Une équipe de chercheurs en cybersécurité a démontré, à l’été 2025, les risques liés à l’intégration du LLM de Google Gemini au cœur des objets connectés du quotidien. Leur recherche, intitulée « Invitation Is All You Need », prouve que l’injection d’un simple prompt malveillant dans une invitation Google Calendar pourrait suffire à compromettre des systèmes censés rester sous le seul contrôle des utilisateurs.

Le Black Hat 2025, grande messe du hacking mondial, se tient du 6 au 9 août 2025 à Las Vegas. Si certaines démonstrations fascinent par leur ingéniosité ou leur complexité, d’autres frappent par leur redoutable simplicité.

C’est le cas du travail mené par trois chercheurs de l’université de Tel Aviv avec leur présentation « Invitation Is All You Need », qui prouve que les LLM sont encore loin d’avoir résolu le problème des « prompt injection attacks ».

Ce procédé repose sur l’incapacité actuelle des grands modèles de langage à faire la différence entre une consigne de l’utilisateur légitime, et un ordre malveillant injecté dans une ressource qu’ils analysent.

Un défaut majeur qui suscite de nombreux questionnements quant à l’intégration de ces outils dans des objets connectés, et ce n’est pas cette nouvelle démonstration qui va apaiser les craintes.

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Aucune compétence technique majeure n’est nécessaire

Dans l’exemple présenté, le détournement de l’assistant Google Gemini ne nécessite ni compétence pointue, ni accès privilégié.

Les chercheurs ont simplement démontré qu’en cachant une instruction malveillante dans une invitation Google Calendar, il était possible de corrompre l’assistant IA.

Le principe est redoutablement simple à mettre en place : il suffit d’insérer dans le titre ou la description de l’invitation une instruction destinée à l’IA, « ouvre tous les stores », ou « allume la chaudière » par exemple.

Le piège se referme quand la victime demande à Gemini de « résumer ses événements de la semaine ». L’assistant de Google scanne alors l’agenda, tombe sur l’instruction cachée, et exécute l’ordre.

Une possibilité parmi tant d’autres

Les chercheurs ont identifié pas moins de 14 vecteurs d’attaque différentes impliquant une combinaison de Gemini et Google Agenda.

Dans différentes vidéos publiées sur la chaîne YouTube des chercheurs, on voit Gemini exécuter des actions aussi variées qu’inquiétantes : envoi de spam, génération de réponse insultante, vol de données, ou même déclenchement furtif d’une visioconférence utilisant la caméra de la victime.

Avant de présenter leur trouvaille au grand public, les chercheurs ont veillé à transmettre leurs découvertes à Google, plus tôt cette année. Interrogé par le média Wired, un membre de Google Workspace a déclaré que ces vulnérabilités n’ont pas été exploitées à ce jour, mais qu’elles sont néanmoins prises « extrêmement au sérieux ».

Le géant américain affirme renforcer les mesures de sécurité, notamment en multipliant les confirmations humaines avant d’autoriser certaines actions sensibles.

De leur côté, les chercheurs estiment que le rythme de sécurisation ne suit pas l’essor de l’IA générative : « Aujourd’hui, nous sommes en plein milieu d’une transition dans l’industrie où les LLM sont intégrés dans les applications, mais la sécurité n’est pas intégrée à la même vitesse que les LLM », estime Ben Nassi, l’un des chercheurs.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour de l’actu en petit comité, rejoignez la communauté Numerama sur WhatsApp !