Une vulnérabilité critique dans Gemini permet à des attaquants de contrôler l’IA avec du texte caché. Google refuse de corriger le problème, qu’il considère comme une simple « manipulation sociale ».
Une faille dans Gemini permet d'injecter des commandes invisibles
Découverte par le chercheur en cybersécurité Viktor Markopoulos de FireTail, la faille dite d’« ASCII smuggling » permet d’intégrer des instructions cachées dans des textes que Gemini peut lire et exécuter à l’insu de l’utilisateur. Ces caractères spéciaux ou balises Unicode sont invisibles à l’œil nu, mais bien interprétés par l’IA. Résultat : une simple demande de résumé d’email ou de rendez-vous dans Google Calendar peut déclencher des actions non souhaitées.
Des usages anodins détournés à des fins malveillantes
L’exploitation peut se faire via des outils du quotidien comme Gmail ou Google Agenda. Un email apparemment inoffensif peut contenir des commandes dissimulées, et lorsqu’un utilisateur demande à Gemini de le résumer, l’IA suit les instructions cachées. Cela peut aller de la modification des informations d’un rendez-vous à la génération de résumés trompeurs, voire à la diffusion de liens vers des sites malveillants. Cette faille devient particulièrement problématique dans un contexte professionnel, où Gemini est intégré à Google Workspace.
Les autres IA mieux protégées
Les tests menés par FireTail montrent que d’autres assistants IA comme ChatGPT, Claude ou Copilot bloquent ces attaques grâce à des filtres de saisie ou des systèmes de vérification. En revanche, Gemini, tout comme Grok ou DeepSeek, est vulnérable. Cette différence de comportement montre un manque de rigueur dans la gestion de la sécurité côté Google, surtout au regard de l’importance prise par Gemini dans l’écosystème de l’entreprise.
Google minimise la menace et rejette la responsabilité
Face à cette découverte, Google n’a pas publié de correctif. La firme estime qu’il ne s’agit pas d’une vulnérabilité technique mais d’un problème de manipulation sociale, et considère que la responsabilité incombe à l’utilisateur. Une position qui fait grincer des dents dans la communauté sécurité, d’autant que d’autres vulnérabilités de Gemini ont déjà été corrigées par le passé. Ce refus laisse la porte ouverte à des attaques de type phishing ou à la fuite de données sensibles. D’autant plus maintenant qu’elle est connue.
On en dit quoi ?
Google joue avec le feu en refusant de patcher une faille aussi évidente. Même si l’exploitation repose sur une forme de manipulation sociale, l’IA ne devrait pas pouvoir exécuter des instructions qu’un humain ne voit pas. Pour rappel, la manipulation sociale, c’est quand on trompe un système ou un utilisateur en lui faisant croire qu’un contenu est inoffensif alors qu’il cache des instructions malveillantes.En rejetant la faute sur l’utilisateur, Google évite la remise en cause de son moteur IA, mais sape la confiance dans son écosystème. Les utilisateurs de Workspace devraient du coup sérieusement reconsidérer l’usage de Gemini dans les processus sensibles.
