Publié le 9 décembre 2025. Une faille de sécurité critique dans Google Gemini Enterprise a permis à des attaquants de voler des données confidentielles d’entreprises sans aucune interaction de l’utilisateur, exploitant une vulnérabilité au cœur de l’intelligence artificielle.
- Google a corrigé une vulnérabilité, baptisée GeminiJack, qui permettait l’exfiltration de données via des documents, des invitations de calendrier ou des e-mails piégés.
- L’attaque exploitait la manière dont Gemini Enterprise interprète les informations, en exécutant des instructions cachées dans des documents partagés.
- Aucun outil de sécurité conventionnel n’a détecté l’attaque, qui contourne les systèmes de prévention contre la perte de données.
Des chercheurs de Noma Labs ont découvert cette vulnérabilité, initialement repérée dans Vertex AI Search, un autre produit de Google. La faille GeminiJack repose sur une architecture de génération augmentée par récupération (Retrieval-Augmented Generation ou RAG), qui permet à l’IA d’extraire des informations de diverses sources de données pour répondre aux requêtes des utilisateurs. Une fois configuré, le système a un accès persistant à ces sources, notamment Gmail, Google Calendar et Google Docs.
Le scénario d’attaque est particulièrement insidieux. Les pirates informatiques insèrent des instructions malveillantes dans des documents apparemment inoffensifs, tels que des documents Google Docs, des événements Google Calendar ou des e-mails. Lorsqu’un employé effectue une recherche dans Gemini Enterprise, l’IA récupère automatiquement le document compromis et exécute les instructions cachées qu’il contient. Ces instructions incitent l’IA à rechercher des informations sensibles dans les différentes sources de données auxquelles elle a accès.
Les résultats de ces recherches sont ensuite renvoyés aux attaquants via des requêtes d’images externes déguisées. Selon Sasi Levi, responsable de la recherche en sécurité chez Noma Security, Google n’a pas filtré la sortie HTML, permettant ainsi à la balise d’image intégrée de déclencher un appel vers le serveur de l’attaquant lors du chargement de l’image. L’URL contenait alors les données internes exfiltrées.
« Nous avons réussi à exfiltrer de longs e-mails, bien que nous n’ayons pas vérifié la taille maximale de la charge utile. »
Sasi Levi, responsable de la recherche en sécurité chez Noma Security
Les conséquences potentielles sont considérables. Une seule injection pourrait permettre de voler des années de correspondance électronique contenant des données clients, des informations financières confidentielles et des décisions stratégiques. Des calendriers complets révélant les relations commerciales, les délais de transaction et la structure organisationnelle pourraient également être compromis, tout comme des référentiels de documents entiers contenant des accords confidentiels et des informations concurrentielles.
Les attaquants n’ont même pas besoin de connaître l’organigramme de l’entreprise ou ses clients. Des termes de recherche génériques tels que « confidentiel », « clé API », « acquisition », « salaire » ou « légal » suffisent à déclencher l’extraction des données par l’IA.
Selon Levi, cette vulnérabilité est un exemple typique d’attaque par injection indirecte. La détection nécessite une inspection approfondie de toutes les sources de données alimentant le contexte de l’agent, y compris les sorties des outils et les données de génération augmentée par récupération. Les chercheurs de Noma Labs soulignent que ce type d’attaque ne sera pas isolé et qu’il reflète une classe croissante de vulnérabilités inhérentes à l’IA.
« La solution est architecturale : les systèmes doivent imposer des limites strictes entre les instructions et les preuves, attacher des niveaux de provenance et de confiance à chaque élément récupéré, et empêcher le contenu non fiable de réécrire les objectifs ou de déclencher des actions à fort impact. »
Sasi Levi, responsable de la recherche en sécurité chez Noma Security
Cette vulnérabilité rappelle une faille similaire récemment découverte dans Salesforce Agentforce, ForcedLeak, qui exploitait également une faiblesse dans la manière dont les systèmes d’IA gèrent les données provenant de sources non fiables.
