Des cybercriminels ont trouvé une méthode pour détourner Grok, l’intelligence artificielle intégrée à X, afin de contourner les restrictions de la plateforme et diffuser massivement des liens malveillants. L’IA devient une complice des campagnes de malvertising. Faisons le point.
Le “Grokking” : quand l’IA aide les pirates
La découverte, attribuée au chercheur Nati Tal de Guardio Labs, met en lumière la possibilité de contourner les systèmes de détection de liens malveillants du réseau social X (anciennement Twitter). Ceci montre aussi que Grok, l’IA du réseau social, dispose de certains passe-droits.
Dans une campagne de malvertising, des pirates diffusent des vidéos publicitaires, avec généralement du contenu pour adultes. Leur technique consiste à camoufler l’URL malveillante dans le champ de métadonnées “De :” (“From:”), une ligne discrète située sous la vidéo et qui, de toute évidence, échappe encore au contrôle des algorithmes de sécurité de X. Ici ce même lien serait intégré directement dans le texte du post, il serait détecté par ces mêmes algorithmes de contrôle.
Source : X – Nati Tal
Mais, comment permettre aux utilisateurs de cliquer sur ce lien ? C’est là que l’intelligence artificielle Grok entre en scène. Pour reprendre les termes du chercheur, je dirais même que c’est la technique Grokking qui entre en scène.
Les pirates, à partir d’un compte X, répondent à leur propre post en posant une question simple à l’IA : “Quelle est la source de cette vidéo ?” ou “Quel est le lien de cette vidéo ?”. Grok effectue alors son analyse, tout en tenant compte du champ “De :” dans lequel se cache le lien malveillant. Il extrait alors l’URL malveillante et la publie dans sa réponse, la rendant cette fois-ci parfaitement cliquable par les utilisateurs du réseau social.
Source : X – Nati Tal
Le risque : les utilisateurs font confiance à Grok
Le fait que le lien soit publié par Grok, un compte certifié et de confiance sur X, lui confère une crédibilité et une légitimité immédiates. Il y a alors un réel impact sur la visibilité de la réponse, et donc du lien malveillant :
Booster la portée et la réputation du lien : l’algorithme de X est plus susceptible de mettre en avant une réponse provenant d’un compte vérifié.
Améliorer le référencement (SEO) : le lien est indexé plus favorablement.
Tromper la vigilance des utilisateurs : un lien partagé par l’IA officielle de X semble, a priori, sans danger.
Résultat : le risque est amplifié et les pirates ont réussi leur coup : des publicités malveillantes, qui auraient dû être bloquées, atteignent des millions d’impressions. Ces liens redirigent les internautes vers divers sites malveillants (phishing, notamment), avec à la clé un logiciel malveillant de type infostealer.
Le réseau social X devrait effectuer l’analyse de tous les champs pour détecter les liens malveillants. L’ajout d’une couche de contrôle supplémentaire au niveau de Grok serait aussi judicieux, pour l’empêcher de fournir aveuglément des liens sans qu’ils soient vérifiés au préalable.
Qu’en pensez-vous ?
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.