Une triple vulnérabilité touchant Gemini, l’assistant IA de Google, a permis d’exfiltrer des informations privées via ses modules cloud, recherche et navigation. Google a corrigé, mais la leçon reste.
Gemini, présenté comme un pilier de l’assistance intelligente chez Google, vient de révéler son talon d’Achille. Trois vulnérabilités identifiées par Tenable Research démontrent comment un modèle d’IA, censé aider les utilisateurs dans le cloud et la recherche, peut se transformer en vecteur d’attaque. Les correctifs sont déjà appliqués, mais les implications dépassent le cas Google. Elles posent une question centrale : jusqu’où l’IA elle-même devient-elle un outil de renseignement exploitable par des adversaires ?
Trois brèches, un même risque : l’exfiltration
Les chercheurs de Tenable ont baptisé « Trifecta » l’ensemble des vulnérabilités découvertes. Le terme souligne la convergence de trois failles distinctes qui, mises bout à bout, illustrent une logique inquiétante : chaque canal d’entrée des modèles IA devient une porte potentielle d’injection, chaque fonction de sortie un possible conduit d’exfiltration.
La première faille concernait Gemini Cloud Assist. Ce module analyse et résume les journaux issus des services cloud. Or, en modifiant un champ aussi banal qu’un en-tête User-Agent sur une fonction publique, un attaquant pouvait injecter un message invisible à l’œil nu mais interprété par l’IA comme une instruction. Résultat : le résumé généré par Gemini pouvait inclure du contenu malveillant, par exemple un lien de phishing. Le plus inquiétant, c’est que l’interface ne montrait pas l’intégralité de l’injection. L’utilisateur devait cliquer sur « Additional prompt details » pour visualiser le texte caché.
La deuxième faille ciblait le modèle de personnalisation de recherche. Conçu pour ajuster les réponses selon l’historique de navigation, ce composant pouvait être trompé par des injections malveillantes. Un simple script JavaScript sur un site contrôlé par un attaquant suffisait à insérer de faux termes dans l’historique du navigateur. Gemini, croyant traiter des requêtes légitimes, utilisait alors ces entrées comme instructions. De là, il pouvait être amené à révéler des données sensibles stockées comme des informations sauvegardées ou même à partager des indices sur la localisation de l’utilisateur.
La troisième faille concernait l’outil de navigation intégré. Destiné à enrichir les réponses par des recherches en ligne, il devenait un canal de fuite. Lorsqu’une instruction injectée amenait Gemini à appeler une URL externe, l’IA pouvait y insérer des données confidentielles dans la requête HTTP. Ces informations, invisibles pour l’utilisateur puisqu’elles ne figuraient pas dans le texte généré, étaient directement envoyées au serveur de l’attaquant. Cette technique contournait les filtres classiques et démontrait la capacité d’un modèle à devenir son propre cheval de Troie.
Quand l’IA devient un vecteur de renseignement
Ces trois scénarios démontrent un basculement majeur. Historiquement, les systèmes informatiques étaient les cibles à protéger. Ici, c’est la fonction même de l’IA qui bascule du côté de l’attaquant. Gemini n’a pas seulement subi une exploitation : il a été transformé en instrument de collecte et de transmission.
Cette dynamique intéresse directement les acteurs du renseignement. Pour un État, la capacité d’exploiter des IA grand public intégrées à des environnements cloud ou à des moteurs de recherche offre une perspective redoutable. Une attaque discrète, camouflée dans des logs ou dans un historique de navigation, peut se traduire par une fuite continue de données sans lever d’alerte immédiate.
Le modèle de menace n’est donc plus limité à l’intrusion classique. Désormais, l’attaquant peut se contenter de piéger l’IA, laquelle effectuera elle-même l’exfiltration. Cette délégation involontaire modifie l’équilibre entre défense et attaque. Elle oblige les organisations à considérer l’assistant comme un maillon critique à surveiller, au même titre qu’un serveur exposé sur Internet.
Pour les entreprises, cela soulève un problème stratégique : comment garder la maîtrise de données internes quand l’assistant, censé résumer ou analyser, peut être détourné pour envoyer ces mêmes informations vers l’extérieur ? Dans un contexte où l’IA est intégrée à la gestion des logs, à la recherche documentaire et aux outils d’aide à la décision, le risque devient systémique.
⚠️ Êtes-vous une proie facile ?⚠️ ️
Confidentiel • Instantané • Sécurisé • 100 % Made in France
Réaction de Google et implications pour la sécurité
Confronté aux démonstrations de Tenable, Google a réagi rapidement. Trois correctifs majeurs ont été appliqués.
Pour Cloud Assist, les liens hypertextes sont désormais convertis en texte brut afin d’empêcher leur exécution comme vecteurs de phishing. Concernant le modèle de personnalisation, la version vulnérable a été retirée et des protections supplémentaires contre l’injection de prompt ont été mises en place. Quant au module de navigation, il a été restreint pour empêcher l’exfiltration de données via des requêtes externes invisibles.
Ces corrections ferment la brèche immédiate, mais ne résolvent pas le problème de fond : la surface d’attaque des IA intégrées s’accroît à mesure que leurs capacités augmentent. Chaque fonctionnalité utile — résumé de logs, personnalisation de recherche, navigation autonome — devient un levier que l’attaquant peut détourner.
La leçon est claire. Il ne suffit pas de tester la robustesse d’un modèle à la génération de texte. Il faut analyser systématiquement l’écosystème dans lequel l’IA est intégrée : les entrées qu’elle reçoit, les sorties qu’elle peut produire, et les canaux invisibles qu’elle peut activer.
Pour les entreprises, cela signifie mettre en place des garde-fous techniques : contrôler et filtrer les données brutes avant qu’elles ne soient transmises à l’IA, cloisonner les contextes pour éviter que des données privées contaminent la sortie, surveiller en temps réel les appels faits par les modules de navigation ou d’exécution.
À défaut, l’assistant, censé aider, devient un agent double. Et pour les États, l’enjeu dépasse la cybersécurité classique. Il touche au renseignement, à la souveraineté numérique et à la capacité de protéger les infrastructures critiques contre une menace désormais hybride.
Le « Trifecta » de Gemini agit comme un révélateur. L’IA n’est plus seulement une cible à protéger, elle devient un vecteur actif d’exfiltration lorsqu’elle est piégée. Pour les organisations comme pour les États, cette bascule appelle une refonte des méthodes de défense. La question n’est pas de savoir si d’autres assistants subiront le même sort, mais comment anticiper la prochaine exploitation. Comment sécuriser une IA qui, par essence, apprend et intègre tout ce qu’on lui donne, y compris les instructions malveillantes ?
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
Source Tenable – « The Trifecta: How Three New Gemini Vulnerabilities in Cloud Assist, Search Model, and Browsing Allowed Private Data Exfiltration » : https://www.tenable.com/blog/the-trifecta-how-three-new-gemini-vulnerabilities-in-cloud-assist-search-model-and-browsing
