Des chercheurs en cybersécurité ont révélé les détails d’une faille de sécurité qui exploite l’injection indirecte de requêtes ciblant Google Gemini afin de contourner les garde-fous d’autorisation et d’utiliser Google Agenda comme mécanisme d’extraction de données.

Selon Liad Eliyahu, responsable de la recherche chez Miggo Security, cette vulnérabilité permettait de contourner les contrôles de confidentialité de Google Agenda en dissimulant une charge utile malveillante dormante dans une invitation de calendrier standard.

« Cette faille a permis un accès non autorisé aux données de réunions privées et la création d’événements de calendrier trompeurs sans aucune interaction directe de l’utilisateur », a déclaré Eliyahu dans un rapport partagé avec The Hacker News.

Le point de départ de la chaîne d’attaque est un nouvel événement de calendrier créé par l’attaquant et envoyé à sa cible. La description de l’invitation intègre une invite en langage naturel conçue pour exécuter ses instructions, ce qui permet une injection de requête.

L’attaque se déclenche lorsqu’un utilisateur pose à Gemini une question tout à fait anodine sur son emploi du temps (par exemple : « Ai-je des réunions mardi ? »), ce qui incite le chatbot d’intelligence artificielle (IA) à analyser la question spécialement conçue dans la description de l’événement susmentionné afin de résumer toutes les réunions des utilisateurs pour une journée donnée, d’ajouter ces données à un événement Google Agenda nouvellement créé, puis de renvoyer une réponse inoffensive à l’utilisateur.

« En coulisses, Gemini a créé un nouvel événement dans le calendrier et a rédigé un résumé complet des réunions privées de notre utilisateur cible dans la description de cet événement », a déclaré Miggo. « Dans de nombreuses configurations de calendriers d’entreprise, ce nouvel événement était visible par l’attaquant, lui permettant ainsi de lire les données privées exfiltrées sans que l’utilisateur cible n’ait à intervenir. »

Bien que le problème ait depuis été résolu suite à une divulgation responsable, les conclusions illustrent une fois de plus que les fonctionnalités natives de l’IA peuvent élargir la surface d’attaque et introduire par inadvertance de nouveaux risques de sécurité à mesure que de plus en plus d’organisations utilisent des outils d’IA ou développent leurs propres agents en interne pour automatiser les flux de travail.

« Les applications d’IA peuvent être manipulées par le biais même du langage qu’elles sont censées comprendre », a souligné Eliyahu. « Les vulnérabilités ne se limitent plus au code. Elles résident désormais dans le langage, le contexte et le comportement de l’IA lors de son exécution. »

Cette révélation intervient quelques jours après que Varonis a détaillé une attaque nommée Reprompt qui aurait pu permettre à des adversaires d’exfiltrer des données sensibles de chatbots d’intelligence artificielle (IA) comme Microsoft Copilot en un seul clic, tout en contournant les contrôles de sécurité de l’entreprise.

Les résultats illustrent la nécessité d’ évaluer constamment les grands modèles de langage (LLM) selon des dimensions clés de sûreté et de sécurité, en testant leur propension à l’hallucination, à l’exactitude factuelle, aux biais, aux dommages et à la résistance au jailbreak, tout en sécurisant simultanément les systèmes d’IA contre les problèmes traditionnels.

La semaine dernière encore, XM Cyber, filiale de Schwarz Group, a révélé de nouvelles méthodes pour élever les privilèges au sein d’Agent Engine et de Ray de Google Cloud Vertex AI, soulignant ainsi la nécessité pour les entreprises d’auditer chaque compte de service ou identité associé à leurs charges de travail d’IA.

« Ces vulnérabilités permettent à un attaquant disposant d’autorisations minimales de détourner des agents de service hautement privilégiés, transformant ainsi ces identités gérées « invisibles » en « agents doubles » qui facilitent l’élévation de privilèges », ont déclaré les chercheurs Eli Shparaga et Erez Hasson .

L’exploitation réussie de la faille de double agent pourrait permettre à un attaquant de lire toutes les sessions de chat, les données LLM et des informations potentiellement sensibles stockées dans les compartiments de stockage, voire d’obtenir un accès root au cluster Ray. Google ayant déclaré que les services fonctionnent actuellement « comme prévu », il est essentiel que les organisations vérifient les identités des utilisateurs disposant du rôle de lecteur et mettent en place des contrôles adéquats pour empêcher toute injection de code non autorisée.

Cette évolution coïncide avec la découverte de multiples vulnérabilités et faiblesses dans différents systèmes d’IA.

• Des failles de sécurité (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 et CVE-2026-0616) dans The Librarian, un outil d’assistant personnel basé sur l’IA fourni par TheLibrarian.io, permettent à un attaquant d’accéder à son infrastructure interne, y compris la console d’administration et l’environnement cloud, et finalement de divulguer des informations sensibles, telles que les métadonnées du cloud, les processus en cours d’exécution dans le backend et l’invite système, ou de se connecter à son système backend interne.
• Une vulnérabilité a été découverte, démontrant comment extraire les invites système des assistants LLM basés sur l’intention en les incitant à afficher les informations au format Base64 dans les champs de formulaire. « Si un LLM peut exécuter des actions qui écrivent dans un champ, un journal, une entrée de base de données ou un fichier, chacun devient un canal d’exfiltration potentiel, aussi sécurisé soit l’interface de chat », a déclaré Praetorian.
• Une attaque qui démontre comment un plugin malveillant téléchargé sur une place de marché pour Anthropic Claude Code peut être utilisé pour contourner les protections de type « intervention humaine » via des hooks et exfiltrer les fichiers d’un utilisateur via une injection d’invite indirecte.
• Une vulnérabilité critique dans Cursor ( CVE-2026-22708 ) permet l’exécution de code à distance via l’injection indirecte de commandes en exploitant une faille fondamentale dans la manière dont les IDE agents gèrent les commandes intégrées du shell. « En détournant des commandes intégrées du shell, implicitement considérées comme fiables, telles que `export`, `typeset` et `declare`, les acteurs malveillants peuvent manipuler silencieusement les variables d’environnement, ce qui perturbe ensuite le comportement des outils de développement légitimes », a déclaré Pillar Security . « Cette chaîne d’attaque transforme des commandes anodines, approuvées par l’utilisateur – comme `git branch` ou `python3 script.py` – en vecteurs d’exécution de code arbitraire. »

De plus, une analyse de sécurité de cinq environnements de développement intégrés (IDE) de programmation dynamique, à savoir Cursor, Claude Code, OpenAI Codex, Replit et Devin, a révélé que ces agents de codage, bien qu’efficaces pour éviter les injections SQL et les failles XSS, rencontrent des difficultés pour gérer les vulnérabilités SSRF, la logique métier et l’application des autorisations appropriées lors de l’accès aux API. Qui plus est, aucun de ces outils n’intègre de protection CSRF, d’en-têtes de sécurité ni de limitation du nombre de connexions.

Ce test met en évidence les limites actuelles du codage par vibrations, démontrant que la supervision humaine reste essentielle pour combler ces lacunes.

« On ne peut pas faire confiance aux agents de codage pour concevoir des applications sécurisées », a déclaré Ori David de Tenzai . « Bien qu’ils puissent produire du code sécurisé (parfois), les agents échouent systématiquement à mettre en œuvre des contrôles de sécurité critiques sans instructions explicites. Là où les limites ne sont pas clairement définies – flux de travail de la logique métier, règles d’autorisation et autres décisions de sécurité nuancées – les agents commettront des erreurs. »