Une faille dans l’IA Gemini permet de pirater une maison connectée à distance
Des chercheurs en cybersécurité ont réussi à pirater une maison connectée en exploitant une faille de l’intelligence artificielle Gemini, développée par Google. Leur méthode ? Une simple invitation Google Agenda contenant des instructions cachées. Une démonstration qui soulève de sérieuses questions sur la sécurité des IA dans les objets du quotidien.
Des lumières qui s’allument sans prévenir, une enceinte qui diffuse soudainement de la musique, ou encore une machine à laver qui se déclenche toute seule... Ces situations étranges n’ont rien de surnaturel. Elles illustrent en réalité une cyberattaque menée dans un cadre expérimental, visant une maison connectée, à partir d’une vulnérabilité détectée dans Gemini, l’intelligence artificielle développée par Google.
Cette démonstration a été révélée par le média américain Wired. Trois experts en cybersécurité ont réussi à détourner le fonctionnement de l’IA en lui envoyant une simple invitation Google Agenda, contenant des instructions dissimulées. Lorsque l’utilisateur demande ensuite à Gemini un récapitulatif des événements de sa semaine, ces commandes cachées sont exécutées, déclenchant à distance les appareils domestiques connectés.
Une IA facilement manipulable
Présentée lors de la conférence Black Hat sur la cybersécurité, organisée à Las Vegas, l’expérience met en lumière les risques croissants autour des modèles d’intelligence artificielle. Les chercheurs ont poussé plus loin leurs tests et identifié 14 scénarios d’attaques différents reposant sur le même principe : une invitation piégée.
Parmi les actions possibles : envoi de spam, génération de contenus inappropriés, ouverture automatique d’une réunion Zoom ou encore vol de données personnelles telles que des e-mails ou des informations de calendrier.
Une attaque à la portée de tous
Ce qui inquiète particulièrement les experts, c’est la simplicité avec laquelle ces piratages peuvent être mis en œuvre. Aucune compétence technique avancée n’est requise. Et les vecteurs ne se limitent pas à Google Agenda : d'autres services comme Gmail ou Google Docs peuvent aussi être exploités de manière similaire.
Informé de ces vulnérabilités dès le mois de février, Google affirme avoir pris des mesures. Andy Wen, responsable sécurité chez Google Workspace, indique que les failles identifiées n’ont pas été exploitées par des pirates malveillants à ce jour. Plusieurs correctifs ont toutefois été déployés depuis.
