Home Technologie et scienceGoogle corrige une faille de Gemini Enterprise qui exposait des données d’entreprise

Google corrige une faille de Gemini Enterprise qui exposait des données d’entreprise

by Thomas Caron

Publié le 10 décembre 2025 à 12h05. Google a corrigé une faille de sécurité critique dans Gemini Enterprise, son outil d’intelligence artificielle pour les entreprises, qui aurait pu permettre à des attaquants d’exfiltrer des données sensibles sans aucune interaction de la part des utilisateurs.

  • Une vulnérabilité « zéro clic » a été découverte dans Gemini Enterprise et Vertex AI Search.
  • Cette faille, surnommée « GeminiJack », permettait l’injection indirecte de commandes malveillantes via des documents courants.
  • Google a déployé des mises à jour et séparé Vertex AI Search de Gemini Enterprise pour corriger la vulnérabilité.

Des chercheurs en sécurité de Noma Security ont identifié en juin 2025 une vulnérabilité majeure dans Gemini Enterprise, l’ensemble d’outils d’assistance à l’IA d’entreprise de Google, ainsi que dans Vertex AI Search, une plateforme Google Cloud dédiée à la création d’expériences de recherche et de recommandation basées sur l’IA. La faille a été signalée à Google le jour même de sa découverte.

Baptisée « GeminiJack » par les chercheurs, cette faiblesse architecturale permettait une forme d’injection indirecte rapide, une technique sophistiquée permettant à des attaquants d’insérer des instructions malveillantes dans des documents apparemment inoffensifs – tels que des e-mails Gmail, des événements Google Calendar ou des documents Google Docs – auxquels Gemini Enterprise avait accès. L’objectif était d’exfiltrer des informations confidentielles de l’entreprise.

L’aspect le plus préoccupant de cette vulnérabilité résidait dans le fait qu’elle ne nécessitait aucune action de la part de l’employé ciblé. Aucune interaction, aucun clic, n’était requis pour déclencher l’attaque, et les mécanismes de sécurité habituels étaient contournés.

Comment fonctionnait GeminiJack

L’attaque GeminiJack reposait sur un processus en plusieurs étapes relativement simple à mettre en œuvre pour un attaquant.

Voici les principales phases de la chaîne d’attaque :

  1. Empoisonnement du contenu : L’attaquant créait un document Google Doc, un événement de calendrier ou un e-mail Gmail contenant des instructions cachées. Ces instructions demandaient à Gemini Enterprise de rechercher des termes spécifiques et d’intégrer les résultats dans une URL d’image externe contrôlée par l’attaquant.
  2. Déclenchement : Un employé effectuant une recherche de routine activait involontairement l’IA et la poussait à traiter le contenu malveillant.
  3. Exécution par l’IA : Gemini récupérait le document de l’attaquant, interprétait les instructions cachées comme légitimes et analysait les données Workspace autorisées à la recherche des termes sensibles.
  4. Exfiltration des données : L’IA incluait la balise d’image malveillante de l’attaquant dans sa réponse. Une fois chargée, le navigateur de la victime envoyait les données volées au serveur de l’attaquant via une requête HTTP standard, contournant ainsi les protections de sécurité classiques.

Cette attaque était possible grâce à l’architecture RAG (Retrieval-Augmented Generation) utilisée par la fonctionnalité de recherche de Google Gemini Enterprise AI. Cette architecture permet aux organisations d’interroger plusieurs sources de données au sein de Google Workspace.

« Les organisations doivent préconfigurer les sources de données auxquelles le système RAG peut accéder. Cette étape de préconfiguration détermine l’étendue des données disponibles pour le modèle Gemini lors du traitement des requêtes. Une fois configuré, le système dispose d’un accès persistant à ces sources de données pour toutes les requêtes des utilisateurs. »

Chercheurs de Noma Security

Selon les chercheurs, la vulnérabilité exploitait une « limite de confiance » entre le contenu contrôlé par l’utilisateur dans les sources de données et le traitement des instructions par le modèle d’IA. Un attaquant pouvait ainsi insérer des instructions malveillantes dans le contenu récupéré et traité par le système RAG.

Noma Security a publié un rapport détaillé sur GeminiJack, incluant un exploit de preuve de concept (PoC) étape par étape, disponible ici.

L’essor de l’IA en entreprise et les risques d’injection indirecte d’invites

Google a confirmé avoir reçu le rapport de vulnérabilité de Noma Security en août et a immédiatement collaboré avec l’équipe de recherche pour la corriger. Des mises à jour ont été déployées pour modifier la manière dont Gemini Enterprise et Vertex AI Search interagissent avec leurs systèmes de récupération et d’indexation.

Dans le cadre de la correction, Vertex AI Search a été complètement séparé de Gemini Enterprise et ne repose plus sur les mêmes flux de travail basés sur un grand modèle de langage (LLM) ni sur les mêmes fonctionnalités RAG.

Cependant, les chercheurs de Noma Security préviennent que cette attaque n’est probablement pas un cas isolé. Ils soulignent que les solutions de sécurité traditionnelles, telles que les pare-feu, les protections des points finaux et les outils de prévention des pertes de données, ne sont pas conçues pour détecter le moment où un assistant IA devient un vecteur d’exfiltration de données.

« À mesure que les agents d’IA bénéficient d’un accès plus large aux données de l’entreprise et d’une plus grande autonomie pour agir selon les instructions, le rayon d’action d’une seule vulnérabilité s’étend de façon exponentielle. Les organisations déployant des systèmes d’IA ayant accès à des données sensibles doivent soigneusement considérer les limites de confiance, mettre en œuvre une surveillance robuste et rester informées des nouvelles recherches sur la sécurité de l’IA. »

Chercheurs de Noma Security

Le National Cyber Security Centre (NCSC) du Royaume-Uni a récemment publié de nouvelles recommandations pour atténuer les attaques par injection rapide.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.