Outils / Actualités / GeminiJack : un Doc Google volait Gmail et Drive
Presse

GeminiJack : un Doc Google volait Gmail et Drive

· VaultTools

Des chercheurs de Noma Security ont divulgué le 8 décembre 2025 'GeminiJack' : une faille zero-click dans Google Gemini Enterprise permettant à un attaquant d'incorporer des instructions cachées dans un document partagé, forçant l'IA de Gemini à parcourir et exfiltrer l'intégralité de Gmail, Docs et Agenda d'une cible sans aucune action de l'utilisateur.

VaultTools · 20 mars 2026

Un ordinateur portable affichant des connexions de données cloud, symbolisant les risques d'exfiltration de fichiers sensibles par des outils documentaires connectés à l'IA. Photo de Leon sur Unsplash

Table des matières


Ce Qu’était GeminiJack

Le 8 décembre 2025, des chercheurs en sécurité de Noma Security ont divulgué publiquement une faille architecturale zero-click dans Google Gemini Enterprise, affectant également Vertex AI Search. Nommée GeminiJack en interne, la faille permettait à un attaquant de parcourir et exfiltrer silencieusement des données depuis l’intégralité de la boîte Gmail, de la bibliothèque Google Docs et de l’Agenda Google d’une cible, en plaçant des instructions cachées dans un unique document partagé.

Google avait été notifié en juin 2025. L’entreprise a corrigé la faille discrètement avant novembre 2025. La divulgation publique a suivi deux semaines plus tard, une fois la correction confirmée.

Comment L’attaque Fonctionnait

L’attaque exploitait une technique connue sous le nom de prompt injection : l’intégration d’instructions destinées à un modèle d’IA dans du contenu qui ressemble à du texte ordinaire ou à des métadonnées. Le pipeline RAG (Retrieval-Augmented Generation) de Gemini Enterprise lui permettait de récupérer et de traiter les documents qu’un utilisateur avait partagés ou reçus, notamment des e-mails, des invitations d’agenda et des fichiers dans Google Drive.

Un attaquant créait un document, un e-mail ou un événement d’agenda contenant du texte caché qui demandait à l’assistant Gemini de conduire une recherche étendue dans les données de l’espace de travail du destinataire. Gemini, suivant son comportement standard consistant à récupérer du contexte pertinent pour répondre aux requêtes, exécutait la recherche dans Gmail, Docs et l’Agenda de la cible. Il regroupait ensuite les résultats et les transmettait à un serveur contrôlé par l’attaquant, déguisés en requête de chargement d’image.

La victime recevait le document partagé. Rien d’autre n’était nécessaire.

Pourquoi Elle Est Passée Inaperçue

Le mécanisme d’exfiltration était conçu pour se fondre dans le comportement normal du navigateur. Le pipeline de récupération de Gemini charge régulièrement des ressources externes lors de la génération de réponses. Le transfert de données sortant était formaté comme une requête de chargement d’image, un type d’activité réseau que la plupart des outils de surveillance de sécurité d’entreprise n’inspectent pas pour leur contenu.

Aucune alerte n’a été déclenchée. Aucun comportement anormal n’était visible pour l’utilisateur ni pour les tableaux de bord de sécurité d’entreprise. La seule façon de détecter l’attaque après coup était d’auditer le trafic réseau à un niveau de granularité que la plupart des organisations ne maintiennent pas.

Le Calendrier De La Divulgation

Noma Security a signalé la faille à l’équipe de sécurité de Google en juin 2025. Google a pris acte du rapport et a travaillé à la correction au cours des mois suivants. La correction consistait à séparer complètement le composant Vertex AI Search du pipeline RAG de Gemini Enterprise, empêchant ainsi l’assistant IA d’utiliser le système de récupération de documents de manière à pouvoir être déclenché par du contenu tiers.

Le correctif a été déployé en novembre 2025. Noma a publié la divulgation technique complète le 8 décembre 2025 après avoir confirmé que la correction était active. SecurityWeek, Infosecurity Magazine, Dark Reading et Cybernews ont couvert la divulgation.

Ce Que La Faille Révèle Sur Les Outils Documentaires IA

GeminiJack est une illustration précise d’un risque structurel qui émerge lorsque des assistants IA sont connectés à des dépôts de documents cloud. L’attaque n’a pas nécessité de faille dans le chiffrement de Google, d’intrusion dans son authentification, ni de compromission de son infrastructure. Elle a seulement nécessité que Gemini ait accès aux documents de l’utilisateur et qu’un document partagé puisse influencer le comportement de Gemini.

Les deux conditions sont des fonctionnalités fondamentales, non des bugs. Un assistant IA capable de lire vos documents et de répondre aux instructions qui y sont intégrées fonctionne comme prévu. La faille ne résidait pas dans ces comportements pris individuellement, mais dans leur combinaison : une IA qui lit des documents à grande échelle, traite les instructions intégrées dans ces documents, et peut effectuer des requêtes réseau sortantes.

Les outils de fichiers et de documents basés sur le cloud intègrent de plus en plus des fonctionnalités IA connectées à des données d’espace de travail plus larges. Chaque connexion de ce type crée une surface d’attaque potentielle par prompt injection. Un document reçu d’un expéditeur non fiable n’est plus seulement du texte destiné à être lu par un humain : c’est une entrée sur laquelle un système IA peut agir dans l’ensemble du corpus de données de l’utilisateur.

Le traitement de fichiers dans le navigateur supprime cette surface d’attaque par conception. Un outil qui s’exécute dans un onglet de navigateur via WebAssembly n’a pas de connexion persistante à un corpus de documents, pas d’assistant IA récupérant des fichiers connexes, et pas de chemin réseau sortant pour du contenu exfiltré. Le fichier est traité de manière isolée et réécrit sur le disque. Les contraintes architecturales qui rendent le traitement local privé sont les mêmes qui rendent l’injection de prompt impossible.


Sources