quel travail pour si peu!, ils sont vraiment pas payé ces mecs).
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

ChatGPT sait même écrire le code informatique d’un… malware ChatGPT sait même écrire le code informatique d’un… malware
ChatGPT : faites attention aux applications clones qui circulent sur iOS et le Play Store en s'attaquant à vos données ChatGPT : faites attention aux applications clones qui circulent sur iOS et le Play Store en s'attaquant à vos données
Récupérer ses données après avoir été piraté : rêve ou réelle possibilité ? Récupérer ses données après avoir été piraté : rêve ou réelle possibilité ?
Cyberattaques : les hackers ciblent de plus en plus les jeunes joueurs sur des jeux très populaires Cyberattaques : les hackers ciblent de plus en plus les jeunes joueurs sur des jeux très populaires
RomCom RAT : attention, le cheval de Troie se fait passer pour des logiciels bien connus ! RomCom RAT : attention, le cheval de Troie se fait passer pour des logiciels bien connus !