Les chercheurs ont contourné les défenses de Google Gemini en utilisant des instructions en langage naturel, créant ainsi des événements trompeurs permettant de divulguer des données privées de calendrier. Cette méthode permet l'exfiltration de données sensibles vers un attaquant via une description d'événement du Calendrier. Gemini, l'assistant LLM de Google, s'intègre aux services Web de Google et aux applications Workspace telles que Gmail et Calendrier. L'attaque par invitation de calendrier basée sur Gemini commence par l'envoi à une cible d'une invitation à un événement contenant une charge utile d'injection rapide dans sa description. Les activités d'exfiltration se déclenchent lorsque la victime interroge Gemini sur son emploi du temps. Cela amène l'assistant à charger et analyser tous les événements pertinents, y compris celui avec la charge utile de l'attaquant. Des chercheurs de Miggo Security, une plateforme de détection et de réponse des applications (ADR), ont découvert qu'ils pouvaient tromper Gemini en lui faisant divulguer des données de calendrier en fournissant des instructions en langage naturel. Il s'agit notamment de : résumer toutes les réunions d'un jour spécifique, y compris les réunions privées ; créer un nouvel événement de calendrier avec ce résumé ; et répondre à l'utilisateur avec un message inoffensif. Les chercheurs ont expliqué : « Comme Gemini ingère et interprète automatiquement les données d'événement pour être utiles, un attaquant qui peut influencer les champs d'événement peut implanter des instructions en langage naturel que le modèle pourra exécuter ultérieurement. » Ils ont découvert que le contrôle du champ de description d'un événement permettait d'intégrer une invite à laquelle Google Gemini obéirait, même avec un résultat néfaste. La charge utile de l'invitation malveillante reste inactive jusqu'à ce que la victime pose à Gemini une question de routine sur son emploi du temps. Lors de l'exécution des instructions intégrées à l'invitation malveillante du calendrier, Gemini crée un nouvel événement. Il écrit le résumé de la réunion privée dans la description de ce nouvel événement. Dans de nombreux contextes d'entreprise, la description mise à jour devient visible pour les participants à l'événement, ce qui peut potentiellement divulguer des informations sensibles à l'attaquant. Miggo a noté que Google utilise un modèle distinct et isolé pour détecter les invites malveillantes dans l'assistant Gemini principal. Cependant, leur attaque a contourné cette sécurité car les instructions semblaient sûres. Les attaques par injection rapide via des titres d’événements de calendrier malveillants ne sont pas nouvelles. En août 2025, SafeBreach a démontré qu'une invitation malveillante de Google Calendar pouvait exploiter les agents Gemini pour divulguer des données utilisateur sensibles. Liad Eliyahu, responsable de la recherche chez Miggo, a informé BipOrdinateur que la nouvelle attaque démontre que les capacités de raisonnement de Gemini restent vulnérables à la manipulation malgré la mise en œuvre par Google de défenses supplémentaires après le rapport de SafeBreach. Miggo a partagé ses conclusions avec Google, qui a depuis ajouté de nouvelles mesures d'atténuation. Le concept d'attaque de Miggo met en évidence la complexité d'anticiper de nouveaux modèles d'exploitation dans les systèmes d'IA pilotés par le langage naturel avec une intention ambiguë. Les chercheurs suggèrent que la sécurité des applications doit évoluer de la détection syntaxique vers des défenses contextuelles pour remédier à ces vulnérabilités.
Source: Google corrige une faille critique de Gemini qui transformait les invitations en vecteurs d'attaque
