C’est une nouvelle variante d’un problème déjà connu. Celle d’une démonstration marquante présentée à Black Hat 2025, où une simple invitation Google Calendar piégée pouvait pousser Gemini à exécuter des actions malveillantes, jusqu’au contrôle d’objets connectés. Cette fois, les chercheurs de SafeBreach ont exploré un autre point d’entrée : les notifications de messagerie.
Dans une étude publiée le 3 juin 2026, les équipes de la société de cybersécurité ont montré comment l’assistant vocal de Gemini peut être manipulé lorsqu’il lit ou résume des messages reçus via des applications comme WhatsApp. Le problème ne vient pas d’un bug classique, mais d’une faiblesse structurelle : l’IA ne distingue pas toujours correctement ce qui relève d’une instruction légitime ou d’un contenu malveillant intégré dans un message.
Le risque est toujours le même : celui d’une injection de prompt indirecte, une technique qui consiste à glisser des instructions cachées dans des contenus apparemment anodins pour influencer le comportement du modèle.
Selon SafeBreach, ces techniques peuvent mener à des actions non autorisées, comme l’usurpation de contacts, illustrée dans une vidéo où un message est attribué à un contact différent de l’expéditeur réel.
Comment une notification peut piéger Gemini
L’attaque repose sur le fait de piéger la fonction « Utilitaires » de Gemini, capable de lire ou de résumer à voix haute les notifications Android.
Concrètement, un attaquant envoie un message Whatsapp, Signal, Slack ou autres contenant des instructions cachées. Lorsque l’utilisateur demande un résumé de ses notifications, l’assistant risque alors de modifier son interprétation du message et présenter un contenu frauduleux comme légitime, en le faisant passer par exemple pour une communication provenant d’un contact de confiance.
Pour contourner les protections mises en place par Google, les chercheurs ont utilisé une technique qu’ils appellent « Alignement contextuel trompeur ». Elle exploite les différences d’interprétation entre ce que voit l’utilisateur et ce que traite le modèle lors de l’analyse des notifications. Concrètement, un message peut contenir des éléments invisibles ou non vocalisés, comme du texte caché dans un lien ou des portions de message qui ne sont pas restituées à la lecture audio, mais qui restent prises en compte par Gemini. L’utilisateur perçoit alors une notification banale, tandis que l’assistant dispose d’un contexte plus large pouvant inclure des instructions implicites.
Une faille corrigée, mais un problème persistant
Informée de cette découverte, Google a depuis déployé des mises à jour de ses systèmes de détection pour bloquer cette technique. Aucune exploitation réelle de cette attaque n’a été observée à ce jour.
Pour autant, les chercheurs insistent sur un point clé : il ne s’agit pas d’une vulnérabilité classique que l’on peut corriger définitivement. Les attaques par injection de prompt exploitent le fonctionnement même des modèles de langage.
Selon SafeBreach, toute entrée externe, y compris une notification, doit être considérée comme non fiable. Le défi pour les éditeurs consiste donc à multiplier les garde-fous, sans pour autant pouvoir garantir de bloquer toutes les variantes futures.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !