Les clés API de Google Cloud, longtemps utilisées comme simples identifiants pour la facturation, sont désormais au cœur d’une faille majeure de sécurité. Une récente découverte met en lumière l’exposition de milliers de ces clés et permettrait un accès non autorisé à Gemini.
Des milliers de clés API Google Cloud se sont retrouvées accessibles publiquement après l’activation de l’API Gemini, exposant potentiellement des projets sensibles à des usages non autorisés. Cette faille, liée à une mauvaise configuration ou à une gestion insuffisante des permissions, illustre une nouvelle fois les risques liés aux intégrations rapides d’outils d’intelligence artificielle dans les environnements cloud. Pour les entreprises, l’enjeu dépasse la simple erreur technique : il touche à la gouvernance des accès, à la surveillance des API et à la sécurisation des environnements hybrides. Un incident qui relance le débat sur la sécurité des déploiements IA en production.
Les clés API Google cloud impliquées dans la faille d’accès Gemini
Les clés API Google Cloud, identifiées par leur préfixe « AIza », sont conçues pour fonctionner comme de simples jetons de facturation ou d’identification des projets. Toutefois, une analyse de Truffle Security a révélé que près de 3 000 de ces clés, visibles dans des scripts JavaScript publiquement accessibles, permettent en réalité un accès Gemini complet.
Ce dernier englobe non seulement l’interaction avec l’API de génération de langage de Gemini, mais également l’accès à des fichiers privés et au cache des utilisateurs. La faille découle directement de l’activation de l’API Gemini dans un projet Google Cloud, qui confère automatiquement et sans avertissement de nouveaux droits à ces anciennes clés API. En conséquence, des acteurs malveillants peuvent extraire des données sensibles, utiliser les ressources Gemini et générer des coûts importants pour le propriétaire des clés.
Conséquences sur la confidentialité et le contrôle des données publiques
Cette vulnérabilité expose un risque accru de confidentialité, car elle permet à des pirates d’exploiter des clés publiquement disponibles pour pénétrer des environnements supposés sécurisés. L’usage détourné des clés permet non seulement de consulter des fichiers sensibles, mais aussi d’activer des appels massifs à l’API Gemini pouvant entraîner des facturations astronomiques.
Plusieurs cas, comme celui rapporté sur Reddit où plus de 82 000 dollars ont été dépensés en l’espace de deux jours, montrent le potentiel destructeur de cette faille. Le constat amène aussi à une remise en question des bonnes pratiques : la création par défaut de clés « non restreintes » facilite leur mauvaise utilisation. Ainsi, il est recommandé de vérifier régulièrement les droits associés aux clés et de procéder à leur rotation, notamment pour les plus anciennes, afin de limiter l’exposition aux risques.
Les mesures pour renforcer la sécurité des clés API Google
Face à cette problématique, l’enjeu est désormais d’adopter une approche proactive envers la sécurité des environnements cloud. Google a réagi en mettant en place des mécanismes de détection et de blocage des clés compromises cherchant à exploiter Gemini. Toutefois, la lutte ne s’arrête pas là : il s’agit aussi d’instaurer une surveillance continue des API, de détecter les anomalies et d’adopter des politiques restrictives adaptées sur les permissions des clés.
Comme souligne Tim Erlin, stratège en sécurité, il faut appréhender ces vulnérabilités comme des risques d’évolution dynamique et non comme de simples bugs. Pour les entreprises, il est crucial de reconsidérer la gestion des clés API et d’intégrer la dimension AI dans leur politique de sécurité pour éviter toute dérive coûteuse ou atteinte à la confidentialité. Ces pratiques contribueront à réduire l’impact des données publiques non protégées dans un contexte où l’intelligence artificielle transforme profondément les usages du cloud.
