Tech&Co
Replay
Direct tv
Direct
Cybersécurité

Gemini: comment des pirates ont pris le contrôle d'une maison connectée à l'aide de l'IA de Google

placeholder video
Des hackers éthiques ont réussi à prendre le contrôle d'une maison connectée simplement en envoyant une invitation Google Agenda à Gemini AI. Le géant de la tech assure avoir déployé plusieurs correctifs.

La lumière qui s'allume de manière inopinée, l'enceinte qui lance Shake it off et la machine à laver qui se déclenche. Non, la maison n'est pas possédée par un esprit malveillant. Mais elle vient peut-être de se faire pirater.

En effet, comme le révèle une enquête du média américain Wired, trois chercheurs en cybersécurité ont réussi à prendre le contrôle d'une maison connectée à distance en utilisant l'IA Gemini.

Pour cela, ces hackers éthiques ont envoyé une invitation Google Agenda, qui contient en réalité des instructions cachées. Il suffit ensuite de demander à l'assistant IA de résumer les événements à venir dans la semaine pour que le programme malveillant se déclenche, et que les appareils intelligents s'allument.

Des enjeux de sécurité

"Les LLM (grand modèle de langage, NDLR) sont sur le point d'être intégrés dans des humanoïdes physiques, dans des voitures semi-autonomes et entièrement autonomes, et nous devons vraiment comprendre comment sécuriser les LLM avant de les intégrer à ce type de machines, où dans certains cas, les enjeux seront la sécurité et non la confidentialité", alerte Ben Nassi, chercheur à l'université de Tel Aviv, auprès du média américain.

Mais les experts ne se sont pas arrêtés en si bon chemin. Ils ont découvert 14 types d'attaques différentes contre Gemini AI en passant par une invitation Google Agenda. Lors d'une démonstration à la conférence Black Hat sur la cybersécurité à Las Vegas, les chercheurs ont montré comment Gemini pouvait ensuite être utilisé pour envoyer des liens de spam, générer du contenu vulgaire, ouvrir l'application Zoom et lancer un appel, voler des mails et des détails de réunion depuis un navigateur web.

Exploiter ces vulnérabilités ne nécessite pas de connaissances particulières, rappellent les hackers éthiques. Développer une attaque de ce type serait même "accessible à tout le monde". Il est d'ailleurs possible de varier les techniques, en utilisant Gmail ou Gdoc plutôt que Google Agenda.

Google a été informé de ces failles de sécurité en février dernier. Andy Wen, directeur de la division des produits de sécurité pour Google Workspace, a fait savoir que les vulnérabilités n'ont pas été exploitées par des pirates informatiques aux intentions douteuses. Mais l'entreprise a déployé plusieurs correctifs.

Salomé Ferraris

A la Une

"À genoux, les mains sur la tête": à son procès, Cédric Jubillar interrogé sur ses méthodes éducatives