IA, Actualités, Privacy

Les clés API publiques de Google peuvent être utilisées pour exposer les données de Gemini AI.

par Pieter Arntz | 27 février 2026
Logo Gemini AI

Les clés Google Maps/Cloud API (interface de programmation d'application) qui pouvaient auparavant être publiées en toute sécurité peuvent désormais, dans de nombreux cas, être utilisées comme de véritables identifiants Gemini AI. Cela signifie que toute clé figurant dans un code JavaScript ou d'application public peut désormais permettre à des pirates de se connecter à Gemini via son API, d'accéder à des données ou d'engranger des frais sur le compte d'une autre personne.

Les chercheurs ont trouvé environ 2 800 clés API Google actives dans du code public pouvant s'authentifier auprès de Gemini, y compris des clés appartenant à de grandes sociétés financières, de sécurité, de recrutement et même à Google lui-même.

Historiquement, les clés API Google Cloud pour des services tels que Maps, YouTube , Firebase, etc., étaient considérées comme des identifiants de facturation non confidentiels, et les propres directives de Google autorisaient leur intégration dans le code côté client.

Si l'on compare ce problème à la réutilisation d'un mot de passe sur différents sites et plateformes, on constate que l'utilisation d'un identifiant unique peut devenir une clé passe-partout donnant accès à des ressources plus précieuses que ce que les utilisateurs ou les développeurs avaient prévu. 

La principale différence réside dans l'attribution de la responsabilité. En cas de réutilisation d'un mot de passe, les utilisateurs finaux sont explicitement avertis. Tous les services leur demandent de choisir des mots de passe uniques, et la communauté de la sécurité martèle ce message depuis des années. Si le même mot de passe est réutilisé sur trois sites et qu'une violation compromet tous ces sites, le risque découle d'une décision de l'utilisateur, même si cette décision a été motivée par des raisons pratiques.

Avec les clés API Google, les développeurs et les équipes de sécurité suivaient les recommandations historiques de Google selon lesquelles ces clés n'étaient que des identifiants de facturation pouvant être exposés en toute sécurité côté client. Lorsque Gemini a été activé, ces anciennes clés API ont soudainement commencé à fonctionner comme de véritables identifiants d'authentification.

Du point de vue d'un pirate informatique, la réutilisation des mots de passe signifie qu'il est possible de récupérer un identifiant volé sur un site peu sécurisé et de le réutiliser pour accéder à des comptes de messagerie, bancaires ou cloud à l'aide d'une technique appelée « credential stuffing » (remplissage d'identifiants). Le changement apporté par Gemini signifie qu'une clé initialement considérée par tous comme « réservée à Maps » fonctionne désormais avec un terminal IA qui peut être connecté à des documents, des calendriers ou d'autres flux de travail sensibles. Elle peut également être utilisée de manière abusive pour épuiser le budget cloud d'une personne à grande échelle.

Comment rester en sécurité

La différence avec ce cas de réutilisation effective des mots de passe réside dans le fait que, cette fois-ci, elle a été intégrée dès la conception plutôt que choisie par les utilisateurs.

Le problème principal réside dans le fait que Google utilise un format de clé API unique pour deux objectifs fondamentalement différents : l'identification publique et l'authentification sensible. L'API Gemini a hérité d'une architecture de gestion des clés conçue pour un objectif différent.

Les chercheurs affirment que Google a reconnu le problème qu'ils ont signalé et a pris des mesures significatives, mais n'a pas encore résolu la cause profonde.

Conseils aux développeurs

Les développeurs doivent vérifier si Gemini (Generative Language API) est activé dans leurs projets et contrôler toutes les clés API de leur environnement afin de déterminer si certaines sont exposées publiquement et, le cas échéant, les remplacer immédiatement.

  • Vérifiez chaque projet Google Cloud Platform (GC) pour l'API Generative Language. Accédez à la console GCP, naviguez jusqu'à API et services > API et services activés, puis recherchez l'API Generative Language. Répétez cette opération pour chaque projet de votre organisation. Si elle n'est pas activée, vous n'êtes pas concerné par ce problème spécifique.
  • Si l'API Generative Language est activée, vérifiez vos clés API. Accédez à API et services > Certificats. Vérifiez la configuration de chaque clé API. Vous recherchez deux types de clés :
    • Les clés affichant une icône d'avertissement, ce qui signifie qu'elles sont définies comme non restreintes.
    • Clés qui mentionnent explicitement l'API Generative Language dans leurs services autorisés

Les deux configurations permettent à la clé d'accéder à Gemini.

  • Vérifiez qu'aucune de ces clés n'est publique. Il s'agit d'une étape cruciale. Si vous trouvez une clé avec un accès Gemini intégrée dans le JavaScript côté client, enregistrée dans un référentiel public ou exposée en ligne d'une autre manière, vous avez un problème. Commencez par vos clés les plus anciennes. Ce sont celles qui sont le plus susceptibles d'avoir été déployées publiquement selon l'ancienne recommandation selon laquelle les clés API peuvent être partagées en toute sécurité, puis d'avoir obtenu rétroactivement des privilèges Gemini lorsque quelqu'un de votre équipe a activé l'API. Si vous trouvez une clé exposée, remplacez-la.

Conseils aux particuliers

Pour les utilisateurs réguliers, il s'agit moins de gérer les clés que de verrouiller votre compte Google et de faire preuve de prudence vis-à-vis des accès tiers.

  • Ne liez Gemini qu'aux comptes ou aux magasins de données (Drive, Mail, Calendrier, systèmes d'entreprise) que vous acceptez de rendre accessibles via API et vérifiez régulièrement quelles intégrations et applications tierces ont accès à votre compte Google.
  • Lorsque vous évaluez des applications qui intègrent Gemini (extensions de navigateur, outils SaaS, applications mobiles), privilégiez celles qui effectuent les appels Gemini depuis leur backend plutôt que directement depuis votre navigateur.
  • Si vous utilisez Gemini via un projet Google Cloud (par exemple, si vous êtes un utilisateur expérimenté ou si vous l'utilisez dans le cadre de votre travail), surveillez les rapports de facturation GCP et les journaux d'utilisation afin de détecter toute activité Gemini inhabituelle, en particulier les pics qui ne correspondent pas à votre propre utilisation.

Nous ne nous contentons pas de faire des rapports sur la protection de la vie privée, nous vous offrons la possibilité de l'utiliser.

Les risques liés Privacy ne devraient jamais dépasser le titre d'un article. Préservez votre vie privée en ligne en utilisant Malwarebytes Privacy VPN.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Comment faire
APT choisissant les vecteurs d'attaque

Comment comprendre et éviter les menaces Advanced

Février 26, 2026

APT signifie « Advanced Threat » (menace persistante avancée). Mais qu'est-ce que cela signifie concrètement, et comment cela se traduit-il en termes de menace à laquelle vous êtes confronté ?

Actualités
Logos de Conduent et de ses principaux clients

La violation de données chez Conduent : de 10 millions à 25 millions (et ce n'est pas fini)

Février 26, 2026

Une violation de données par un tiers chez Conduent touche désormais 25 millions d'Américains, dont beaucoup ignoraient que leurs données transitaient par ses systèmes.

Actualités
Un groupe de personnes portant différentes lunettes de soleil regardant vers le ciel et vers l'appareil photo.

Un développeur crée une application pour détecter les lunettes intelligentes à proximité

Février 25, 2026

Un développeur a créé une Android qui recherche les lunettes intelligentes à proximité. Elle n'est pas parfaite, mais elle peut aider les gens dans certaines circonstances.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries