Trois vulnérabilités critiques découvertes dans l’assistant Gemini révèlent les risques systémiques associés aux agents IA intégrés aux plateformes cloud. Dévoilées par Tenable, ces failles permettent des attaques par injection de prompt à partir de simples journaux d’activité ou de l’historique de navigation. Google affirme avoir corrigé les vecteurs identifiés.
L’agent conversationnel Gemini de Google s’est vu exposé à une série de vulnérabilités exploitables par un tiers malveillant pour détourner ses fonctions et exfiltrer des données sensibles. Baptisées « Trifecta », ces trois failles touchent respectivement le module Cloud Assist, la personnalisation de la recherche et l’outil de navigation intégré. Elles partagent une caractéristique commune : la manipulation de l’entrée contextuelle de l’IA via des canaux indirects.
Cette révélation pointe vers les enjeux de sécurité et de confidentialité pour les entreprises adoptant des assistants IA dans leurs processus internes : ces derniers ne sont plus de simples interprètes passifs, mais peuvent devenir des exécutants actifs d’instructions hostiles insérées dans leur environnement contextuel.
Une surface insoupçonnée d’injection via les journaux
Le premier vecteur mis en lumière par Tenable est relatif aux journaux d’activité (logs) collectés dans le cadre des opérations cloud. L’agent Gemini étant utilisé pour générer des résumés automatiques de ces logs, un champ tel que le User-Agent HTTP peut être utilisé pour y glisser une instruction cachée, par exemple une demande d’ouverture de lien ou de récupération de données personnelles. Lors de la production du résumé automatisé l’IA interprète cette instruction comme une commande.
Google aurait neutralisé cette possibilité en désactivant le rendu de texte enrichi dans les résumés générés, limitant ainsi les risques d’exécution. Mais la démonstration rappelle que tout flux analysé par une IA constitue potentiellement une voie d’entrée pour des attaques indirectes. Le principe d’abus de contexte devient un défi de sécurité à part entière.
Personnalisation manipulée, navigation détournée
Deux autres failles complètent cette chaîne d’exploitation. La première affecte le module de recherche personnalisé, qui adapte les résultats en fonction de l’historique de l'utilisateur. En manipulant ce dernier via un script injecté dans une page web, il devient possible d’influencer la formulation des réponses ou de provoquer un comportement inattendu, ouvrant la voie à une compromission ciblée.
La seconde faille exploite la capacité de Gemini à naviguer sur le Web via un outil intégré. En forçant l’IA à suivre un lien malveillant généré dynamiquement, un attaquant peut y intégrer des variables contenant des données de l’utilisateur (identifiant, e-mail, etc.), qui sont alors transmises silencieusement au serveur distant. Une exfiltration discrète et sans alerte.
Un signal d’alerte pour les RSSI et les responsables cloud
Au-delà de ces cas techniques, l’épisode met en évidence un changement de paradigme pour les RSSI et responsables cloud. Avec la généralisation des assistants IA, les modèles de langage ne sont plus périphériques : ils s’intègrent au cœur des chaînes de traitement et de décision. Il devient impératif d’étendre les règles de cybersécurité à leurs comportements et leurs capacités d’interprétation.
La logique de défense doit évoluer : il ne suffit plus de cloisonner les accès ou d’appliquer des filtres classiques. Il faut considérer les IA comme des entités interprétantes, susceptibles d’être manipulées à travers les données d’entrée, et dotées de fonctions exécutables (navigation, appel API, résumé, interaction avec d’autres services).
Vers une sécurisation systémique des assistants IA
Pour les entreprises, cette actualité doit inciter à revoir leurs pratiques de sécurisation des agents IA. Cela passe notamment par une revue des autorisations octroyées aux modèles, une traçabilité fine de leurs interactions, et l’analyse systématique des vecteurs de contexte – logs, historiques, messages système – qui pourraient être détournés à des fins hostiles.
Dans les appels d’offres, l’évaluation de la sécurité ne peut plus se limiter à la conformité du modèle lui-même : elle doit inclure l’ensemble de la chaîne de traitement, y compris les outils et extensions intégrés. La gouvernance des assistants IA devient un enjeu aussi stratégique que celle des accès ou des identités.
À court terme, les DSI et les RSSI peuvent tirer plusieurs enseignements pratiques de l’incident : désactiver les fonctions de navigation non maîtrisées, interdire le résumé automatique de journaux non validés, surveiller les requêtes sortantes générées par l’IA, et segmenter rigoureusement les flux de contexte traités. Un changement culturel autant que technique.
