Une nouvelle faille de sécurité concernant les clés API Google met en lumière une menace croissante pour la confidentialité et la sécurité des données en ligne. En effet, depuis l’intégration de Gemini, la plateforme d’intelligence artificielle de Google, les clés API publiques utilisées pour les services Maps ou Firebase se retrouvent désormais liées à des accès bien plus sensibles, notamment aux fichiers privés et à la facturation liée à l’IA.
Les chercheurs de TruffleSecurity ont découvert que près de 3000 clés API valides, souvent exposées dans du code JavaScript, des pages HTML ou même des repositories GitHub publics, permettent d’accéder aux fonctionnalités de Gemini. Ces clés, initialement conçues pour des usages publics comme la cartographie, se sont retrouvées exploitées pour automatiser des requêtes vers Gemini, donnant notamment accès aux fichiers confidentiels des utilisateurs, tout en générant des frais inattendus pour les victimes.
“Ce qui était considéré comme sans risque, avec des clés API publiques, est maintenant une porte dérobée vers des données privées et des coûts additionnels.”
Le problème réside dans le fait que, lors de l’activation de l’API Gemini sur un projet Google Cloud, toutes les clés existantes dans ce projet héritent automatiquement de l’accès à Gemini sans avertissement ni notification préalable. Google a d’abord qualifié ce comportement d’”normal” avant de reconnaître, plusieurs semaines plus tard, qu’il s’agissait bel et bien d’un bug. Cette absence de transparence a permis à des acteurs malveillants de profiter de cette faille sans restriction, ce qui a suscité de sérieuses inquiétudes dans la communauté de la cybersécurité.
Pour se protéger, Google recommande désormais aux utilisateurs de vérifier leurs console.cloud.google.com pour identifier les API “Generative Language” non restreintes, d’ajouter des filtres IP ou referrer, et de privilégier l’utilisation de comptes de service plutôt que de clés API pour gérer Gemini. La documentation officielle de Firebase précise que les clés API ne sont pas conçues pour rester secrètes, accentuant ainsi le risque si celles-ci sont exposées publiquement.
En résumé, la situation montre que des clés apparemment anodines peuvent, en quelques clics, ouvrir la porte à des accès non autorisés, à des fichiers sensibles et à des coûts financiers importants. Après avoir été qualifié de comportement “normal” puis reclassé comme bug, le problème soulève une question cruciale : comment mieux sécuriser cette intégration pour éviter que d’autres clés soient exploitées à des fins malveillantes ?
Google a annoncé de nouvelles mesures de sécurité, telles que des restrictions par scope, le blocage automatique de clés fuitées, et des notifications proactives pour éviter ce type de vulnérabilités à l’avenir. Cependant, il reste à voir si ces actions seront déployées rapidement avant que des acteurs malveillants ne tirent pleinement profit de cette faille.
Pour plus d’informations, vous pouvez consulter cet article de TruffleSecurity, accéder à la console Google Cloud ou suivre les updates via la documentation officielle de Gemini.
