Une recherche de Truffle Security a mis en lumière une vulnérabilité critique affectant des milliers de clés API Google Cloud. Initialement destinées à la facturation, ces clés peuvent désormais être exploitées pour s'authentifier auprès des points d'accès sensibles de Gemini et accéder à des données privées. Le problème survient lorsque l'API Gemini (Generative Language API) est activée sur un projet Google Cloud. Cette activation confère de manière inattendue aux clés API existantes, y compris celles exposées publiquement (via JavaScript ou applications Android), un accès furtif aux points d'accès Gemini, sans avertissement.
L'impact de cette exposition est significatif :
- Accès non autorisé : Des attaquants peuvent récupérer ces clés API publiques pour accéder à des fichiers sensibles via les points d'accès
/fileset/cachedContents. - Vol de quota et surcoûts : Les clés compromises permettent d'effectuer des appels à l'API Gemini, entraînant des factures exorbitantes. Un cas a été rapporté où une clé API volée a généré plus de 82 000 $ de frais en 48 heures.
- Risque étendu : La combinaison de l'accès à l'inférence, de la consommation de quota et de l'intégration potentielle avec d'autres ressources Google Cloud crée un profil de risque bien plus élevé que le modèle initial d'identifiant de facturation.
Pour atténuer cette menace, il est impératif de prendre les mesures suivantes :
- Vérification des API : Examiner les projets Google Cloud pour identifier les API liées à l'IA activées.
- Rotation des clés : Si des clés sont activées et accessibles publiquement, procéder immédiatement à leur rotation, en commençant par les plus anciennes.
- Sécurité continue : Mettre en œuvre des tests de sécurité, des analyses de vulnérabilité et des évaluations continues pour surveiller les changements de comportement des API et bloquer les activités malveillantes.
Google a reconnu le problème et a mis en œuvre des mesures proactives pour détecter et bloquer les clés API divulguées tentant d'accéder à l'API Gemini.