Comment un expert en IA a utilisé ChatGPT pour inverser la situation face à un arnaqueur

En bref

• Un informaticien de Delhi affirme avoir utilisé ChatGPT pour créer un faux site de paiement qui a capturé la localisation et la photo d’un arnaqueur lors d’une tentative de fraude au « transfert militaire ».
• La publication Reddit est devenue virale après que l’arnaqueur aurait paniqué et supplié qu’on le laisse tranquille une fois confronté à ses propres données.
• D’autres utilisateurs de Reddit ont reproduit la technique et confirmé que le code généré par l’IA pouvait fonctionner, soulignant à quel point les outils génératifs bouleversent l’auto-défense contre les arnaques.

Le pôle Art, Mode et Divertissement de Decrypt.

Découvrez SCENE

Lorsqu’un message est apparu sur son téléphone, provenant d’un numéro se présentant comme un ancien contact d’université, un professionnel des technologies de l’information basé à Delhi a d’abord été intrigué. L’expéditeur, se faisant passer pour un officier de l’Indian Administrative Service, affirmait qu’un ami dans les forces paramilitaires était transféré et devait liquider des meubles et appareils haut de gamme à des prix « dérisoires ».

C’était une fraude classique de type « transfert militaire », une arnaque numérique omniprésente en Inde. Mais au lieu de bloquer le numéro ou de tomber dans le piège, la cible affirme avoir décidé de retourner la situation en utilisant la technologie même souvent accusée d’aider les cybercriminels : l’intelligence artificielle.

Arnaquer un arnaqueur

Selon un récit détaillé publié sur Reddit, l’utilisateur, connu sous le pseudonyme u/RailfanHS, a utilisé ChatGPT d’OpenAI pour « coder à la vibe » un site web de traçage. Le piège a permis de récolter la localisation de l’arnaqueur et une photo de son visage, menant à une confrontation numérique spectaculaire où le fraudeur aurait supplié qu’on le laisse tranquille.

Bien que l’identité de l’utilisateur Reddit n’ait pas pu être vérifiée de manière indépendante, et que l’individu reste anonyme, la méthode technique décrite dans le post a été examinée et validée par la communauté de développeurs et d’amateurs d’IA de la plateforme.

L’incident met en lumière une tendance croissante du « scambaiting » — la justice citoyenne où des personnes technophiles tendent des pièges aux arnaqueurs pour leur faire perdre du temps ou exposer leurs opérations — qui évolue grâce à l’IA générative.

La rencontre, qui a largement circulé dans les médias indiens, a débuté selon un scénario bien connu. L’arnaqueur a envoyé des photos de biens ainsi qu’un code QR, exigeant un paiement anticipé. Faisant mine d’avoir des difficultés techniques avec le scan, u/RailfanHS s’est tourné vers ChatGPT.

Il a soumis à l’IA une demande pour générer une page web fonctionnelle imitant un portail de paiement. Le code, décrit comme une « page PHP de 80 lignes », a été secrètement conçu pour capturer les coordonnées GPS du visiteur, son adresse IP et un cliché pris par la caméra frontale.

Le mécanisme de traçage reposait autant sur l’ingénierie sociale que sur une faille logicielle. Pour contourner les protections des navigateurs qui bloquent généralement l’accès silencieux à la caméra, l’utilisateur a expliqué à l’arnaqueur qu’il devait télécharger le code QR via le lien pour « accélérer le processus de paiement ». Lorsque l’arnaqueur a visité le site et cliqué pour télécharger l’image, le navigateur lui a demandé d’autoriser l’accès à la caméra et à la localisation — autorisations qu’il a accordées sans réfléchir, pressé de récupérer l’argent. Image : RailfanHS sur Reddit

« Poussé par la cupidité, la précipitation et une confiance totale dans l’apparence du portail de transaction, il a cliqué sur le lien », a écrit u/RailfanHS sur le fil r/delhi. « J’ai instantanément reçu ses coordonnées GPS en temps réel, son adresse IP et, cerise sur le gâteau, un cliché net de sa caméra frontale, assis. »

La riposte a été immédiate. Le professionnel IT a renvoyé les données récoltées à l’arnaqueur. L’effet, selon le post, a été une panique instantanée. Le téléphone du fraudeur s’est mis à inonder l’utilisateur d’appels, suivis de messages implorant qu’on lui pardonne et promettant d’abandonner sa vie de crime.

« Il suppliait désormais, assurant qu’il arrêterait complètement cette activité et demandant désespérément une seconde chance », relate RailfanHS. « Inutile de préciser qu’il arnaquera probablement quelqu’un l’heure suivante, mais quelle satisfaction de voler un voleur, c’est fou. »

Les Redditors vérifient l’approche

Bien que les récits spectaculaires de justice sur internet suscitent souvent le scepticisme, les bases techniques de ce piège ont été vérifiées par d’autres utilisateurs du fil. Un utilisateur sous le nom u/BumbleB3333 a rapporté avoir réussi à reproduire la « page HTML factice » avec ChatGPT. Il a noté que si l’IA comporte des garde-fous contre la création de code malveillant pour la surveillance silencieuse, elle génère facilement du code pour des sites légitimes demandant les autorisations d’utilisateur — ce qui a piégé l’arnaqueur.

« J’ai pu créer une sorte de page HTML factice avec ChatGPT. Elle capture la géolocalisation lorsqu’une image est téléchargée, après avoir demandé l’autorisation », a commenté u/BumbleB3333, confirmant la plausibilité du hack. Un autre utilisateur, u/STOP_DOWNVOTING, affirme avoir généré une « version éthique » du code pouvant être modifiée pour fonctionner de manière similaire.

L’auteur du post, qui s’est identifié dans les commentaires comme chef de produit IA, a reconnu avoir utilisé des prompts spécifiques pour contourner certaines restrictions de sécurité de ChatGPT. « J’ai l’habitude de contourner ces garde-fous avec les bons prompts », a-t-il expliqué, ajoutant avoir hébergé le script sur un serveur privé virtuel.

Les experts en cybersécurité mettent en garde : si ces « contre-attaques » sont gratifiantes, elles opèrent dans une zone grise légale et comportent des risques. Reste que c’est tentant — et que cela offre un spectacle réjouissant pour les spectateurs.