Des failles dans Gemini AI exposent à de l'injection de prompt

Trois vulnérabilités dans les outils Gemini AI de Google ont exposé Cloud Assist, Search et Browsing à des risques d'injection de prompts mais aussi de manipulation logique et de fuites de données furtives. Elles ont été corrigées.

Les chercheurs en sécurité de Tenable ont révélé trois vulnérabilités distinctes dans les composants Cloud Assist, Search Optimization et Browsing de Gemini. Si elles sont exploitées, ces failles permettent aux attaquants d'injecter des prompts, de détourner la logique de l'IA et de siphonner discrètement les données privées des utilisateurs, en contournant même bon nombre des mesures de sécurité intégrées de Google. L’ensemble de ces failles a été baptisé Gemini Trifecta. « Gemini Trifecta de Tenable confirme que les agents eux-mêmes deviennent des vecteurs d'attaque lorsqu'ils se voient accorder trop d'autonomie sans garde-fous suffisants. Le schéma est clair : les journaux, les historiques de recherche et les outils de navigation sont tous des surfaces d'attaque actives », a déclaré Itay Ravia, directeur d'Aim Labs, l'équipe de cybersécurité qui a été la première à documenter une attaque similaire de type zero clic appelée EchoLeak sur Microsoft 365 Copilot. Google a depuis corrigé le problème, mais les chercheurs ont souligné que cet épisode était un signal d'alarme pour l'ère de l'IA.

D'autres services cloud de Google potentiellement vulnérables

La fonctionnalité Gemini Cloud Assist aide les utilisateurs à résumer et à interpréter les journaux cloud (en particulier dans Google Cloud). Tenable a découvert que ce service pouvait être abusé par un attaquant afin d'intégrer du contenu spécialement formaté, par exemple, via un en-tête HTTP User-Agent manipulé, dans un journal. Le contenu modifié est ensuite intégré dans les journaux, que Gemini ingère et résume par la suite. Dans un PoC partagé dans un billet de blog, les chercheurs ont envoyé des fragments de prompts malveillants via le champ User Agent à un point de terminaison Cloud Function. Lorsque Gemini a ensuite « expliqué » l'entrée du journal, celle-ci comprenait un lien prêt à être utilisé pour le phishing, dérivé de l'entrée manipulée, bien que le prompt complet ait été masqué derrière une section « Détails supplémentaires sur l'invite » réduite. « Comme les journaux sont omniprésents et souvent considérés comme des artefacts passifs, cette manipulation transforme pratiquement tous les points de terminaison cloud accessibles au public en une surface d'attaque », ont mis en garde les chercheurs. De plus, le blog indique que plusieurs autres services Google Cloud, notamment Functions, Run, App Engine, Load Balancing, etc., pourraient être tout autant exploités de manière abusive si les journaux étaient utilisés dans le cadre d'un résumé assisté par l'IA.

Le deuxième vecteur exploite la personnalisation de la recherche de Gemini. Comme le module de recherche Search de Gemini utilise les requêtes passées d'un utilisateur comme contexte, un attaquant pourrait utiliser des astuces JavaScript pour insérer des « requêtes de recherche » malveillantes dans l'historique du navigateur d'un utilisateur. Lorsque Gemini lit cet historique comme contexte, il traite ces invites injectées comme des entrées légitimes. « Le problème sous-jacent était l'incapacité du modèle à faire la différence entre les requêtes légitimes des utilisateurs et les invites injectées provenant de sources externes », ont ajouté les chercheurs. « L'astuce JavaScript permettant d'injecter l'historique de recherche des victimes consistait à bloquer la redirection vers l'API Search de Google, tout en attendant suffisamment longtemps pour qu'elle soit enregistrée dans l'historique de recherche sans pour autant rediriger la page. »

Des moyens de protection mis en place

Même après l'injection de prompt, l'attaquant a besoin d'un moyen d'extraire les données, et c'est ce que permettait la troisième faille affectant l'outil de navigation Browsing Tool de Gemini. Les chercheurs de Tenable ont conçu des invites pour inciter Gemini à récupérer du contenu web externe à l'aide du Browsing Tool, en intégrant les données de l'utilisateur dans la chaîne de requête de cette demande. L'appel HTTP sortant a ainsi transmis les données sensibles de l'utilisateur à un serveur contrôlé par l'attaquant, sans recourir à des liens visibles ou à des astuces de balisage. Cette découverte est remarquable, car Google dispose déjà de mesures d'atténuation comme la suppression du rendu des hyperliens ou le filtrage des balises d’images. L'attaque a contourné ces défenses au niveau de l'interface utilisateur en utilisant l'invocation de l'outil de navigation de Google comme canal d'exfiltration.

Même si Google n'a pas immédiatement répondu à une demande de commentaires, Tenable a déclaré que le géant du cloud avait corrigé tous ces problèmes en nettoyant les sorties de liens dans le Browsing Tool et en mettant en place des protections plus structurelles dans Gemini Cloud Assist et Search. Les attaques par injection d’invites existent depuis l'apparition de l'IA, tout comme d'autres méthodes sophistiquées visant à subvertir ces modèles intelligents, notamment EchoChamber, EchoLeak et Crescendo. « Ces faiblesses sont intrinsèques à la manière de concevoir les agents actuels, et nous continuerons à les voir réapparaître sur différentes plateformes jusqu'à ce que des protections d'exécution soient largement déployées », a fait remarquer M. Ravia.