Une enquête de sécurité a récemment mis en lumière un échec qui révèle comment un élément apparemment inoffensif - les clés API de Google Cloud - peut devenir une porte d'entrée pour les fonctions avancées d'intelligence artificielle et, par conséquent, pour les données privées et les factures de désorbiteur. Le rapport, publié par Truffle Security, montre que des milliers de ces clés étaient visibles en code client sur les pages Web et, pour un changement dans la façon dont Google a activé ses API, a commencé à fonctionner comme des références pour les paramètres de Gemini (Google Generative Language API).
Traditionnellement, les clés de préfixe "Aiza" ont été utilisées principalement comme identifiants de projet à des fins de facturation, par exemple pour des services tels que les cartes intégrées. Truffle Security a trouvé environ 2900 clés publiquement exposées en JavaScript à partir de sites qui les utilisaient ouvertement. La chose inquiétante n'est pas seulement l'exposition : c'est que lorsqu'un projet active l'API de Gemini, ces clés cessent d'être simplement des jetons de facturation et commencent à autoriser les appels à l'API de génération de langue sans que les développeurs l'avertent.
L'effet pratique est facile à expliquer et difficile à atténuer après coup. Un attaquant qui gratte le web et recueille une de ces clés peut faire des requêtes à Gemini, consommer des frais d'inférence qui seront facturés au propriétaire de la clé et, dans certains cas, accéder au contenu privé à travers des paramètres tels que / fichiers et / cachedContents. C'est-à-dire, la même clé qui était auparavant seulement sur les factures peut maintenant vous permettre de télécharger des fichiers téléchargés ou de récupérer des données qui avaient été stockées dans le cache.
De plus, Truffle Security a documenté que la création d'une nouvelle clé API dans Google Cloud est généralement accompagnée d'une configuration par défaut très permissive : « Sans restriction », ce qui signifie que la clé est associée à toute API activée dans le projet, y compris Gemini. Le résultat, comme l'ont dit les chercheurs, est que de nombreuses clés qui étaient considérées comme sûres parce qu'elles n'étaient utilisées que pour la facturation ont continué d'agir comme des références de Gemini et sont apparues à la surface du public.
Ce problème est amplifié en considérant l'écosystème mobile: la firme Quokka a effectué un balayage de 250.000 applications Android et a trouvé plus de 35 000 clés Google uniques intégrées dans ces applications. L'image complète suggère qu'il ne s'agit pas d'un cas isolé, mais d'un schéma d'exposition de masse qui, avec l'arrivée des IPA de l'IV, modifie significativement le profil de risque.
À la lumière du rapport, Google a répondu qu'il travaillait avec des chercheurs pour atténuer le problème et qu'il avait mis en place des mesures proactives pour détecter et bloquer les clés fuites qui tentent d'accéder à l'API de Gemini. Cette communication publique de Google peut être consultée avec les détails techniques et les recommandations dans la documentation officielle de Google Cloud sur les clés API et dans les pages qui décrivent son offre générative: Rapport sur la sécurité des truffes, l'entrée technique de Quokka et la documentation Google Cloud sur l'authentification et l'API générative ( Clés API et IA générique).
Il n'est pas clair si ces clés ont été largement utilisées dans des attaques ciblées, mais des rapports anecdotiques sont déjà apparus qui montrent l'impact économique potentiel: dans Reddit une publication a circulé où un utilisateur prétend avoir reçu des charges de plus de 80 000 $ en 48 heures après le vol d'une clé Google Cloud et l'utilisation de l'API Gemini. Bien que cette affaire n'ait pas été publiquement vérifiée, elle illustre le type d'abus qui concerne la communauté de la sécurité ( voir publication dans Reddit).
La leçon ici est double. D'une part, les risques associés aux clés API sont dynamiques : une infrastructure considérée comme à faible risque peut devenir critique lorsque les services liés au changement de projet. D'autre part, l'hygiène de base en matière de sécurité - rotation des clés, droits d'auteur ou restrictions de référence, et éviter d'inclure les clés dans le code client ou les dépôts publics - n'est plus une recommandation et devient un besoin urgent.
Si vous gérez des projets dans Google Cloud, vous devriez revoir vos API et services déjà activés et identifier ceux qui sont accessibles du client (en JavaScript public, dépôts publics ou applications mobiles). Privilégier la rotation des clés les plus anciennes, qui sont les plus susceptibles d'avoir été déployées selon des pratiques antérieures moins rigoureuses. À son tour, il limite son champ d'application en appliquant des restrictions sur lesquelles les API peuvent les utiliser et à partir desquelles elles peuvent être invoquées; Google Cloud documentation offre des guides et des contrôles pour cela.
Au-delà des actions spécifiques, cet incident souligne la nécessité d'une surveillance continue : balayage de sécurité, détection de comportements anormaux dans l'utilisation des API et blocages automatiques lorsque l'activité suspecte est détectée. Comme plusieurs experts l'ont souligné, l'adoption de l'A dans l'infrastructure nuageuse ajoute de nouveaux vecteurs qui n'existaient pas lorsque beaucoup de ces clés étaient considérées comme inoffensives, de sorte que l'approche "configurer et oublier" ne fonctionne plus.
Bref, ce qui semblait être un jeton de facturation peut maintenant être la clé d'une API qui traite les appels, stocke les résultats et donne accès au contenu. Examiner les projets, appliquer des restrictions d'utilisation, tourner et enlever les clés exposées et surveiller les habitudes de consommation sont des étapes essentielles pour réduire la surface d'attaque. Pour ceux qui doivent commencer maintenant, l'analyse de Truffle Security et de Quokka et la documentation officielle de Google offrent des points de départ clairs et techniques pour comprendre la portée et le remède: Sécurité des truffes, Quokka et Documentation Google Cloud.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...