Une faille inattendue vient d'être débusquée dans Google Gemini pour Workspace. Des chercheurs en sécurité ont mis le doigt sur une vulnérabilité qui permettrait à des acteurs malveillants d'intégrer des instructions cachées directement dans des e-mails. Le piège ? L'assistant IA de Google, en voulant "résumer cet e-mail", reproduirait alors de fausses alertes de sécurité, comme si elles venaient de Google même. Une ruse insidieuse, capable de provoquer des vols de données ou des attaques d'ingénierie sociale, sans le moindre lien ni pièce jointe visible.
Cette attaque, d'une audace nouvelle, s'appuie sur une technique d'injection de prompt indirecte (IPI). Concrètement, des instructions malveillantes sont dissimulées dans le corps de l'e-mail via du code HTML et CSS – imaginez du texte blanc sur fond blanc ou une taille de police invisible – les rendant indétectables au destinataire. Mais quand la victime active la fonction "Résumer cet e-mail" de Gemini, l'IA, piégée, traite ces directives cachées comme des commandes légitimes. Elle génère alors une alerte de sécurité frauduleuse dans son résumé. L'exemple glaçant, fourni par le chercheur Marco Figueroa (Mozilla), montre un avertissement bidon sur un mot de passe Gmail compromis, accompagné d'un faux numéro de support. La force de cette attaque ? Elle repose sur la confiance aveugle des utilisateurs envers les résumés de Gemini, perçue comme une source fiable au sein de Google Workspace.
Comment cette vulnérabilité s'insinue-t-elle dans Google Workspace ?La toile de cette faille s'étend bien au-delà de Gmail. Les chercheurs tirent la sonnette d'alarme : cette vulnérabilité pourrait bien contaminer l'intégration de Gemini à travers tout Google Workspace, y compris Docs, Slides, et même la recherche Drive. C'est une surface d'attaque transversale colossale qui s'ouvre. N'importe quel flux de travail, dès qu'il implique du contenu tiers traité par Gemini, pourrait devenir un vecteur d'injection. Les experts en sécurité tremblent à l'idée de voir des comptes SaaS compromis ne se transformer en "milliers de balises de phishing" via des newsletters automatisées, des systèmes CRM ou des e-mails de ticketing. Le scénario le plus cauchemardesque évoque même de futurs "vers IA", capables de se répliquer en toute autonomie à travers les systèmes d'e-mails, transformant des tentatives de phishing isolées en une pandémie numérique. Un vrai cauchemar pour la cybersécurité des entreprises.
Quelles sont les défenses face à ces attaques "invisibles" ?Face à cette menace sournoise, plusieurs mesures défensives s'imposent, et vite. Elles concernent aussi bien les équipes de sécurité en entreprise que les fournisseurs d'IA comme Google. Pour les sociétés, il est crucial de mettre en place un "HTML linting" en amont, capable de purger ou neutraliser les styles invisibles (comme `font-size:0` ou `color:white`). Des pare-feu LLM (Large Language Model) robustes et des filtres de post-traitement, scannant la sortie de Gemini pour y débusquer numéros de téléphone, URL ou messages d'urgence suspects, sont également vitaux. Mais la première ligne de défense, c'est l'humain : une sensibilisation massive est nécessaire pour qu'il ne considère pas les résumés IA comme des alertes de sécurité faisant autorité. Quant aux fournisseurs d'IA, ils doivent "assainir" le HTML à l'ingestion (nettoyer le texte avant qu'il n'atteigne le modèle), mieux attribuer le contexte pour distinguer le texte généré par l'IA de la source originale, et des fonctionnalités d'explicabilité ("pourquoi cette ligne a-t-elle été ajoutée ?") pour révéler les prompts cachés. Google affirme d'ailleurs renforcer ses défenses via des exercices de "red-teaming" et déploie de nouvelles protections.
Cette vulnérabilité est-elle déjà exploitée "dans la nature" ?À l'heure actuelle, Google assure n'avoir aucune preuve d'exploitation de cette vulnérabilité de Gemini "dans la nature", c'est-à-dire en dehors des démonstrations de chercheurs. La technique reste pourtant bien viable, comme l'a souligné Marco Figueroa. L'entreprise a déjà mis en place des mesures pour contrer des attaques similaires d'injection de prompt signalées depuis 2024. Un porte-parole de Google a précisé que plusieurs de ces défenses sont en cours de déploiement ou sur le point de l'être. La menace est donc très concrète, même si elle n'a pas encore fait de victimes à grande échelle. Cette faille souligne l'émergence d'une nouvelle composante dans la surface d'attaque des systèmes informatiques : les assistants IA. Les équipes de sécurité doivent désormais instrumenter, "sandboxer" (isoler) et surveiller attentivement leurs sorties comme de potentiels vecteurs de menaces. La vigilance est de mise dans ce nouveau chapitre de la cybersécurité.
Foire Aux Questions (FAQ)
Qu'est-ce que la vulnérabilité de Google Gemini pour Workspace ?
C'est une faille de sécurité qui permet à des attaquants d'intégrer des instructions malveillantes invisibles dans des e-mails. Quand la fonction "Résumer cet e-mail" de Gemini est utilisée, l'IA exécute ces instructions et affiche de fausses alertes de sécurité, visant à tromper l'utilisateur.
Comment les instructions malveillantes sont-elles cachées ?
Les attaquants utilisent du code HTML et CSS pour rendre le texte contenant les instructions invisible (par exemple, texte blanc sur fond blanc ou taille de police zéro). Ainsi, le destinataire ne voit pas le piège dans le corps de l'e-mail, mais Gemini le traite lors de la génération du résumé.
Cette faille affecte-t-elle d'autres produits Google ?
Oui, les chercheurs avertissent que la vulnérabilité pourrait s'étendre à d'autres intégrations de Gemini dans Google Workspace, comme Docs, Slides et la recherche Drive, créant une surface d'attaque potentielle pour tout flux de travail impliquant du contenu tiers traité par l'IA.
merci à GNT
